Добрый день!
В центральном офисе установлен dfl-1660 в филиале dfl-860e. Между ними поднят ipsec. Интерфейсы lan и ipsec объединены в одну интерфейсную группу -all_ipsec на каждом dfl и создано одно правило с действием allow, all_tcpudpicmp, без расписания. Источник all_ipsec сеть all-nets, назначение all_ipsec сеть all-nets. Трафик между сетями ходит, но периодически возникает ошибка с тем, что принт-сервер отправляя задание печати выдает ошибку печати, останавливается и начинает отправлять задание снова. В результате, частично документ может распечататься несколько десятков раз. Пинги при этом не пропадают, и ширины канала хватает, чтобы еще камеру по vpn запускать. В локальной сети такого не происходит, печать идет нормально и в филиале и в центральном офисе. Чтобы убедиться в этом дополнительно принтер из центрального офиса отправляли в филиал. Все сделанные изменения для настройки принтера - поменяли адрес порта принтера на принт-сервере. Проблема повторилась. В логах ошибок нет. Обращались в HP (все принтеры этого производителя - HP 2025, 4250, 4015, M401). Тех. поддержка отправила искать проблемы с сетью. Где искать проблему - не знаю. Очень жду помощи.

Может любимые хулеттом мультикасты гадят?

На принтере попробовал отключить SLP, Печать LPD, IPv6, Bonjour, WS-Discovery, DHCP6. Эффекта нет. Больше у него в настройках отключить нечего.

SNMP для верности в нем отключил. Тоже не помогло.

Именно в этом правиле и обратном сделайте all_services.
потому что...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

в настройках ipsec с обеих сторон сделайте
MTU = 2000

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Огромная благодарность вам за рекомендацию! Заработало. Если не затруднит, напишите, почему это помогло.

вычислено империческим путем

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не совсем так.

Где-то на просторах интернета есть статья на английском об IPsec. Ссылка на нее есть где-то и на этом форуме. С обсуждения темы, где она упоминалась, и возникла рекомендация для IPsec MTU=2000, которая помогла уже очень многим.

Я не вчитывался сильно, но при стандартном значении MTU в IPsec часто происходит фрагментация пакетов на 2 или, в отдельных случаях, на 3 части. Это, как следствие, делает IPsec трафик более чувствительным к потерям пакетов. При бОльших значениях MTU этот эффект пропадает. Значение MTU=2000 в этом плане, возможно, ничем не лучше, чем целый ряд других близких значений.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, еще раз благодарю вас за ответ.

Что самое интересное - там фишка только по снижению хэндовера - т.е. при MTU IPsec больше чем MTU интерфейса + длина IPsec заголовков - фрагментироваться будут уже готовые к передаче IPsec пакеты, а иначе - пакеты еще до IPsec будут рубиться на части и каждая часть упаковываться отдельно.

То бишь в плане этой темы - вообще непонятно почему помогло. Разве что как вариант - настолько огромные пакеты к принтерам, что DFL говорит "я на столько кусков рубить отказываюсь"... но это тогда должно быть в логах.

p/s/ все лень поэкспериментировать с размерами MTU и нарисовать графики загрузки ресурсов DFL и пропускной способности IPsec канала в зависимости от MTU в случае "гигабитного канала" в виде соединенных патчкордом коробушек -)

Может еще для комплекта и ссылку на статью сюда кинешь?

М-да. Было бы весьма любопытно!

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я ее тут в темах видел - сходил по ссылке, почитал, но концов не сохранил. Притом попадалась совсем недавно - т.е. где-то в темах буквально на первой странице.

Надо только себя заставить - вынуть из загашника еще один 260, положить на экспериментальный 860 и поиздеваться... засада скорее с тем, куда поставить еще пару компов которые будут например iperf'ом грузить связку dfl -/

С другой стороны, гораздо интереснее были бы результаты на каналах с разным задаваемым уровнем потерь пакетов.

Хотелка растет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я не со зла приврал. История с MTU=2000 на этом форуме развивалась не так.
А статья была указана в этой теме:
viewtopic.php?f=3&t=157907&p=848124

Но ссылка уже мертвая.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.