URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18281
[ Назад ]
Исходное сообщение
"проблема с ipsec туннелями"
Отправлено PuffNutty , 19-Фев-09 17:15 
Есть несколько объектов в Москве, которые связаны с офисом через ipsec туннели. Среди них на 2-х каналах существует проблема: перестают ходить пакеты внутри туннелей, при этом внешний адрес маршрутизатора пингуется. Ошибок на интерфейсах нет, ни на внешнем, ни на туннелях. Туннели не падают. После какого-то времени само восстанавливается. Конфигурация стандартна более чем на 20-ти объектах, проблема на 2-х.
Со стороны объекта Cisco 871 c870-advsecurityk9-mz.124-15.T4
crypto ipsec transform-set sm_set esp-3des esp-md5-hmac
!
crypto ipsec profile sm_profile
set transform-set sm_set
!
interface Tunnel0
description Connect to Office (Master)
bandwidth 256
ip unnumbered Vlan1
ip access-group guard_out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1500
ip route-cache flow
no ip mroute-cache
keepalive 5 2
tunnel source FastEthernet4
tunnel destination 62.141.x.x
tunnel mode ipsec ipv4
tunnel protection ipsec profile s_profile
service-policy output Tunnel256

со стороны офиса Cisco 3825 c3825-adventerprisek9-mz.124-5a

interface Tunnel149
bandwidth 256
ip unnumbered GigabitEthernet0/1
ip access-group inside in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1500
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
keepalive 5 2
tunnel source FastEthernet1/0
tunnel destination x.x.x.x
tunnel mode ipsec ipv4
tunnel protection ipsec profile s_profile
service-policy output Tunnel256Oracle

Содержание
Сообщения в этом обсуждении
"проблема с ipsec туннелями"
Отправлено visaversa , 20-Фев-09 19:30 
А нагрузку на CPU смотрел в момент падения туннелей? 870 для тоннелей с большой нагрузкой имхо не лучший выбор. Если возможно попробуй заменить какой-нибудь роутер на более призводительный на время и затестить.
Еще предположение - дело может быть в иосе.

>[оверквотинг удален]
> ip nat inside
> ip virtual-reassembly
> ip route-cache flow
> no ip mroute-cache
> keepalive 5 2
> tunnel source FastEthernet1/0
> tunnel destination x.x.x.x
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile s_profile
> service-policy output Tunnel256Oracle

"проблема с ipsec туннелями"
Отправлено zzzzzak , 21-Фев-09 20:42 
Во первых, на лицо GRE туннели.
GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение - подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ занимает 4 б. но это не точно. погуглись по этому поводу. полагаю, что причина именно в этом.


"проблема с ipsec туннелями"
Отправлено bokl , 22-Фев-09 23:53 
>Во первых, на лицо GRE туннели.
>GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение
>- подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ
>занимает 4 б. но это не точно. погуглись по этому поводу.
>полагаю, что причина именно в этом.

по идее icmp то должен влазить.

"проблема с ipsec туннелями"
Отправлено zzzzzak , 23-Фев-09 15:28 
>>Во первых, на лицо GRE туннели.
>>GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение
>>- подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ
>>занимает 4 б. но это не точно. погуглись по этому поводу.
>>полагаю, что причина именно в этом.
>
>по идее icmp то должен влазить.

Ну дык автор и пишет, что icmp проходят.


"проблема с ipsec туннелями"
Отправлено bokl , 23-Фев-09 16:11 
>>>Во первых, на лицо GRE туннели.
>>>GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение
>>>- подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ
>>>занимает 4 б. но это не точно. погуглись по этому поводу.
>>>полагаю, что причина именно в этом.
>>
>>по идее icmp то должен влазить.
>
>Ну дык автор и пишет, что icmp проходят.
>>>> при этом внешний адрес маршрутизатора пингуется

а не тунельный. при этом другие точки работают без правки мту.

"проблема с ipsec туннелями"
Отправлено zzzzzak , 23-Фев-09 17:09 
>[оверквотинг удален]
>>>>занимает 4 б. но это не точно. погуглись по этому поводу.
>>>>полагаю, что причина именно в этом.
>>>
>>>по идее icmp то должен влазить.
>>
>>Ну дык автор и пишет, что icmp проходят.
>>>>> при этом внешний адрес маршрутизатора пингуется
>
>а не тунельный. при этом другие точки работают без правки мту.
>>при этом другие точки работают без правки мту.

Не аргумент. Между конечными точками может быть все что угодно. Так что для разных точек могут быть и разные коррективы.

>>а не тунельный

А вот над этим уже стоит подумать.
Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?

"проблема с ipsec туннелями"
Отправлено PuffNutty , 24-Фев-09 08:34 
>Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?

да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. был такой у нас объект в свое время, так решили переходом на ipvpn. каналы там ненагруженные.


"проблема с ipsec туннелями"
Отправлено ilya , 25-Фев-09 07:35 
>>Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?
>
>да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает.
>был такой у нас объект в свое время, так решили переходом
>на ipvpn. каналы там ненагруженные.

1. если после падения тунеля его пересоздать, т.е. удалить SA и почистить IKE. Что будет? Тунель поднимится сразу или будет задержка? Есть среднее время восстановления тунеля?
2. Если попробовать на этих двух точках сделать тунель только через криптомапу ?

"проблема с ipsec туннелями"
Отправлено PuffNutty , 25-Фев-09 09:28 
>[оверквотинг удален]
>>
>>да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает.
>>был такой у нас объект в свое время, так решили переходом
>>на ipvpn. каналы там ненагруженные.
>
>1. если после падения тунеля его пересоздать, т.е. удалить SA и почистить
>IKE. Что будет? Тунель поднимится сразу или будет задержка? Есть среднее
>время восстановления тунеля?
>2. Если попробовать на этих двух точках сделать тунель только через криптомапу
>?

пакеты начинают ходить сразу же после shut/no shut на туннеле со стороны объекта. на криптомап переходить не решение, мы от него отказались, т.к. со стороны объекта у нас 2 туннеля, второй резервный. они приходят в 2 офиса на разные маршрутизаторы по 2 каналам разных провайдеров.

замена иоса не помогла, кстати, зато помогло (пока только предположительно) переключение на резервный туннель, он от другого провайдера.

"проблема с ipsec туннелями"
Отправлено ilya , 26-Фев-09 08:21 
>[оверквотинг удален]
>>?
>
>пакеты начинают ходить сразу же после shut/no shut на туннеле со стороны
>объекта. на криптомап переходить не решение, мы от него отказались, т.к.
>со стороны объекта у нас 2 туннеля, второй резервный. они приходят
>в 2 офиса на разные маршрутизаторы по 2 каналам разных провайдеров.
>
>
>замена иоса не помогла, кстати, зато помогло (пока только предположительно) переключение на
>резервный туннель, он от другого провайдера.

DPD используется?

"проблема с ipsec туннелями"
Отправлено PuffNutty , 24-Фев-09 10:49 
нагрузка 1% во время возникновения проблемы. туннели не падают. вообщем поменял ИОС на c870-advsecurityk9-mz.124-15.T7.bin (он стоит на непроблемных роутерах), сижу мониторю.
"проблема с ipsec туннелями"
Отправлено RET , 16-Мрт-09 23:06 
Что-то получилось с туннелями? На днях попали точь-в-точь такую же ситуацию? помогает ли смена ИОСа на новый?
"проблема с ipsec туннелями"
Отправлено PuffNutty , 19-Мрт-09 12:47 
>Что-то получилось с туннелями? На днях попали точь-в-точь такую же ситуацию? помогает
>ли смена ИОСа на новый?

решили тем, что переключились на канал другого провайдера со стороны офиса (соответственно на резервный туннель). а теперь постепенно переводим на ipvpn, чтобы туннелей вообще не было. вообщем, так и не разобрались в чем дело было.