Не знаю, то ли Яровая внедряется семимильными шагами, то ли Selectel забесился, но точка за точкой перестает работать ipsec из-за фрагментации пакетов ISAKMP (т.е. установка соединения).
Стандартные методы уже применены, а именно: уменьшение размера ключа до 1024 бит, сокращение цепочки сертификатов до CA и непосредственно сертификата машины, минимизация имен хостов в сертификатах, убраны все лишние назначения ключа.
В результате пакет получается 1436, что проходит еще на некоторых точках. Но большинство фрагментирует, т.к. по дороге присутствуют всякие ppp, l2tp и прочие лишние вещи. Фрагментированные пакеты не доходят до машины у Selectel, объяснить они этот факт пока не могут.
Что можно в настройках strongswan подкрутить, чтобы он vendor id поменьше слал или еще чего-то убрать?
