<br>Matthew:<br><br>You are right, the problem was related whit the mtu and fragmentation packet.<br><br>First i tried to use ike_frag option (client and server) whit "force", but i had the same result.<br><br>Then i look in 
racoon.conf we have the esp_frag, like said the man, this option is for nat-t in tunnel mode,<br>fragmenting the ip packet before the esp  encapsulation. this help to work with adsl routers <br>that reject UDP fragments. Well didn't work nether because racoon log send me a warning:
<br>"552" Your kernel does not support esp_frag. I didn't find what is the kernel module is related <br>whit this. <br><br>Using iptables couldn't understand well the chain in the mangle table tcpmss (maximun segment size)
<br>(-j TCPMSS --clamp-mss-to-pmtu or --set-mss). this is other thing to keep trying.<br><br>So for now i solve the problem whit another solution, more simple, <br>i decrease the mtu size of the interface that is waiting for the vpn connections.
<br>(eth2 mtu: 1300, the default is 1500)<br><br>Thanks again mathew for all your help.<br> <br>Rodrigo.<br><br><br><div><span class="gmail_quote">2007/12/11, Matthew Grooms <<a href="mailto:mgrooms@shrew.net">mgrooms@shrew.net
</a>>:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Rodrigo Ferroni wrote:<br>><br>> Matthew:<br>><br>> I try the vpn-client with the routefix and It works !!!
<br>> Now the route is add correctly.<br>> The XP is a professional version 2002 with SP2.<br>> If you want i can send you the ike service log.<br>> thanks for your help to solve this route issues.<br>><br>
<br>Rodrigo,<br><br>Your other problem look like a classic MTU and fragmentation related<br>issue. Have you looked into fragment handling on your debian box? I<br>assume you are using iptables. It may be that there are extra rules or
<br>options required to handle this situation. I know its neccessary with pf<br>or ipf. Please see the rather shabby blurb at the bottom of this link to<br>the client documentation ...<br><br><a href="http://www.shrew.net/vpn/help-2.0.3/files/%7BB2C7CFEE-88C6-408E-A080-869E51E5737F%7D.htm">
http://www.shrew.net/vpn/help-2.0.3/files/%7BB2C7CFEE-88C6-408E-A080-869E51E5737F%7D.htm</a><br><br>If that doesn't help, Another thing to look into would be enabling MSS<br>clamping. You may find this link useful although they is intended for a
<br>NetBSD audience.<br><br><a href="http://www.netbsd.org/docs/network/ipsec/rasvpn.html#ike_frag">http://www.netbsd.org/docs/network/ipsec/rasvpn.html#ike_frag</a><br><a href="http://www.netbsd.org/docs/network/ipsec/rasvpn.html#more_frag">
http://www.netbsd.org/docs/network/ipsec/rasvpn.html#more_frag</a><br><br>Here is another link that provides a similar work around for linux and<br>iptables. The issues they describe are related to PPTP connections but<br>
the problem resolution should be the same.<br><br><a href="http://www.linux.org/docs/ldp/howto/Adv-Routing-HOWTO/lartc.cookbook.mtu-mss.html">http://www.linux.org/docs/ldp/howto/Adv-Routing-HOWTO/lartc.cookbook.mtu-mss.html
</a><br><br>I will expand this section of the client user documentation before the<br>2.1.0 release to make sure this issue is more clear.<br><br>Hope this helps,<br><br>-Matthew<br></blockquote></div><br>