URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14103
[ Назад ]

Исходное сообщение
"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"

Отправлено goliaf1982 , 31-Июл-07 17:48 
http://dlink.ru/technical/faq_vpn_4.php
Сделал все как написано на столе у меня эта связка работает, но когда попробовал в боевых условиях длинк в логах пишет:
Tuesday July 31, 2007 15:18:07 Send IKE Q1(QINIT) : y.y.y.y --> x.x.x.x
Tuesday July 31, 2007 15:18:07 Receive IKE INFO : n.n.n.n --> m.m.m.m
Tuesday July 31, 2007 15:18:12 IKED re-TX : QINIT to n.n.n.n
Tuesday July 31, 2007 15:18:17 IKED re-TX : QINIT to n.n.n.n
Tuesday July 31, 2007 15:18:27 IKED re-TX : QINIT to n.n.n.n
Tuesday July 31, 2007 15:18:37 IKED re-TX : QINIT to n.n.n.n
Tuesday July 31, 2007 15:18:57 IKED re-TX : QINIT to n.n.n.n
Tuesday July 31, 2007 15:18:58 Send IKE (INFO) : delete [y.y.y.y|m.m.m.m]-->[n.n.n.n|x.x.x.x] phase 2
Tuesday July 31, 2007 15:18:58 IKE phase2 (IPSec SA) remove : y.y.y.y <-> x.x.x.x
подскажите где я наступил на грабли...

Содержание

Сообщения в этом обсуждении
"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено Logan , 01-Авг-07 12:34 
>[оверквотинг удален]
>Tuesday July 31, 2007 15:18:07 Send IKE Q1(QINIT) : y.y.y.y --> x.x.x.x
>Tuesday July 31, 2007 15:18:07 Receive IKE INFO : n.n.n.n --> m.m.m.m
>Tuesday July 31, 2007 15:18:12 IKED re-TX : QINIT to n.n.n.n
>Tuesday July 31, 2007 15:18:17 IKED re-TX : QINIT to n.n.n.n
>Tuesday July 31, 2007 15:18:27 IKED re-TX : QINIT to n.n.n.n
>Tuesday July 31, 2007 15:18:37 IKED re-TX : QINIT to n.n.n.n
>Tuesday July 31, 2007 15:18:57 IKED re-TX : QINIT to n.n.n.n
>Tuesday July 31, 2007 15:18:58 Send IKE (INFO) : delete [y.y.y.y|m.m.m.m]-->[n.n.n.n|x.x.x.x] phase 2
>Tuesday July 31, 2007 15:18:58 IKE phase2 (IPSec SA) remove : y.y.y.y <-> x.x.x.x
>подскажите где я наступил на грабли...

Конфиг нужен обоих девайсов, судя по всему - где то не совпадают политики SA ...


"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено goliaf1982 , 10-Авг-07 12:22 
конфиг полностью взят вот с этого адреса
http://dlink.ru/technical/faq_vpn_4.php
где напоролся на грабли нашел загвоздка была вот в этой строчке
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
проблема теперь в другом со стороны длинка заливаю файлы любого размера без проблем со стороны циски есть проблема фалы либо вообще не копируються либо только 30 кб и тишина, такая проблема возникала и с длинками,


crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 123456 address (Внешний д-линка)
!
!
crypto ipsec transform-set D-Link esp-3des
crypto ipsec df-bit clear
!
crypto map DI-804HV 10 ipsec-isakmp
description Description of the crypto map statement policy
set peer (Внешний д-линка)
set security-association lifetime seconds 28800
set transform-set D-Link
set pfs group2
match address 101
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $FW_OUTSIDE$$ES_WAN$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.117.193 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
mtu 1460
bandwidth 100000
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username юзер password пароль
crypto map DI-804HV
crypto ipsec fragmentation before-encryption
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.117.192 0.0.0.15
access-list 101 remark DL
access-list 101 remark SDM_ACL Category=4
access-list 101 permit ip 192.168.117.0 0.0.0.255 192.168.117.0 0.0.0.255
access-list 101 deny   ip any any
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

о великие гуру сетевых технологий подскажите где можно ошибиться и где искать причины таких проблем...


"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено Minotaur , 10-Авг-07 13:25 
>конфиг полностью взят вот с этого адреса
>http://dlink.ru/technical/faq_vpn_4.php
>где напоролся на грабли нашел загвоздка была вот в этой строчке
>access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
>проблема теперь в другом со стороны длинка заливаю файлы любого размера без
>проблем со стороны циски есть проблема фалы либо вообще не копируються
>либо только 30 кб и тишина, такая проблема возникала и с
>длинками,

[...]
>interface Dialer0
> mtu 1460

~~~~~~~~~~~~~~~~~~~~~~~
>[оверквотинг удален]
> ip virtual-reassembly
> encapsulation ppp
> ip route-cache flow
> dialer pool 1
> dialer-group 1
> no cdp enable
> ppp authentication pap callin
> ppp pap sent-username юзер password пароль
> crypto map DI-804HV
> crypto ipsec fragmentation before-encryption

[...]
>о великие гуру сетевых технологий подскажите где можно ошибиться и где искать
>причины таких проблем...

Несогласование MTU. Со стороны DLINKа попробуйте поставить MTU 1460.


"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено goliaf1982 , 10-Авг-07 13:32 

>Несогласование MTU. Со стороны DLINKа попробуйте поставить MTU 1460.

на Д-Линке так и стоит 1460


"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено Minotaur , 10-Авг-07 13:56 
>
>>Несогласование MTU. Со стороны DLINKа попробуйте поставить MTU 1460.
>
>на Д-Линке так и стоит 1460

crypto ipsec fragmentation before-encryption
уберите с Dialer-интерфейса.


"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено goliaf1982 , 10-Авг-07 14:35 
>>
>>>Несогласование MTU. Со стороны DLINKа попробуйте поставить MTU 1460.
>>
>>на Д-Линке так и стоит 1460
>
>crypto ipsec fragmentation before-encryption
>уберите с Dialer-интерфейса.

убрал но в принципе ничего не изменилось на сторону циски залить файл получаеться на сторону д-линка нет....


"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено goliaf1982 , 10-Авг-07 14:43 
может быть загвоздка у провайдера
длинк 256 к\с PPTP
циска 100 к\с PPPoE
копирую файл на сторону циски без проблем любого размера
забрать файл с компов за циской только 30 кб и тишина...:(

"HELP ME!!!VPN канал между Cisco 871 Dlink  DI-804HV"
Отправлено 3apa3a_b_ta3e , 17-Окт-07 00:48 
>может быть загвоздка у провайдера
>длинк 256 к\с PPTP
>циска 100 к\с PPPoE
>копирую файл на сторону циски без проблем любого размера
>забрать файл с компов за циской только 30 кб и тишина...:(

очень похоже на проблемы с MTU. Рекомендую снизить его на обоих устройствах, скажем, до 1300.