Доступ через циску (2811) на любой внешний сервис (из LAN в WAN, из LAN в DMZ, из DMZ в WAN - без разницы) идет с большим таймаутом. Поставил на внутренний интерфейс permit ip any any - тот же эффект.
Например, ssh 192.168.1.12 висит около 30 секунд до вывода приглашения, telnet 213.180.204.8 80 висит секунд 20, днс вообще не работает - видимо изза большого таймаута..Если сессия установилась, дальше она работает без проблем. Например ssh после того как принял пароль работает дальше шустро, без тормозов.
Подскажите, в чем может быть дело?
Вот конфиг циски:
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
!
hostname cisco_2811_1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
logging buffered 4096 debugging
logging console critical
enable secret 5 ****************
!
aaa new-model
!
!
aaa group server tacacs+ ORG-acs
server 10.1.1.29
!
aaa authentication login local_auth enable
aaa authentication login ACS group ORG-acs local
aaa authentication ppp ACS group ORG-acs local
aaa authorization network ACS local
aaa accounting network ACS start-stop group ORG-acs
!
aaa session-id common
!
resource policy
!
clock timezone EST -5
ip subnet-zero
no ip source-route
no ip gratuitous-arps
!
!
ip cef
ip inspect udp idle-time 1800
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600
!
!
no ip bootp server
ip domain name domain.com
ip name-server 10.1.1.21
ip name-server 10.1.1.25
ip ssh time-out 60
ip ssh authentication-retries 2
login block-for 20 attempts 20 within 5
vpdn enable
!
vpdn-group VPDN-l2tp
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication
!
vpdn-group VPDN-pptp
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
password encryption aes
!
crypto pki trustpoint TP-self-signed-191884333
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-191884333
revocation-check none
rsakeypair TP-self-signed-191884333
!
!
crypto pki certificate chain TP-self-signed-191884333
certificate self-signed 01
30820257 308201C0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
............
EF9E0D1E 850180AE 5CDC5AE3 C81C53F7 A622A2CB 4320D761 3A4C21
quit
username root privilege 15 secret 5 **************
username user password 7 ****************
!
!
crypto keyring VPN-peers
pre-shared-key address 190.0.0.12 key 6 ******************
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp client configuration group VPNCL-confgroup
key 6 ******************
dns 10.1.1.21
domain domain.com
pool VPNCL-pool
crypto isakmp profile L2L-profile
keyring VPN-peers
match identity address 190.0.0.12 255.255.255.255
crypto isakmp profile VPNCL-profile
match identity group VPNCL-confgroup
client authentication list ACS
isakmp authorization list ACS
client configuration address respond
!
!
crypto ipsec transform-set AES-set esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-set esp-3des esp-md5-hmac
crypto ipsec transform-set L2TP-set esp-3des esp-md5-hmac
mode transport
!
crypto dynamic-map DYN-map 5
set transform-set AES-set
set isakmp-profile L2L-profile
reverse-route
crypto dynamic-map DYN-map 10
set transform-set 3DES-set
set isakmp-profile VPNCL-profile
crypto dynamic-map DYN-map 15
set nat demux
set transform-set L2TP-set
!
!
crypto map CRY-map 10 ipsec-isakmp dynamic DYN-map
crypto map CRY-map 15 ipsec-isakmp profile L2TP-profile
set transform-set L2TP-set
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 190.0.0.11 255.255.255.248
ip access-group WAN-acl in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect autosec_inspect out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
crypto map CRY-map
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip access-group DMZ-acl in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/3/0
no mop enabled
!
interface FastEthernet0/3/1
shutdown
!
interface FastEthernet0/3/2
shutdown
!
interface FastEthernet0/3/3
shutdown
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool PPTP-pool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2 ACS
ppp authorization ACS
ppp accounting ACS
!
interface Virtual-Template2
ip unnumbered FastEthernet0/0
peer default ip address pool L2TP-pool
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2 ACS
ppp authorization ACS
ppp accounting ACS
!
interface Vlan1
ip address 10.1.1.10 255.255.255.0
ip access-group LAN-acl in
no ip redirects
no ip unreachables
ip nat inside
ip virtual-reassembly
ip policy route-map PROXY-rmap
no mop enabled
!
ip local pool PPTP-pool 172.16.11.111 172.16.11.121
ip local pool L2TP-pool 172.16.11.61 172.16.11.110
ip local pool VPNCL-pool 172.16.11.11 172.16.11.60
ip classless
ip route 0.0.0.0 0.0.0.0 190.0.0.1
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list NAT-acl interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.11 443 190.0.0.11 80 extendable
ip nat inside source static tcp 192.168.1.11 443 190.0.0.11 443 extendable
ip nat inside source static tcp 192.168.1.12 22 190.0.0.11 22 extendable
ip nat inside source static tcp 192.168.1.12 53 190.0.0.11 53 extendable
!
ip access-list extended DMZ-acl
permit tcp any any established
permit tcp host 192.168.1.11 any eq www
permit tcp host 192.168.1.11 any eq 443
permit tcp host 192.168.1.12 any eq domain
permit udp host 192.168.1.12 any eq domain
permit udp host 192.168.1.12 any
permit tcp host 192.168.1.12 host 190.0.0.12 eq 22
permit icmp any any
deny ip any any log
ip access-list extended LAN-acl
permit tcp any any established
permit tcp any host 192.168.1.12 eq domain
permit udp any host 192.168.1.12 eq domain
permit tcp any host 192.168.1.12 eq 22
permit tcp any host 192.168.1.12 eq ftp
permit tcp any host 10.1.1.10 eq www
permit tcp any host 10.1.1.22 eq www
permit icmp any any
permit ip any 172.16.11.0 0.0.0.255
permit ip any 10.1.2.0 0.0.0.255
deny ip any any log
ip access-list extended NAT-acl
permit ip 192.168.1.0 0.0.0.255 any
deny ip any any
ip access-list extended PROXY-acl
deny tcp host 10.1.1.22 any eq www
permit tcp any any eq www
ip access-list extended VPN-acclist
permit ip 192.168.1.0 0.0.0.255 10.1.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 172.16.11.0 0.0.0.255
deny ip any any
ip access-list extended WAN-acl
permit tcp any any established
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.0.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny icmp any any redirect
permit icmp any any
remark #VPN peers
permit ip host 190.0.0.12 host 190.0.0.11
remark #PPTP
permit tcp any host 190.0.0.11 eq 1723
permit udp any host 190.0.0.11 eq isakmp
permit udp any host 190.0.0.11 eq non500-isakmp
permit udp any host 190.0.0.11 eq 10000
permit gre any host 190.0.0.11
remark #to DMZ
permit tcp any host 190.0.0.11 eq www 443
permit tcp any host 190.0.0.11 eq www 443
permit tcp any host 190.0.0.11 eq domain
permit udp any host 190.0.0.11 eq domain
deny ip any any
ip access-list extended cons-acl
permit tcp 10.1.1.0 0.0.0.255 host 0.0.0.0 eq 22
deny ip any any log
!
logging trap debugging
logging facility local5
logging 10.1.1.222
logging 10.1.1.29
dialer-list 1 protocol ip permit
no cdp run
route-map PROXY-rmap permit 10
match ip address PROXY-acl
set ip next-hop 10.1.1.22
!
!
tacacs-server host 10.1.1.29 key 7 *************
tacacs-server directed-request
!
control-plane
!
!
banner login Login banner
banner motd security bannner
!
line con 0
exec-timeout 5 0
password 7 *****************
login authentication local_auth
transport output telnet
line aux 0
exec-timeout 15 0
login authentication local_auth
transport output telnet
line vty 0 4
access-class cons-acl in
exec-timeout 60 0
privilege level 15
password 7 ******************
login authentication local_auth
transport input ssh
!
scheduler allocate 20000 1000
!
end
Убрал еще на всякий случай все ip inspect, не помогает =(
дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга. поэтому так долго.
>дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим
>коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга.
>поэтому так долго.поставил на циске
no ip domain-lookup
и до кучи
no ip name-server
no ip domain nameчто то не помогает =(
>[оверквотинг удален]
>>коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга.
>>поэтому так долго.
>
>поставил на циске
>no ip domain-lookup
>и до кучи
>no ip name-server
>no ip domain name
>
>что то не помогает =(это на серверах нужно делать.
>[оверквотинг удален]
>>
>>поставил на циске
>>no ip domain-lookup
>>и до кучи
>>no ip name-server
>>no ip domain name
>>
>>что то не помогает =(
>
>это на серверах нужно делать.Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh.
На первом хосте в файле hosts прописал
192.168.1.12 server
на втором прописал
10.1.1.11 host
чтобы у них не было никаких вопросов к днс.
ситуация не поменялась...
>Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh.
>
>На первом хосте в файле hosts прописал
>192.168.1.12 server
>на втором прописал
>10.1.1.11 host
>чтобы у них не было никаких вопросов к днс.
>ситуация не поменялась...Покажите вывод от "cat /etc/nsswitch.conf | grep ^hosts".
>>Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh.
>>
>>На первом хосте в файле hosts прописал
>>192.168.1.12 server
>>на втором прописал
>>10.1.1.11 host
>>чтобы у них не было никаких вопросов к днс.
>>ситуация не поменялась...
>
>Покажите вывод от "cat /etc/nsswitch.conf | grep ^hosts".server# cat /etc/nsswitch.conf | grep ^hosts
hosts: files dns
server#... может быть дело в arp? ...
как ни странно помогло возвращение инспектов, а именно
ip inspect name autosec_inspect udp timeout 15прокомментируйте плиз, как это связано все???
>дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим
>коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга.
>поэтому так долго.Спасибо за подсказку. Получается что дело было в днс, видимо циска не пропускала обратные пакеты на днс запросы, а ip inspect это дело поправил. Хотя все равно не очень понятно как хост 10.1.1.11 и сервер 192.168.1.12 могут отрезолвить друг друга? Сети разные, частные, и друг о друге ничего не знают. Даже днс сервера в каждой сетке свои.