Итак завершающий топик из серии.

В контексте топиков подымалась проблема передачи разного трафика из центра в удаленные офисы.
Первую проблему по передаче больших файлов мне удалось решить и наконец усилиями других пользователей оно попало в объявление.
В нескольких последних топиках, наприер http://www.dlink.ru/newphorum/viewtopic.php?t=4671 обсуждалась проблема роздачи интернета и почты в удаленные офисы.
Все подробности и схемы подключения ищите в пред. топиках.

Общая суть проблемы и частично ее решение приведена здесь:
1. http://www.cisco.com/warp/public/105/56.pdf
Здесь сведена теория по фрагментации пакетов при туннелировании и в частности по IPSec:
2. http://www.cisco.com/warp/public/105/pmtud_ipfrag.pdf

Теперь привожу свое решение проблемы:
1. Схема подключения:
ХР <-> 804HV <-> SHDSL <- 128k -> SHDSL <-> 804HV <-> Linux <-> Internet
На всех интерфейсах установлено MTU=1500. В этом случае наблюдается "захлебывание" и зависание почтовых клиентов и броузеров.

Машина с Linux выдает все пакеты с установленным флагом DF. При инкапсуляции добавляется до 58 байт данных IPSec. В результате пакет не "влазит" в интерфейс и роутер должен вернуть соотв. ICMP сообщение Linux-машине, которая в свою очередь должна передать такой же пакет, но меньшей длины. Чего не происходит, поскольку нет ICMP сообщения. Я не смог их зафиксировать даже когда изменил правила файервола.

Мое решение:
Базируется на основе информации из источника №2.

Необходимо понизить длину пакета на величину от 52 до 58 байт. Зависит от настроек VPN.

Менять MTU на интерфейсе Linux-машины не очень интересно, т.к. она работает на несколько подсетей с MTU=1500. Поэтому менять нужно только в случае с удаленным офисом.

1. Если в первом Syn-пакете с запросом на подсоединение изменить размер значение MSS, то все остальные ответные пакеты будут отсылаться не более указанного размера.
MSS=MTU-40 т.е. в нашем случае получаем ( 1500-58 ) - 40 = 1402.

2. Затем например в iptables написать, что-то вроде:
iptables -t mangle -A INPUT -j TCPMSS --set-mss 1402 -s {branch office IP} -p tcp --syn
Модуль с "таргетом" TCPMSS должен быть в наличии.

Таким образом все меняется на лету и не нужно больших изменений. Эффект хорошо видно сниффером.

Сразу говорю всем, кто делал такое ранее, но на мои вопросы в форуме не отвечал - описываю ход своего решения.

Модераторам! Я думаю, что все вышенаписанное можно подвесить рядом с "проблемой передачи больших файлов" в объявлениях. Исключительно ради того, чтобы никто более голову не ломал. Естественно все на Ваше усмотрение.

ska101 респект.
Самый исчерпывающий ответ. Интересовало ведь не ежеминутное счастье. Я его нашел для своего случая, а полное объяснение процесса. Хочется понимать что делаешь и зачем. А то в симметричном случае Win200-dlink804hv---dlink804hv-Win2000 меняю MTU в одном месте и все работает но блин объяснить ну никак.
Поскольку di804hv разведку MTU не производит и руками его заставить это делать нельзя, то при организации VPN с конкретной целью, а не пингами обмениваться следует поместить систематизировав все это в FAQ
Просьба за советы сапогами не закидывать...
Просто народ думает выложил простите бабло пальцы разогнул ткнул 4 раза по мыше и чиста "подоконным" способом все работает.
А тут грабли по кругу разложены. и народ давай с гиганьем фирмваре лить, и клянуть длинк за кривизну. А посмотрев в ветку кивать на загадочную для многих киску, и говорить почему у нас не так начисто забыв о стоимости сего высокочтимого девайса. Вообщем спасибо еще раз ska101 за способность работать с документацией и отсутствие лени вкупе со щедростью души ибо поделился

Да народ у меня такое впечатление что часы на форуме идут по зимнему

Спасибо за развернутый и подробный отчет. С Вашего позволения оформлю это как FAQ -- не возражаете?

_________________
С уважением -- Александр Шебаронин.

К сожалению, п.1 из данного совета недостаточно развернут, чтобы человек уровня, не дотягивающего до гуру, мог его выполнить (не определить требуемый MSS, а отправить syn-пакет требуемого размера). Может кто-нибудь дополнить?

Так может кто-нибудь разжевать процитированный совет из FAQ?

согласен... разверните FAQ по подробнее кто знает.... я допустим не вкурил как его расчитать!! и странно почему это делать надо на клиентах.. ибо не правильно.. может есть какой способ сделать это между железками??? и как ?

ап