Столкнулся со следующей проблемой: имеются два Cisco 871 маршрутизатора. Поднял между ними GRE-туннель, но столкнулся со следующей проблемой: нестабильно работает Microsoft RDP. В сети 192.168.1.Х стоят терминальные сервера, 192.168.3.Х - сеть удаленного офиса. Есть сервера к которым клиенты из сети удаленного офиса подключаются без поблем, а есть сервера к которым подключиться не удается. Менял MTU, помогло, но ненадолго. Связь с сервером устанавливается через раз. Канал связи между роутерами нормальный (потерь пакетов нет). Окончились чего-то мысли в какую сторону ковырять Поглядите конфу маршрутизатора, может где-то чего-то недопонял:
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname main2car
!
boot-start-marker
boot-end-marker
!
enable secret 5 ХХХХХХ
enable password ХХХХХХ
!
no aaa new-model
ip subnet-zero
ip cef
!
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ХХХХХХ address 172.31.129.30
!
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
mode transport
!
crypto map myvpn 10 ipsec-isakmp
set peer 172.31.129.30
set transform-set VPN
match address 101
!
!
!
interface Tunnel0
ip address 10.10.1.1 255.255.255.0
ip mtu 1428
ip tcp adjust-mss 1428
tunnel source FastEthernet4
tunnel destination 172.31.129.30
crypto map myvpn
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface FastEthernet4
ip address 172.31.129.29 255.255.255.0
ip mtu 1452
duplex auto
speed auto
crypto map myvpn
!
interface Vlan1
ip address 192.168.1.198 255.255.255.0
ip mtu 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
access-list 101 permit gre host 172.31.129.29 host 172.31.129.30
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
password ХХХХХХ
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end
размер MTU надо правильно на туннельных интерфейсах указать, причем, IP TCP ADJUST-MSS будет на 40 байт меньше, потому что эти 40 байт заняты заголовком GRE
как например, получится что-то вроде:
!
interface Tunnel0
ip mtu 1280
ip tcp adjust-mss 1240
!
>размер MTU надо правильно на туннельных интерфейсах указать, причем, IP TCP ADJUST-MSS
>будет на 40 байт меньше, потому что эти 40 байт заняты
>заголовком GRE
>как например, получится что-то вроде:
>!
>interface Tunnel0
>ip mtu 1280
>ip tcp adjust-mss 1240
>!Попробовал, вот что получилось, но ситуация не особо изменилась. Просто есть нюанс следующего рода: в подсети 1.0 есть 3 сервера с адресами 1, 101, 254. Так вот в чем проблема, к серверу 254 в терминале подключается без всяких проблем и работает, но вот когда пытаюсь подключиться к 1, или 101, то соединение закрывается по тайм-ауту. Но если войти на 254 сервери, с него есть возможность в терминале подключиться к 1 и 101 серверу.
На всех серверах MTU поменял на 1024. Текущая конфигурация маршрутизатора Cisco:!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname main2car
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip subnet-zero
ip cef
!
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ХХХХХХХХ address 172.31.129.30
!
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
mode transport
!
crypto map myvpn 10 ipsec-isakmp
set peer 172.31.129.30
set transform-set VPN
match address 101
!
!
!
interface Tunnel0
ip address 10.10.1.1 255.255.255.0
ip mtu 1158
ip policy route-map clear-df-bit
tunnel source FastEthernet4
tunnel destination 172.31.129.30
crypto map myvpn
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface FastEthernet4
ip address 172.31.129.29 255.255.255.0
ip mtu 1200
ip policy route-map clear-df-bit
duplex auto
speed auto
crypto map myvpn
!
interface Vlan1
ip address 192.168.1.198 255.255.255.0
ip mtu 1200
ip policy route-map clear-df-bit
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
access-list 101 permit gre host 172.31.129.29 host 172.31.129.30
access-list 111 permit tcp any any
route-map clear-df-bit permit 10
match ip address 111
set ip df 0
!
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end
Убрать crypto map. Оставить только GRE.
Включить:
debug ip tcp transaction
Зайти с одного конца туннеля на другой.
Посмотреть по debug размер MSS
Подобрать и выставить на туннельном
интерфейсе (example: ip tcp adjust-mss 1340 )
+ TCP-header ( 20 bytes )
+ IP-header ( 20 bytes )
= ip mtu 1380
На серверах не нужно править MTU.
Перевести:
crypto ipsec transform-set CM esp-des esp-sha-hmac
mode tunnel
Поставить crypto ipsec fragmentation after-encryption
Повесить обратно crypto map.
1)
no ip route 192.168.3.0 255.255.255.0 Tunnel0
ip route 192.168.3.0 255.255.255.0 (ip адрес тунеля с той стороны)2) ищешь как исправить в реестре "MTU" у видны и ставишь 1400
http://www.google.com.ua/search?hl=ru&as_qdr=all&q=windows+m...п÷п╬п╦я│п╨&meta=lr=lang_ru
> 1)
> no ip route 192.168.3.0 255.255.255.0 Tunnel0
> ip route 192.168.3.0 255.255.255.0 (ip адрес тунеля с той стороны)
> 2) ищешь как исправить в реестре "MTU" у видны и ставишь 1400
> http://www.google.com.ua/search?hl=ru&as_qdr=all&q=windows+m...п÷п╬п╦я│п╨&meta=lr=lang_ruУважаемый Shaman, зачем Вы отправляете людей менять MTU на конечных хостах...????
Вот если, например, в настройках того же PPPOE на вашем ADSL модеме Вы видите MTU 1492 - так Вы что, пойдете руками менять MTU на всех компьютерах??? Давайте поменяем MTU на всех компьтерах несчастных, подключенных к ADSL..!!! Зачем давать ответы пальцем в небо??? Это просто превращается в болезнь опеннета.Уважаемый Anhelix, уверяю Вас, что слепо следовать советам случайным советом - есть большое зло. Предлагаю Вам ознакомиться вот с этим:
http://www.cisco.com/en/US/docs/interfaces_modules/services_...