Добрый день, есть 2 Dlink DFL-210, прошивка 2.20.03, стоят в разных городах, настроен между ними Ipsec туннель. вопрос в следующем. когда пингую удаленный белый айпи адрес, пинг идет стабильно без потерь. Когда пингую внутри туннеля удаленный компьютер, идут серьезные потери пакетов.
Почему идет такая разница в потерях?

Просто получается работать внутри туннеля хуже намного, чем работать по открытому каналу так сказать.

Как выяснилось, что случилось авария магистрального провайдера, и трафик пошел через другого магистрального. Но почему сразу начались потери в Ipsec туннеле, непонятно. Гуру сетевики отзовитесь плиз...

весь трафик?. или мож ipsec остался на проблемном канале? проверьте Failover настройки.

Failover не настроен, мне провайдер сообщил, что у одного из магистрального провайдера, к которому подключен мой провайдер вылетел канал. поэтому мой провайдер начал весь свой трафик пускать через другого магистральщика. в следствие чего у меня мой ipsec туннель начал тормозить. Просто не пойму почему, когда я пингую свой удаленный белый IP адрес, пинги идут нормально, без потерь. а когда пингую внутри туннеля удаленный комп, то идут приличные потери пакетов, вследствие чего тормозят тормозит к примеру терминальный клиент.

Это значит что либо провайдер пускает ваш IPsec по другим маршрутам или с низким приоритетом, либо что он приоретизирует пинги.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

а мне тогда в этом случае что можно сделать, чтобы улучшить связь? зачем провайдеру пускать IPSec по другим маршрутам? Я так понимаю для провайдера Ipsec пакеты - проблема чтоли? Спрашиваю так, так как плохо еще разбираюсь в сетевых технологиях...

Еще вопрос ко всем кто использует DFL-210. Есть ли такие кто строил VPN на базе DFL устройств между городами по России? Просто создается такое впечатление, что скорость и качество канала зависит от провайдера последней мили, потом от магистрального провайдера. Или все таки от настроек железок DFL? И вообще имеет ли смысл строить VPN на базе межсетевых экранов какой либо из фирм-производителей или все таки использовать услугу объединение офисов у провайдера?
Расскажите свой опыт...

У меня работают и внутригородские, и межрегиональные IPsec. Реально большинство проблем из-за региональных провайдеров т.к. к ним идут более узкие магистральные каналы. В Москве хорошо, до М9 рукой подать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Каким образом тогда можно улучшить качество связи между городами?уменьшать MTU или менять 3Des на DES? Какие настройки можно сделать в DFLке?

Ап теме.
Наблюдаю схожие траблы.
Какие настройки DFL оптимальны для СТАБИЛЬНОГО VPN.

Все зависит от ситуации
Снижение шифрования даст небольшой эффект, если у вас совсем плохая последняя миля, нужны кардинальные решения

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Какие могут быть кардинальные решения?

_________________
DFL-210, DI-804HV, DI-808HV, DI-824, DIR-100,

Тут вопрос:
1. Внешний ip DFL-210 пинг стабильный(1 обрыв из 300 допустим)
2. Сетка за DFL через IPSEC (1-2 обрыва из 40 не редкость или бывает и по 2 за раз)
3. Все конечно хорошо, но 1с и терминалы очень не любят такого поведения.
Поставил DES толку почти 0.
Играл с MTU аналогично.
DFL по статистике даж на 50 не загружена.
Кстати еще один глюк DFL.
Маршруты по умолчанию:
Самые верхние стоят DMZ за ним идет WAN.
Переставляю делаю WAN первыми, сохраняю.
При отрубании питания на DFL dmz опять на первом месте.

Кардинальные - изменение типа VPN. К сожалению, что PPTP, что IPsec очень чувствительны к обрывам
Тот же OpenVPN (потребует отдельных машинок/железок) гораздо проще восстанавливается и для провайдера не выделяется


Какая прошивка? Устройство напомните. Покажите скрины до и после

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ну так связь то если без VPN стабильна. Что касается пинга уж точно. При чем если пинговать разные устройства через IPSEC то исчезновения пакетов не всегда происходят синхронно. Или реализация VPN от Dlink по умолчанию глючит.

DFL-210 прошивка 2.26.00.06-12653
3 Route IPsec0 Remotenet 90 Yes
4 Route ipsec2 Remotenet 91 Yes
5 Route wan Remotehost wan_gw 2 No
6 Route dmz Remotehos2 dmz_gw 2 No
9 Route wan wannet 100 No Direct route for network wannet over interface wan.
10 Route wan all-nets wan_gw 100 No Default route over interface wan.
11 Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.
12 Route dmz all-nets dmz_gw 100 No Default route over interface dmz.
13 Route lan lannet 100 No Direct route for network lannet over interface lan.
Типа этого.
Это если вручную изменено.
После вырубания, dmz становится выше и соответсвенно пакеты уж очень желают идти сначало по dmz