Столкнулся с проблемой.
VPN туннель, организованный на DI-804HV (2 маршрутизатора между ними VPN). Туннель поднялся сразу проблем не возникло, НО
пакеты более 1416 байт по туннелю не ходят. Пробовал cпрошивкой 1.40b4 1.40 то же самое. MTU на обоих роутерах 1500.
В Win 2000 (клиентские машины с 2-х сторон туннеля) стандартные настройки MTU (должно быть 1500). IPSEC не должен менять MTU поскольку он шифрует содержимое и маскирует заголовок (или я не прав) т.е. пакеты с размером 1500 проходить то должны.
MSS и MTU менять себе дороже. начинается фрагментация и все затыкается. FAQ читал но объяснение не понятное: причем тут "большие" файлы?

Посоветуйте если не сложно в какую сторону копать...
Спасибо

То есть должны проходить например ICMP пинги с размером пакета 1472 байта не фрагментированными (20 байт IP header 8 ICMP header)
что и происходит пакеты большего размера уходят фрагментированными по определению MTU Ethernet кадра 1500
MSS 1460. Но вот почему внутри туннеля пакет более 1417 не проходит и хотелось бы узнать. Куда делись 55 байт?

Не забывайте что большое количество байт в пакете занимают еще поля используемых протоколов ESP или AH и т.д. То есть исходные данные в пакете шифруются и к ним добавляются дополнительные заголовки.

У меня ситуация аналогичная, причем создано два одинаковых VPN канала .Один работает нормально , а другой нет. Видимо проблема у ISP

какой тип VPN ? и тип подключения WAN ?

Забыл добавить - VPN созданы в разных направления соотв и маршруты разные.Из чего сообственно и сделан предыдущий вывод( о проблеме у ISP)
Для справки параметры канала
IKE DHG 1, 3DES, MD5, 3000
IPSEC DHG 1,ESP,3DES,MD5

ПОДКЛЮЧЕНИЕ
DI804HV-ADSL- РАДИОКАНАЛ( REVOLUTION )

тип подключ. WAN - интересовало другое (static IP, PPPoE, PPTP ?)

static ip

тогда в провайдере, точнее в размерах МТУ на всем протяжении
второго линка.
Надо поэкспериментир. с этим размером, пока не заработает.
Только при этом упадет пропус. способность 1 канала.

В зависимости от подключения разные MTU, стандартно для ethernet
MTU 1500, для dial-up 552 549. для gif 1280 и т.д.
В локалке клиент winxx стандартно имеет 1500 максимум. И пакеты большие пакеты пролетать без фрагментации после инкапсуляции в туннельные пакеты не могут за счет заголовков пакет увеличивается на 55 байт вроде . Если кому интересно то можно покопаться в документации на IPSEC. Это конечно зависит от того, в каком режиме IPSEC используется. Вообщем путем правки реестра на клиенте можно добиться работоспособности канала MTU 1445 например. А проверять если кому нужно просто пингом с ключами -f -l.
Интересно если с одной стороны туннеля на клиенте поменять MTU то все сразу начинает работать. Почему и как его пакеты пролетают нормально через туннель? Вообщем есть чего проверять.
А вот стоит ли менять MTU на роутере? в сторону увеличения нет.
И вообще этот параметр относится к туннельным пакетам или ко всем?
То есть установка произвольного размера MTU влияет на все без исключения интерфейсы (WAN,LAN) в не зависимости от способа реализации?
Да WAN PPP static Firmware 140b2 используется и AH и ESP

Этот параметр опред. только размер пакета IP, отправляемого через WAN-порт.

Проблема была в маршрутизаторе у ISP - он отбрасывал фрагментированные пакеты

Добрый день !
1. Прошивки здесь не причем. Здесь только протокол и настройка его.
2. В win по умолчанию MTU не 1500, а очень много. Об этой проблеме и описано в рекомендации по "большим" файлам.
3. Вы не сказали, что гоняете по туннелю, а это важно.
4. По тому как в рекомендации дается настройка только для туннеля Win-Win, а например Win-Lin уже не пойдет.
4. Возможно суть проблемы у вас та же, что и у меня была. Ниже ссылка. там была целая серия. Эта последний топик с решением.
http://www.dlink.ru/phorum/viewtopic.php?t=4918
В ней я даже просил модераторов ( не для амбиций, поверте ) выставить этот топик рядом с "проблемой больших файлов", но увы. )
В этом топике есть две ссылки и там во второй точно сказано про сам протокол и размеры заголовков.
В общем смотрите, поможет рад, нет жаль. Жду ответа.

ska101 респект.
Самый исчерпывающий ответ. Интересовало ведь не ежеминутное счастье. Я его нашел для своего случая, а полное объяснение процесса. Хочется понимать что делаешь и зачем. А то в симметричном случае Win200-dlink804hv---dlink804hv-Win2000 меняю MTU в одном месте и все работает но блин объяснить ну никак.
Поскольку di804hv разведку MTU не производит и руками его заставить это делать нельзя, то при организации VPN с конкретной целью, а не пингами обмениваться следует поместить систематизировав все это в FAQ
Просьба за советы сапогами не закидывать...
Просто народ думает выложил простите бабло пальцы разогнул ткнул 4 раза по мыше и чиста "подоконным" способом все работает.
А тут грабли по кругу разложены. и народ давай с гиганьем фирмваре лить, и клянуть длинк за кривизну. А посмотрев в ветку кивать на загадочную для многих киску, и говорить почему у нас не так начисто забыв о стоимости сего высокочтимого девайса. Вообщем спасибо еще раз ska101 за способность работать с документацией и отсутствие лени вкупе со щедростью души ибо поделился

А насчет вопроса, что я гоняю, считаю это не так важно, поскольку важно не само содержимое пакета, а его размер (который можно имитировать самое простое ping -l размер пакета -f)
Поскольку по туннелю в идеале должно лететь все от гвоздя до пулемета и создавать интересно болеее универсальные вещи IMHO конечно

Рад что помогло . Устройства хорошие, за свои деньги. Просто в некоторых местах есть "но" и на это нет доков. Все люди.
А не поленился потому как сам долго мучился Вот толком и захотелось все изложить.