Нужен конфиг D-Link dfl-860e с бесперибойно работающим ipsec туннелем.

В старой теме от 2008 года DFL-210 "ESP ICV failure" есть
упоминание следующего вида.
Sergey Vasiliev : Это Integrity check value, Попробуйте для этого соединения использовать aggressive Mode и PFS. Что то искажает пакет.

Что может искажать заголовок ESP в туннеле, начало и конец которого приходятся на один коммутатор? Оба устройства dfl-860e и dfl-260e подключены в один свитч.

Вот решение указанной проблемы
Народ эмпирическим путем вычислил значение MTU туннеля, которое снимает ряд проблем с ошибками и производительностью. Мы то все понимаем, что MTU туннеля должно быть меньше MTU физического интерфейса. У Dlink это не так. Короче, при физическом MTU 1500 на туннель надо ставить 2000 байт MTU.
В субботу с утра настроил значения с обоих сторон туннеля на 2000 MTU IPsec, потестировал на 1 Мбите толщины с простешим шифрованием. Процессор вообще не нагружается. Добавил нормальное рабочее шифрование (AES 128, SH​A1) и толшину сделал 35 Мбит. Работает, если раньше процессор загружался на 100, и туннель дох довольно быстро, то сейчас - работает и нагружает до 70%! Характерные ошибки и предупреждения появлются, но их раза в 2 меньше и что самое существенное, туннель продолжает функционировать исправно прокачивая указанные 35Мбит. Коллеги, похоже проблема с туннелем решена, но, впрочем, посмотрим как он будет себя вести!
Матчасть гласит, что эта настрока у длинка устанавливает на самом деле не MTU туннеля в 2000 байт, а пороговое значение, меньше которого не будет проводить фрагментация пакета. Таким образом, завысив величину мы уменьшаем шанс для маршрутизатора после шифрования пакета проводить его фрагментацию для перед отправкой в туннель, а это снижает утилизацию процессора и вероятность получить отказ туннеля.