URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15971
[ Назад ]
Исходное сообщение
"Многострадальная 851 и VPN"
Отправлено Alting , 08-Апр-08 08:48 
Доброго времени суток всем!
Наткнулся в форуме на эту проблему: http://www.opennet.me/openforum/vsluhforumID6/10633.html
Собственно, в жизни, наткнулся тоже :)
Есть центральный офис, в нем стоит 2811 + 4 Ethernet порта (дополнительный интерфейс), объединенные в VLAN (обратите внимание, это очень важно!).
Есть удаленный, на нем 2811 без дополнительных интерфейсов, как есть.
Так вот!
Связать эти две циски по VPN (а именно, две внутренние сетки, одна из которых подключена как раз к этому самому дополнительному интерфейсу, на котором поднят VLAN) мне также не удалось, вернее, удалось, но проблема та же - терминал сервер отваливается по таймауту, Radmin отвечает, но не выдает удаленный рабочий стол - также висит при попытке отрисовать его, Citrix клиенты видят сервер, но не могут на него зайти, также отваливаясь по таймауту и тому подобное.
Поставил 1821, связал ее с 2811 в удаленном офисе (с той, в которой нет дополнительных интерфейсов, объединенных в VLAN) - вуаля, все пашет.
Далее...
Поставил в другом офисе 851, у которой ТАК ЖЕ 4 порта в VLAN - ТА ЖЕ КАРТИНА.

Ну и совсем уж, чтобы, так сказать, добить - дома стоит Linksys с прошивкой dd-vrt и ТАМ ТАКЖЕ ПОРТЫ В VLAN внутренние - ТА ЖЕ ПРОБЛЕМА! Не могу зайти на домашний комп за NAT, радмин отвечает - висит при попытке отрисовать экран, удаленный рабочий стол отвечает - отваливается по таймауту.

Я, конечно, "крупнейший специалист" по кошкам, но у меня сложилось твердое мнение, что все дело в VLAN
Отсюда вопрос: можно ли как-то убрать VLAN из 851 кошки?

Содержание
Сообщения в этом обсуждении
"Многострадальная 851 и VPN"
Отправлено stitch636 , 08-Апр-08 10:46 
Всё работает с виланами.
Уменьшать ip mtu или ip tcp adjust mss
до достижения работоспособности.
"Многострадальная 851 и VPN"
Отправлено stitch636 , 08-Апр-08 10:49 
С 851 Vlan1 убрать нельзя.
Покажи конфиг.


"Многострадальная 851 и VPN"
Отправлено Alting , 08-Апр-08 11:26 
>С 851 Vlan1 убрать нельзя.
>Покажи конфиг.

Building configuration...

Current configuration : 5809 bytes
!
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
no ip dhcp use vrf connected
!
!
ip cef
ip flow-cache timeout active 1
ip domain name nn.mrg.com
ip name-server 195.122.226.2
ip name-server 195.122.226.1
!
!
crypto pki trustpoint tti
revocation-check crl
rsakeypair tti
!
crypto pki trustpoint TP-self-signed-4004780798
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4004780798
revocation-check none
rsakeypair TP-self-signed-4004780798
!
!
crypto pki certificate chain tti
crypto pki certificate chain TP-self-signed-4004780798
certificate self-signed 01
  3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34303034 37383037 3938301E 170D3038 30343037 31313334
  32385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 30303437
  38303739 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100F342 A5AFFFF9 3CD665FE B7CF94B7 5278B45F 801E52AC DE17B53C 81DAA94B
  C09CA099 A9D82697 AC4F6856 4C287A6E 6000C439 F7AE08A2 9402C25D D70082BB
  BC22B172 5E68B1C7 27D03001 C12FA0E3 96249A0C 6F965DAE 889BCA75 C9E644B2
  086A6634 4462A7E1 0A583DE5 FB7B7FF5 E36C9D14 2DF63C93 4D59966C 7F12ED62
  43330203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
  551D1104 17301582 13796F75 726E616D 652E6E6E 2E6D7267 2E636F6D 301F0603
  551D2304 18301680 14960375 8377CC0F 0A8D9DA3 A13484FB 1E285554 21301D06
  03551D0E 04160414 96037583 77CC0F0A 8D9DA3A1 3484FB1E 28555421 300D0609
  2A864886 F70D0101 04050003 81810014 B6B4BB01 5291454E 19BD16E0 8864BD26
  E0F0FD8D B1E1735B C042AE56 AE7ED7C2 4288DBCA D91072EA 3FDBF45C EA5F6550
  BEE393C3 AC77CCA3 8E1E58D1 C66A8DA2 1958D1F6 17CC373D 05D62FA1 CDA4D53C
  137CBC78 9AC65EF2 1567B76A EDDB0628 E8E20399 3CEA8291 21138293 9BC116A2
  A05AB338 36E9C63D B2671000 9F118E
  quit
username root privilege 15 secret 5 $1$re3h$3rLOKwBTtXIXRI55ZqD3o.
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key XXXXXXXXXXXXXX address 77.247.188.94
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 77.247.188.94
set peer 77.247.188.94
set transform-set ESP-3DES-SHA
match address 100
!
!
!
interface Tunnel0
ip address 192.168.253.2 255.255.255.0
ip mtu 1420
no ip route-cache cef
ip route-cache flow
no ip mroute-cache
tunnel source FastEthernet4
tunnel destination 77.247.188.94
tunnel path-mtu-discovery
crypto map SDM_CMAP_1
!
interface FastEthernet0
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
ip address 195.122.227.37 255.255.255.240
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
l2-filter bridge-group-acl
!
ip classless
ip route 0.0.0.0 0.0.0.0 195.122.227.33
ip route 10.10.0.0 255.255.0.0 Tunnel0
ip flow-export source FastEthernet4
ip flow-export version 5
ip flow-export destination 77.247.188.91 9996
ip flow-top-talkers
top 10
sort-by bytes
cache-timeout 10
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip dns server
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=4
access-list 100 permit gre host 195.122.227.37 host 77.247.188.94
access-list 101 remark SDM_ACL Category=2
access-list 101 deny   gre host 195.122.227.37 host 77.247.188.94
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 101
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
ntp clock-period 17175065
ntp server 195.2.64.5 source FastEthernet4 prefer
end

"Многострадальная 851 и VPN"
Отправлено Alting , 08-Апр-08 11:47 
>Всё работает с виланами.
>Уменьшать ip mtu или ip tcp adjust mss
>до достижения работоспособности.

И до какого предела можно уменьшать ip mtu ? И с каким шагом?

"Многострадальная 851 и VPN"
Отправлено Alting , 08-Апр-08 11:52 
>>Всё работает с виланами.
>>Уменьшать ip mtu или ip tcp adjust mss
>>до достижения работоспособности.
>
>И до какого предела можно уменьшать ip mtu ? И с каким
>шагом?

Yes! Точно! Спасибо, огромное!
Поставил в Vlan 1 значение ip tcp adjust mss, равное ip mtu в Tunnel 0, по крайней мере, radmin заработал :)
Буду пробовать остальное!
Спасибо за подсказку!


"Многострадальная 851 и VPN"
Отправлено Alting , 08-Апр-08 12:47 
>[оверквотинг удален]
>>>до достижения работоспособности.
>>
>>И до какого предела можно уменьшать ip mtu ? И с каким
>>шагом?
>
>Yes! Точно! Спасибо, огромное!
>Поставил в Vlan 1 значение ip tcp adjust mss, равное ip mtu
>в Tunnel 0, по крайней мере, radmin заработал :)
>Буду пробовать остальное!
>Спасибо за подсказку!

Рано радовался... Как заработало, так и перестало... Шайтан...

"Многострадальная 851 и VPN"
Отправлено GolDi , 08-Апр-08 13:26 
>[оверквотинг удален]
>>>И до какого предела можно уменьшать ip mtu ? И с каким
>>>шагом?
>>
>>Yes! Точно! Спасибо, огромное!
>>Поставил в Vlan 1 значение ip tcp adjust mss, равное ip mtu
>>в Tunnel 0, по крайней мере, radmin заработал :)
>>Буду пробовать остальное!
>>Спасибо за подсказку!
>
>Рано радовался... Как заработало, так и перестало... Шайтан...

А почему у вас crypto-map висит и на тунеле и на интерфейсе?

"Многострадальная 851 и VPN"
Отправлено Alting , 08-Апр-08 13:34 
>[оверквотинг удален]
>>>Yes! Точно! Спасибо, огромное!
>>>Поставил в Vlan 1 значение ip tcp adjust mss, равное ip mtu
>>>в Tunnel 0, по крайней мере, radmin заработал :)
>>>Буду пробовать остальное!
>>>Спасибо за подсказку!
>>
>>Рано радовался... Как заработало, так и перестало... Шайтан...
>
>А почему у вас crypto-map висит и на тунеле и на интерфейсе?
>

Потому что я вот такой "крупнейший специалист" по цискам :)
Как правильно нужно?

"Многострадальная 851 и VPN"
Отправлено stitch636 , 08-Апр-08 15:54 
ip tcp adjust-mss 1380
вниз с шагом в 20.
Всё можно посмотреть debug'ом.
deb ip tcp transact
term mon

crypto map достаточно по такой схеме
оставить на Fa4.

"Многострадальная 851 и VPN"
Отправлено stitch636 , 08-Апр-08 15:56 
IOS желательно обновить до:
c850-advsecurityk9-mz.124-15.T1.bin
или
c850-advsecurityk9-mz.124-9.T3.bin
"Многострадальная 851 и VPN"
Отправлено stitch636 , 08-Апр-08 15:58 
Да, забыл :)
ip tcp adjust-mss нужно ставить на туннеле.
Точнее на туннелях с обеих сторон.
на Vlan1 можно оставить по умолчанию 1452.
"Многострадальная 851 и VPN"
Отправлено Alting , 08-Апр-08 16:53 
>Да, забыл :)
>ip tcp adjust-mss нужно ставить на туннеле.
>Точнее на туннелях с обеих сторон.
>на Vlan1 можно оставить по умолчанию 1452.

Спасибо огромное, буду завтра с утра с новыми, так сказать, силами, пробовать!

"Многострадальная 851 и VPN"
Отправлено Alting , 17-Апр-08 08:12 
>>Да, забыл :)
>>ip tcp adjust-mss нужно ставить на туннеле.
>>Точнее на туннелях с обеих сторон.
>>на Vlan1 можно оставить по умолчанию 1452.
>
>Спасибо огромное, буду завтра с утра с новыми, так сказать, силами, пробовать!
>

Огромное, огромное, ОГРОМНОЕ спасибо!!!
Все работает как часы, тьфу, тьфу!


Действительно, с этой прошивкой и настройками mtu и ip tcp adjust-mss все враз заработало!
Наверное, это надо как-то в FAQ или прикрепить в начале форума? Довольно много таких же вот как я "крупнейших специалистов" сталкиваются с подобными проблемами на недорогих кошках.

Сразу, кстати, вопрос: а какую прошивку тогда ставить на 871-е кошки? 851-х сейчас уже не найдешь, заказали 871-е. Не хотелось бы напороться на подобную проблему.

Еще раз искренне благодарю за помощь!


"Многострадальная 851 и VPN"
Отправлено stitch636 , 24-Апр-08 14:17 
Это проблема не только для недорогих цисок,
а для всех. 871 не использовал в продакшене.
IOS нужен c870-advipservicesk9-mz.124-15.T1.bin
или новее. В бандловых IOS'ах куча глюков.
Некоторые вещи просто не работают.
К сожалению, как под 851, так и под 871 пока
нет стабильных (не T) IOS'ов.
871 в основном нужны, если хочешь нарезать локалку
на VLAN'ы.
P.S.: Есть еще способ построения крипто-туннелей.
Читать про tunnel mode ipsec ipv4. Он погибче.
"Многострадальная 851 и VPN"
Отправлено Axis , 24-Апр-08 14:24 
Народ подскажите пожалуйста что означают маршруты 0.0.0.0/128.0.0.0 192.168.1.1, 128.0.0.0/128.0.0.0 192.168.1.1 в статической таблицы маршрутизации маршрутизатора.


"Многострадальная 851 и VPN"
Отправлено stitch636 , 24-Апр-08 15:02 
http://book.itep.ru/4/41/inc_4113.htm