Le ecureuil

@ChaoticSerg 30 баксов в час, и я поработаю над вашими проблемами.

Команда > interface <iface> ipsec ignore добавлена в 2.10.

И правильно делают. Использовать SMB или NFS в WAN-сетях без VPN - жуткий моветон и дырища, за такое надо по рукам бить.

Да, c IKEv2 все должно быть куда лучше.

Если используется IKEv1 для соединения с ASA5505, то скорее всего нет.

Просто перейдите на IKEv2, это проще, чем решать проблемы, "встроенные" в протокол IKEv1.

Так сделано, потому что проще управляющая логика.

Все правильно. С Android подключаетесь? Android пишет, что подключено, но реально устанавливает соединение и запрашивает адрес только если по нему идет трафик. До прохождения трафика соединения как такового нет. Потому так и отображается. Именно эта ситуация у вас и в логе.

Да, все нормально. У нас роутер не умеет принимать/отсылать кадры более 1536 байт, потому при пинге с внешнего устройства в LAN пролезет максимум 1536 - L2 - L3. А вот с устройства на устройство хоть десять тысяч, значит работает.

Довольно сложно в реализации, потому пока врядли. Как минимум не раньше IKEv2 для автотуннелей.

А dump пакетов на WAN показывает, что создаются фрагменты, или нет?

Ну что, как там с фрагментацией? Оно хоть работает (у кого-то кроме меня)?

Вам по DSL-линии, или сколько позволит процессор в Keenetic DSL для PPTP/MPPE? По поводу DSL-линий ничего не менялось с середины 2000-х.

Для PPTP с шифрованием это предел. Да, для большей скорости стоит взять Ultra II - мегабит 50...70 легко.

В случае автотуннеля MSS просто меньше сильно получается, вот все и работает. А PMTU для MSS выставляется и там, и там, если явно его не задавать в виде числа в консоли.

В дефолтной настройке и так идут PMTU, просто идиоты-администраторы некоторых сайтов запрещают ICMP Fragmentation Needed, вот и выходит, что часть не работает.

В 2.08 / 2.09 уже полгода как есть расписания на все искаропки.

Да, думаем над этим.

Ожидаемо, Giga2 слабее по шине памяти и скорости работы CPU, потому она просто не успевает полностью обеспечить работой crypto engine. Двухядерный 7621A с DDR3 успевает

То, что разное с обоих концов - это нормально, где-то WAN на IPoE, а где-то на PPTP. Естественно, будет разный MTU. Перезагружать не надо, после появления сообщения в логе все должно начать работать. Еще проверьте, умеет ли сеть (провайдер/магистраль) правильно передавать фрагментированные пакеты. Это очень важно, поскольку IP-пакеты уже фрагментированы, и сеть их фрагментировать еще раз в случае "непролезания" не сможет. Возможно на WAN у обоих устройств придется снизить MTU до одинаково низкого значения, которое устроит обе стороны (начните с 1400 и по убывающей). На каком размере пакета перестает пролезать?

Я делал только реагирование для EoIP, линк на порту свитча по идее не должен трогаться.

@vst

@m__a__l попрбуйте отключить ping-check вообще, похоже это он вам рвет соединение. Если поможет - потом попрбуем настроить правильно.

Там передергивание занимает сотню миллисекунд, скорее всего не заметите даже

Такова жизнь - IKEv1 сервер очень недружелюбен ко множественным конфигурациям.