Доброе время суток!
Такая штука приключилась. Два офиса, оба на внешних статических адресах, в одном прекрасно живет dfl-800, во втором поставили свежеприобретенный dfl-860e. Беды вроде ничего не предвещает. Подняли ipsec слету. со стороны сети dfl-800 все отлично - пинги до удаленной сети есть, доступ к ресурсам имеется. Со стороны dfl-860e интереснее: пинг есть, доступа к ресурсам нет. Ни к http, ни к ftp, ни smb. Попробовали сменить на dfl-860e прошивку на посвежее (2.40.01.08-17754 Mar 5 2012). То же самое. В логах кроме mismatching_tcp_window_scale ajust ничего интересного не появляется. Правила стандартные, описанные во всех мануалах:
1 ipsec_to_lan Allow ipsec_tunnel vpn_remote_lan lan lannet all_services
2 lan_to_ipsec Allow lan lannet ipsec_tunnel vpn_remote_lan all_services
Меняли даже на всякий случай на приведенные на австралийском сайте (где интерфейсы lan и remote объеденены в один). Поставили между dfl-860e и провайдером (там тоже d-link) неуправляемый свич - бестолку. Пинг есть, ресурсов нет. и кроме
mismatching_tcp_window_scale adjust old=2 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
нет ничего. А с другого офиса пожалуйте - полный набор. В правилах на той стороне ничего экстраординарного тоже нет: стандартные плюс проброс с внешнего интерфейса http и ftp, правила для ipsec подняты наверх на всякий случай.
Подскажите, куда копать, а то как то грустно, ладно бы пинга не было и доступа с другой стороны, а так...
С компами точно все хорошо: и антивирусы, и фаерволы отключали, и возюкали один комп из офиса в офис.

правила точно семетричные ?!

запистите пинг на проблемной стороне , и на удаленной смотрите в соединениях - есть ли ваши пинги !?
так же можете посмотреть тоже самое с ресурсами .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Правила симметричные точно.
Но, похоже, нашел проблему. Компы на стороне dfl-800 покупались одной партией, то есть одинаковые. Сегодня там товарищ принес свой ноут, так на него есть доступ. Получается дело в сетевухах в компах в сетке за dfl-800? Если учесть, что возили комп с того офиса для проверки, то получается так и есть. Только вот не слышал раньше про такие проблемы я...
Попробуем машинку туда привезти сегодня отличную от их конфигурации и проверим.
PS в логе 860е при коннекте на ноут в удаленной сетке ошибок нет...

а в проблемном офисе часом не касперский стоит ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Что такое "доступ к ресурсам"? SMB (расшаривание дисков)? Вы пытаетесь получить доступ по имени компьютера? Попробуйте по ip-адресу (\\192.168.1.1\share). Вероятнее всего, дело не в сетевых платах, а в какой-то защитной программе (на новых компьютерах она могла оказаться предустановлена), неправильной рабочей группе или отсутствии резолвинга имен (broadcast'ы через туннель не проходят).

Vladimir22,
нет, нод, простой нод, антивирусник, без наворотов. Пробовал не только на винде. та же ситуация.

alex63,
защитных прог нет, тот же нод обычный, фаерволы отключали. Винда ХП, без изысков, стандартная партнерская оемка. Стучались естественно по айпишникам.

Пока другую железяку не привезли туда, ситуация пока та же. На ноутбук личный сотрудника захожу без проблем, до остальных только пинги, а при попытке к папкам получить доступ в логе появляется строка из первого сообщения.. Из той сети все отлично, файлошары видны, пинги есть, ни на что не ругается.
Посмотрим, что будет с другим компом...

А что нибудь из разряда обновить драйвера сетевух???

mismatching_tcp_window_scale это предупреждение, которое сообщает следующее(из референс гуйда):
TCP segment with a window scale option specifying a different shift count than previous segments was received. The lower of the two values will be used.
Короче оно чисто информационное, и не может означать отброс пакетов