Добрый день! Проблема заключается в следующем: есть 12 маршрутизаторов DI-804HV, все подключены к одному провайдеру по PPPoE, между одним центральным и 11 остальными настроено 11 ipsec туннелей. На первый взгляд все хорошо, пинги ходят, но есть проблемы с работой некоторых протоколов, например RDP (при попытке соединиться долго висит, а потом отваливается), через сетевое окружение не удается передавать файлы больших размеров (3 мегабайта уже большой файл)...., после небольшого анализа проблемы было выяснено что проблема связана с MTU и с тем что указанные протоколы используют пакеты больших размеров с установленным флагом do not fragment, так вот если пакет направляется во внешку и не проходит по MTU то маршрутизатор его дропает и отсылает источнику ICMP сообщение фрагментация необходима но запрещена, а вот если пакет заворачивается в туннель, то маршрутизатор его просто дропает и не отправляет источнику ничего, в следствие чего RDP начинает тупить. На рабочих станциях я поступил просто, установил на интерфейсах MTU 1400, после этого RDP заработал, файлы стали передаваться, и все было бы хорошо, но есть еще видеорегистраторы с которыми тоже проблемы и вот они не позволяют уменьшить MTU на интерфейсе. Использовал прошивки 1.43, 1.44. Попробовал также 1.50, но до испытаний дело не дошло так как пришлось от нее отказаться из за проблемы с созданием новых туннелей. Тоесть когда маршрутизатор лежит у тебя на столе и ты конфигурируешь его со стороны интерфейса LAN, то все замечательно, но вот когда ты пытаешься создать туннель, подключившись со стороны внешней сети, возникает непреодолимая проблема, при нажатии на кнопку apply в меню настройки IKE Proposal и IPSec Proposal выскакивает запрос логина и пароля, вводишь его, жмешь кнопку, он выскакивает опять, опять вводишь, жмешь и так до бесконечности, настройки естественно не применяются. Сначало я подумал что может быть забыл сбросить до дефолтовых настроек, для чистоты эксперимента взял маршрутизатор с прошивкой 1.44, залил туда 1.50, сбросил до заводских настроек, заново сконфигурировал, поставил в сеть и та же проблема повторилась, пришлось откатываться до 1.44. Кто что посоветует ?? Заранее благодарю!

У меня таже проблема!!! Напиши, как MTU поменял...

эти устройства вообще с чем-нибудь еще бюджетным умеют туннели устанавливать - или только с себе подобными?

viewtopic.php?t=53379

MTU в Windows меняется созданием/изменением ключа в реестре, первая ссылка которая мне попалась: http://www.pctools.com/guides/registry/detail/280/ , можно также воспользоваться утилитой http://www.dslreports.com/drtcp
Вообще очень хотелось бы услышать комментарии от службы технической поддержки D-Link, но они что-то игнорируют мой вопрос.

DI не позволяет менять MTU при входе в тоннель, поэтому MTU надо уменьшать на компьютерах, либо на устройствах трафик которых идет в тоннель. Устройство на которых можно указывать какой MTU использовать в IPSec, это устройства из серии DFL-210/800/1600/2500

Хм...а что даст уменьшение MTU при входе в туннель, оно и так там уменьшено, в данном случае речь идет об аномальном поведении роутера, заворачивая пакет, размером превышающим MTU и с установленным флагом do not fragment, в туннель роутер дропает его и не отправляет источнику пакета ICMP сообщение "фрагментация необходима но запрещена", как мне кажется это не нормально, есть какое-нибудь логичное объяснение такому поведению роутера ??? А устройства DFL-210/800/1600/2500 будут в описанной выше ситуации отправлять ICMP сообщение ???

В стеке устройства DI не предусмотрен ответ ICMP в случае невозможности фрагментации пакета.

Печально конечно, а в стеке устройств DFL такой ответ предусмотрен ??

Все таки есть устойчивое желание получить ответ на мой вопрос! Еще хотелось бы услышать комментарии технической поддержки по поводу выявленной мною проблемы в прошивке 1.50. Полагаю что игнорировать вопросы не самая лучшая стратегия!

Проверил на эту неисправность, не могу подтвердить. Попробовал с типом подключения PPPoE и DualAccess PPPoE

Ну нет так нет, не критично, хотя на самом деле она есть , вот и здесь Wanderer_nvkz упоминает о подобной проблеме:
viewtopic.php?t=50444 . В данный момент меня больше интересует предусмотрен ли ответ ICMP фрагментация необходима но запрещена в стеке устройств DFL при направлении пакета в туннель ??

На DFL такая же ситуация.

Ну ясно, спасибо за информацию.