URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14064
[ Назад ]

Исходное сообщение
"Проблема с работой протоколов через VPN"
Отправлено wellfitting , 26-Июл-07 13:38

Всем доброго! Возникла проблема с работой протоколов HTTP, SMB, FTP через VPN. Маршрутизаторы 871 и 1841. В сети 10.0.0.0 на одном конце VPN находится сервер. При подключении к нему из сети 10.0.0.0 все в порядке, можно свободно скачать инфу, закачать и т.д. Если подключаться по VPN из сети 10.0.1.0, то при попытке скопировать или закачать на него или на любое другое устройство сети 10.0.0.0, все виснет на первых 30 кбайтах. Причем telnet, icmp, h.323 работают нормально.

Содержание

Проблема с работой протоколов через VPN,fantom, 13:54 , 26-Июл-07
- Проблема с работой протоколов через VPN,wellfitting, 14:27 , 26-Июл-07
  - Проблема с работой протоколов через VPN,sivenych, 14:00 , 27-Июл-07
    - Проблема с работой протоколов через VPN,alchie, 14:55 , 27-Июл-07
      - Проблема с работой протоколов через VPN,wellfitting, 17:46 , 27-Июл-07
    - Проблема с работой протоколов через VPN,wellfitting, 17:49 , 27-Июл-07
    - Проблема с работой протоколов через VPN,wellfitting, 18:58 , 27-Июл-07

Сообщения в этом обсуждении

"Проблема с работой протоколов через VPN"
Отправлено fantom , 26-Июл-07 13:54

>Всем доброго! Возникла проблема с работой протоколов HTTP, SMB, FTP через VPN.
>Маршрутизаторы 871 и 1841. В сети 10.0.0.0 на одном конце VPN
>находится сервер. При подключении к нему из сети 10.0.0.0 все в
>порядке, можно свободно скачать инфу, закачать и т.д. Если подключаться по
>VPN из сети 10.0.1.0, то при попытке скопировать или закачать на
>него или на любое другое устройство сети 10.0.0.0, все виснет на
>первых 30 кбайтах. Причем telnet, icmp, h.323 работают нормально.
Проблема в скорее всего в mtu.
поставьте на сервере mtu поменьше.

"Проблема с работой протоколов через VPN"
Отправлено wellfitting , 26-Июл-07 14:27

>
>Проблема в скорее всего в mtu.
>поставьте на сервере mtu поменьше.
На обоих маршрутизаторах, в туннеле и на сервере mtu=1500. Подскажите, плз, на сколько нужно уменьшить mtu на серевере, почему и что тогда делать с остальными устройствами сети 10.0.0.0, с которыми та же проблема?

"Проблема с работой протоколов через VPN"
Отправлено sivenych , 27-Июл-07 14:00

>
>>
>>Проблема в скорее всего в mtu.
>>поставьте на сервере mtu поменьше.
>
> На обоих маршрутизаторах, в туннеле и на сервере mtu=1500. Подскажите, плз,
>на сколько нужно уменьшить mtu на серевере, почему и что тогда
>делать с остальными устройствами сети 10.0.0.0, с которыми та же проблема?
Проблема не столько в MTU, сколько в том, что некие приложения очень любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах, где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто наподобие такого:
crypto ipsec df-bit clear
crypto ipsec fragmentation before-encryption
А MTU и MSS - они сами зааджастятся на WAN-линках.

"Проблема с работой протоколов через VPN"
Отправлено alchie , 27-Июл-07 14:55

>[оверквотинг удален]
>любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на
>эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если
>же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах,
>где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто
>наподобие такого:
>
> crypto ipsec df-bit clear
> crypto ipsec fragmentation before-encryption
>
>А MTU и MSS - они сами зааджастятся на WAN-линках.
проблема как правило не в "неких приложениях", а в головах и паранойе тех людей, которые фильтруют ICMP, не давая таким образом работать механизму PMTUD.
а вообще, много ли программистов принудительно выставляют DF на пакетах от своих прилад? имхо, это дефолтное поведение стэков TCP/IP различных ОС.

"Проблема с работой протоколов через VPN"
Отправлено wellfitting , 27-Июл-07 17:46

>
>проблема как правило не в "неких приложениях", а в головах и паранойе
>тех людей, которые фильтруют ICMP, не давая таким образом работать механизму
>PMTUD.
>а вообще, много ли программистов принудительно выставляют DF на пакетах от своих
>прилад? имхо, это дефолтное поведение стэков TCP/IP различных ОС.
ICMP не фильтруется на обоих роутерах и свободно проходят в обе стороны любым размером.

"Проблема с работой протоколов через VPN"
Отправлено wellfitting , 27-Июл-07 17:49

>[оверквотинг удален]
>любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на
>эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если
>же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах,
>где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто
>наподобие такого:
>
> crypto ipsec df-bit clear
> crypto ipsec fragmentation before-encryption
>
>А MTU и MSS - они сами зааджастятся на WAN-линках.
Сделал так. Crypto map есть только на WAN интерфейсах обоих роутерах. Вроде работает. Еще вечером доберусь до другого конца VPN, оттуда проверю. Спасибо огромное!!

"Проблема с работой протоколов через VPN"
Отправлено wellfitting , 27-Июл-07 18:58

>[оверквотинг удален]
>любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на
>эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если
>же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах,
>где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто
>наподобие такого:
>
> crypto ipsec df-bit clear
> crypto ipsec fragmentation before-encryption
>
>А MTU и MSS - они сами зааджастятся на WAN-линках.
Сделал так. Crypto map есть только на WAN интерфейсах обоих роутеров. Вроде работает. Вечером добурусь до роутера на другом конце VPN, проверю оттуда.
Спасибо огромное!!