смотри на HW1000 сколько он одновременно обслуживает сессий. iplir option get
max-connections

а HW100 в филиалах под какой нагрузкой? И, кстати, канал в каждом филиале какой?

дефолтное значение стоит. 800000

на hw100 - 150 000. по скорости не скажу, но канал точно не забивается.
попобуем mtu подправить

а вот эта команда что показывает iplir show firewall status

вот эти счетчики  Total connections count — текущее количество открытых и защищенных соединений по всем протоколам.
 Public connections count — текущее количество открытых (незашифрованных) соединений по всем протоколам.
 VPN connections count — текущее количество защищенных (зашифрованных) соединений по всем протоколам.

а сколько HW100 в сети? Филиалов сколько? А то на HW1000 сессий почти столько же сколько на HW100.

15 hw100.
для понимания сейчас туннели выключены на hw1000 (головной). т.е. филиалы сейчас на вебресурсы, расположенные в голове, идут не через туннели на hw1000.
все манипуляции по включению туннелей проводить можем только вечером

Так все же вопрос начинался с rdp, а потом я так понял суть проблемы в том, что доступ к web подтормаживает, так?

Всем доброго времени суток :)

суть такая включаем туннелирование, поустпает жалоба от оператора, что лагать начинает доступ к web, цепляемя по vnc к компу оператора, пока наблюдаем работы отваливается vnc

А где в ЦУС показывается взаимодействие с разными сетями ? ну тоесть допустим если настраиваем тунель между двумя координаторами, то в iplir в секции [id] нужных координаторов указываем адреса туннелируемых узлов, в цусе нажав на координатор, в секции туннелирование мы видим адреса туннелируемых узлов данного координатора.  А как понять с каким из координаторов он устанавливает тунель ?? Допустим если в списке несколько координаторов

значит причина общая, раз и доступ к web и rdp одновременно лагает. надо сессии снимать, смотреть в эти моменты что на HW1000 показывает статистика. И примерно уже сейчас понимать что с пропускной сопособностью каналов, сколько одновременно операторов работает. Одним словом это называется - профиль трафика.,

Вы наверно принцип не поняли. Координаторы устанавливают связь между собой. Далее если  координаторы имеют за собой туннелируемые ресурсы и они зеркально описаны в iplir.conf вы наблюдаете секции tunnel(берутся из справочников ЦУС, там их лучше всего задавать), то координатор, получая входящий трафик от своего туннелируемого ресурса в сторону другого проверяет что прогружено в драйвер. Если по драйверу все совпало пакет отправляется в сторону связанного координатора. Специально никто туннель не поднимает.

Займитесь анализом журнала ip пакетов. Это основной элемент трабл-шутинга в hw. Он гораздо нагляднее гипотез.

Вы вчера написали, я сам в ЦУСе ничего не задавал, а где это нужно посмотреть ?

адреса задавал только в пункте Туннелирование

у каждого координатора свои подсети внутренние

или вы как раз про это спрашивали ?