URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19368
[ Назад ]

Исходное сообщение
"Медленный VPN ipsec между CISCO and Linux"
Отправлено lesha4ever , 28-Июл-09 18:38

Добрый день
Есть туннель VPN ipsec между CISCO and Linux. Пинги ходят. Все прекрасно на первый взгляд. Но когда дошло до почты - не проходит. Таймауты выдает. Потом попробовали скачать по ФТП - скорость 234 B/s, и это при канале в 10 мбит. Понятно что что-то не так с каналом ВПН. В первую очередь подозрения упали в сторону MTU, но вот где именно заминка не могу понять.
пробывал
ip tcp adjust-mss 1300
и
crypto ipsec fragmentation before-encryption
на интерфейсе где криптомап - не помогает.
конфиг ВПНа
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key SECRETKEY address IP_REMOTE_PEER
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60
!
!
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
mode transport
!
!
crypto map L2TP 1 ipsec-isakmp
set peer IP_REMOTE_PEER
set security-association lifetime seconds 28800
set transform-set SITE_TO_SITE
set pfs group2
match address CRYPTO_ACL_IPSec
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
!
interface GigabitEthernet0/0
description Internet interface
ip address IP_LOCAL_EXTERNAL 255.255.255.240
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
crypto map L2TP
!
ip access-list extended CRYPTO_ACL_IPSec
remark SDM_ACL Category=20
permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 log
permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255 log
permit icmp 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 log
permit icmp 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255 log

#sh crypto ipsec sa interface GigabitEthernet 0/0
  protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
   current_peer IP_REMOTE_PEER port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 9733, #pkts encrypt: 9733, #pkts digest: 9733
    #pkts decaps: 4740, #pkts decrypt: 4740, #pkts verify: 4740
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 67, #recv errors 0
     local crypto endpt.: IP_LOCAL_EXTERNAL, remote crypto endpt.: IP_REMOTE_PEER
     path mtu 1500, ip mtu 1500
     current outbound spi: 0x4C27431(79852593)
     inbound esp sas:
      spi: 0x44D789B4(1154976180)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 3007, flow_id: NETGX:7, crypto map: L2TP
        sa timing: remaining key lifetime (k/sec): (4524549/8401)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x4C27431(79852593)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 3011, flow_id: NETGX:11, crypto map: L2TP
        sa timing: remaining key lifetime (k/sec): (4524392/8401)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:

Если с локальной машины пинговать комп с другой сети:
[root@test]# ping -s 1900 192.168.0.X
PING 192.168.0.X (192.168.0.Х) 1900(1928) bytes of data.
1908 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=28.3 ms
1908 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=28.6 ms
1908 bytes from 192.168.0.X: icmp_seq=3 ttl=63 time=29.0 ms
--- 192.168.0.X ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 28.378/28.678/29.003/0.255 ms
[root@test]# ping -M do -s 1416 192.168.0.X
PING 192.168.0.X (192.168.0.X) 1416(1444) bytes of data.
--- 192.168.0.X ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
[root@test]# ping -M do -s 1415 192.168.0.X
PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data.
1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms
1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms
--- 192.168.0.X ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms

Что не так с туннелем?

Содержание

Медленный VPN ipsec между CISCO and Linux,GolDi, 10:45 , 29-Июл-09
- Медленный VPN ipsec между CISCO and Linux,lesha4ever, 10:57 , 29-Июл-09
Медленный VPN ipsec между CISCO and Linux,lesha4ever, 16:19 , 29-Июл-09
- Медленный VPN ipsec между CISCO and Linux,lesha4ever, 15:59 , 30-Июл-09

Сообщения в этом обсуждении

"Медленный VPN ipsec между CISCO and Linux"
Отправлено GolDi , 29-Июл-09 10:45

>[оверквотинг удален]
> authentication pre-share
> group 2
>!
>crypto isakmp key SECRETKEY address IP_REMOTE_PEER
>crypto isakmp invalid-spi-recovery
>crypto isakmp keepalive 60
>!
>!
>crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
> mode transport
а почему не tunnel?
>!
>!
>crypto map L2TP 1 ipsec-isakmp
> set peer IP_REMOTE_PEER
> set security-association lifetime seconds 28800
> set transform-set SITE_TO_SITE
> set pfs group2
> match address CRYPTO_ACL_IPSec
>crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
и эта строка не нужна
>[оверквотинг удален]
>PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data.
>1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms
>1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms
>
>--- 192.168.0.X ping statistics ---
>2 packets transmitted, 2 received, 0% packet loss, time 1000ms
>rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms
>
>
>Что не так с туннелем?

"Медленный VPN ipsec между CISCO and Linux"
Отправлено lesha4ever , 29-Июл-09 10:57

>[оверквотинг удален]
>>!
>>crypto isakmp key SECRETKEY address IP_REMOTE_PEER
>>crypto isakmp invalid-spi-recovery
>>crypto isakmp keepalive 60
>>!
>>!
>>crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
>> mode transport
>
>а почему не tunnel?
Поставил туннель - эффект тот же
>[оверквотинг удален]
>>!
>>crypto map L2TP 1 ipsec-isakmp
>> set peer IP_REMOTE_PEER
>> set security-association lifetime seconds 28800
>> set transform-set SITE_TO_SITE
>> set pfs group2
>> match address CRYPTO_ACL_IPSec
>>crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
>
> и эта строка не нужна
это не полный конфиг. Там есче есть виндовые юзера которые к ВПНу конектятся и работают, просто не показал те строки
>[оверквотинг удален]
>>PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data.
>>1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms
>>1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms
>>
>>--- 192.168.0.X ping statistics ---
>>2 packets transmitted, 2 received, 0% packet loss, time 1000ms
>>rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms
>>
>>
>>Что не так с туннелем?

"Медленный VPN ipsec между CISCO and Linux"
Отправлено lesha4ever , 29-Июл-09 16:19

Ничего не понятно.
Поднял тестовый Linux у себя в сети - с ним без проблем завязалась циска и все работает нормально. Сразу же подозрения пали на удаленный сервер либо на интернет канал к нему.
НО связав свой тестовый линукс с удаленным линуксом - все заработало тоже прекрасно. Значит таки в циске что то не так, только вот что не могу понять(((

"Медленный VPN ipsec между CISCO and Linux"
Отправлено lesha4ever , 30-Июл-09 15:59

Все проблема решена.
Заработало!
Все было в ip cef!!!!!
Установив no ip cef - все заработало.
Начал разбиратся, оказывается было
ip route 192.168.0.0 255.255.255.0 GigabitEthernet0/1
и жутко тормозило из-за ip cef
поставил на не итерфейс а на IP и все прекрасно заработало.
ip route 192.168.0.0 255.255.255.0 192.168.0.Х
Помог гугл и статья http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...