1. MTU тоннеля должен быть меньше/равен/больше/пофиг MTU wan ?

2. Если от 210го создается несколько тоннелей, то Pre-shared Key должны быть у всех разные ?

3. Local ID должен стоять в auto при соединении с di-804 на статических ip ? Нет ли тут тех же граблей с auto как в keep-alive ?

Заранее благодарю за ответы.

1. У меня MTU на WAN 1500, для туннеля 1420. Т.е. все как по умолчанию. Работает. Полагаю, что MTU для туннеля пофигу какой, но если не пролез пакет в WAN, то будет фрагментации, и как следствие, уменьшение пропускной способности.

2. Нет, не должны, но могут. По желанию, в общем.
3. Фиг знает. У меня Auto при соединениии с DI-824. Никаких проблем.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

1.МТU указываемый в тоннеле, указывает, с какого размера пакета (исходного текствого) начинать фрагментацию до фрагментации IPSec.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Сергей, посоветуйте, плиз. Как Вы считаете, а эффективнее ли это фрагментирования пакета уже после инкапсуляции? Ведь если исходный текстовый пакет фрагментируется, то потом два новых пакета будут обрабатываться шифрованием перед отправкой по физическому интерфейсу. А в случае отсутствия фрагментации исходного пакета - только один пакет, который, не пролезая в физический интерфейс, "распилится" на две части. Ведь второй вариант (распиливание ESP средствами IP-фрагментации) гораздо эффективнее, нежели первый, потому что не требует ресурсов шифрования. В чем я могу ошибаться?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)