Здравствуйте!
есть 2 компьютера c ОС WIN2003 SP1 32 bit находящиеся по разные сторон файрвола
файрвол Cisco ASA 5500(FW)
открыл необходимые порты для сетевого доступа на FW, .
Сетевые папки видятся, но при попытке открыть любую шару. выдает ошибку "network path is no longer available"
Смотрю в логах файрвола след. запись:Dropping TCP packet from AGF-FTE:10.37.150.248/445 to AGF-NET:192.168.8.8/1262, reason: MSS exceeded, MSS 1380, data 1460
Я пробовал отключать mss exceed, в циске 2 способами описанными ниже:
1 способ:
pixfirewall(config)#access-list http-list2 permit tcp any host 10.37.150.248
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)#
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface AGF-FTE
pixfirewall#2 способ:
pixfirewall(config)#access-list http-list2 permit tcp any host 10.37.150.248
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)#
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match any
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 global
pixfirewall#
НЕ помогло..
FW в логах дропит пакеты.
Ума не приложу что делать?
Может уменьшить размер фрагментов MSS на win машинах ?
Очень надеюсь на Вашу помощь
>[оверквотинг удален]
>pixfirewall(config-pmap-c)#set connection advanced-options mss-map
>pixfirewall(config-pmap-c)#exit
>pixfirewall(config-pmap)#exit
>pixfirewall(config)#service-policy http-map1 global
>pixfirewall#
>НЕ помогло..
>FW в логах дропит пакеты.
>Ума не приложу что делать?
>Может уменьшить размер фрагментов MSS на win машинах ?
>Очень надеюсь на Вашу помощьНашел ветку, ссылка с описанием не работает
http://www.opennet.me/openforum/vsluhforumID6/10270.html#1
>[оверквотинг удален]
>pixfirewall(config-pmap-c)#set connection advanced-options mss-map
>pixfirewall(config-pmap-c)#exit
>pixfirewall(config-pmap)#exit
>pixfirewall(config)#service-policy http-map1 global
>pixfirewall#
>НЕ помогло..
>FW в логах дропит пакеты.
>Ума не приложу что делать?
>Может уменьшить размер фрагментов MSS на win машинах ?
>Очень надеюсь на Вашу помощьлучше уменьшить на венде размер.
альтернатива попробуйте так сделать
policy-map http-map1
class http-map1
set connection advanced-options mss-maptcp-map mss-map
exceed-mss allowservice-policy http-map1 interface outside
ну и лист нарисуйте кому пропускать и какой порт
>>[оверквотинг удален]
>лучше уменьшить на венде размер.
>альтернатива попробуйте так сделать
>policy-map http-map1............
>ну и лист нарисуйте кому пропускать и какой портДелал не помогло, занимаюсь поиском ошибок, может накосячил где.
а как ув винде уменьшить ?
накопал статейку:
http://support.microsoft.com/kb/224829
не понимаю как нарисовать: 16к размер!???
или это в другом месте меняется.
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.извините с вендой слабо знаком...
счас посмотрю мож че найду.
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.покажите как нарисовали ?
и вот в догонку про венду http://www.kursknet.ru/Help/mtu.sht
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.сорри не внимательно смотрел что вы выложили :)
MTU 1500 тупо
первым, что пробовал ! не помогло!
Разобрался!!!!
Нашел косяГ!!!!
надо было написать отдельный ACL лист(точно, как в примере),
а я навешивал на существующие!
pixfirewall(config)#access-list http-list2 permit tcp any host 10.37.150.248
http://jklogic.net/
бэкапы уже заливаются !!!
Спасибо за советы mario!
>[оверквотинг удален]
>
>............
>>ну и лист нарисуйте кому пропускать и какой порт
>
>Делал не помогло, занимаюсь поиском ошибок, может накосячил где.
>а как ув винде уменьшить ?
>накопал статейку:
>http://support.microsoft.com/kb/224829
>не понимаю как нарисовать: 16к размер!???
>или это в другом месте меняется.а тупо так пробовали ?
mtu outside 1500