Что имеем
Центральный офис (Cisco 3825)
Региональные офисы (все подряд - 800я серия, 2800я серия).
Между ЦО и РО сделаны статический IPSEC через криптомапы.
Все работает штатно.
MS Win домен в ЦО - основной, MS Win в РО - подчиненный основном.
Из РО на терминальный сервер ЦО подключаются пользователи под своими учетными записями (учетная запись хранится в домене РО). Теперь о проблеме :)
Некоторые офисы поменяли провайдера.
После этого вход на терминальный сервер из РО длится минут 5.
Пробовал разные варианты с df-bit и прочим, не помогло.
Поставил трансформ-сет с esp-null esp-md5-hmac. И о чудо - все снова быстро забегало.
Из чего я делаю вывод что проблема в прохождении пакетов.
Вопрос - что можно еще прикрутить что бы с шифровнием DES/3DES/AES все быстро работало?
текущие конфиги интерфейсов
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1400
duplex auto
speed auto
no mop enabled
interface FastEthernet0/1
ip address 194.190.190.190 255.255.255.248
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1400
duplex auto
speed auto
no mop enabled
crypto map CMAP
криптомапа примитивная
crypto map CMAP 5 ipsec-isakmp
description Tunnel to CO
set peer 2.4.9.4
set transform-set t_set_null
match address 104
reverse-route