URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22157
[ Назад ]
Исходное сообщение
"нестабильная работа ipsec vpn"
Отправлено Raine , 22-Янв-11 12:09 
Помогите разобраться с ситуацией. Есть 2 рутера 1812 стоят в разных филиалах. через nat связь между ними отличная, но через vpn начинается резкая потеря связи. Пинги проходят процентов на 40. Еще дело в том что провайдер держит между филиалами какое-то свое защищенное соединение(называя его VPN странная конечно услуга) и надо сделать cisco vpn внутри ихнего vpn.
Пытался поставить mtu 1476 на внешних интерфейсах, не помогло, да и повторюсь без инкапсуляции все работает отлично и на интерфейсах mtu 1500.
version 12.4
service nagle
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
no service dhcp
!
ip tcp path-mtu-discovery
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
crypto isakmp key ХХХХХХХХХХ address 192.168.Х.ХХХ
!
!
crypto ipsec transform-set aset esp-aes 256 esp-sha-hmac
!
crypto map vladsn 10 ipsec-isakmp
set peer 192.168.Х.ХХХ
set transform-set aset
match address vsn_vpn
!
interface FastEthernet0
ip address 192.168.8.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no cdp enable
!
interface FastEthernet1
ip address 192.168.Y.Y 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map vladsn
!
ip route 0.0.0.0 0.0.0.0 192.168.Y.Y
ip nat inside source list 101 interface FastEthernet1 overload
!
ip access-list extended vsn_vpn
permit ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255
!
access-list 101 deny   ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 101 permit ip 192.168.8.0 0.0.0.255 any

Оно работает(если можно так назвать) но с 60% потерей пингов

Содержание
Сообщения в этом обсуждении
"нестабильная работа ipsec vpn"
Отправлено Aleks305 , 22-Янв-11 17:24 
>[оверквотинг удален]
> !
> ip route 0.0.0.0 0.0.0.0 192.168.Y.Y
> ip nat inside source list 101 interface FastEthernet1 overload
> !
> ip access-list extended vsn_vpn
>  permit ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255
> !
> access-list 101 deny   ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255
> access-list 101 permit ip 192.168.8.0 0.0.0.255 any
> Оно работает(если можно так назвать) но с 60% потерей пингов

У провайдера просто поднято mpls vpn. Не просто же так вы используете приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec

"нестабильная работа ipsec vpn"
Отправлено Raine , 23-Янв-11 03:34 
> У провайдера просто поднято mpls vpn. Не просто же так вы используете
> приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его
> уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec

Пытался уже на обеих кошках:
conf t
interface fa1
ip mtu 1476
и даже
ip mtu 1400
Не помогает. Может чего не так изменяю?
да и вроде строчка ip tcp path-mtu-discovery должна была это отслеживать

"нестабильная работа ipsec vpn"
Отправлено name , 23-Янв-11 17:20 
>[оверквотинг удален]
>> приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его
>> уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec
> Пытался уже на обеих кошках:
> conf t
> interface fa1
> ip mtu 1476
> и даже
> ip mtu 1400
> Не помогает. Может чего не так изменяю?
> да и вроде строчка ip tcp path-mtu-discovery должна была это отслеживать

сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета, узнаете максимальный размер пакета.
иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте

"нестабильная работа ipsec vpn"
Отправлено Raine , 02-Фев-11 10:22 
> сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета,
> узнаете максимальный размер пакета.
> иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте

максимальный размер пакета 1372.
ставил ip mtu 1000 не помогает.
Теряется ровно половина пингов.
P.S. Из разряда если у вас теряется половина пингов пингуйте в 2 раза чаще

"нестабильная работа ipsec vpn"
Отправлено himik1986 , 02-Фев-11 17:43 
>> сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета,
>> узнаете максимальный размер пакета.
>> иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте
> максимальный размер пакета 1372.
> ставил ip mtu 1000 не помогает.
> Теряется ровно половина пингов.
> P.S. Из разряда если у вас теряется половина пингов пингуйте в 2
> раза чаще

no ip cef

"нестабильная работа ipsec vpn"
Отправлено j_vw , 02-Фев-11 20:59 
> no ip cef

Ну, это "грубо" ;)

Способ, который, точно, работает:
Выставить на компах во внутренней сети MTU 1300 (с помощью, например, утилиты SetMTU из пакета Cisco VPN Client)
Я был вынужден именно так и поступить в варианте "псевдо-провод" через шифрованный туннель.
Другого рабочего варианта не нашел :(

По проблеме MTU есть статья на Cisco и ее перевод.....
Вспомню...Дам ссылку.....
А так, пошарьте в "поисковиках" по кодовой фразе "проблема с MTU"


"нестабильная работа ipsec vpn"
Отправлено himik86 , 02-Фев-11 22:23 
>[оверквотинг удален]
> Ну, это "грубо" ;)
> Способ, который, точно, работает:
> Выставить на компах во внутренней сети MTU 1300 (с помощью, например, утилиты
> SetMTU из пакета Cisco VPN Client)
> Я был вынужден именно так и поступить в варианте "псевдо-провод" через шифрованный
> туннель.
> Другого рабочего варианта не нашел :(
> По проблеме MTU есть статья на Cisco и ее перевод.....
> Вспомню...Дам ссылку.....
> А так, пошарьте в "поисковиках" по кодовой фразе "проблема с MTU"

ну не знаю про какие ты способы пишешь, но no ip cef помог на 100 процентов... сегодня сам ipsec настраивал... причем пакеты странно терялись:
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Превышен интервал ожидания для запроса.
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Превышен интервал ожидания для запроса.
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Превышен интервал ожидания для запроса.
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Превышен интервал ожидания для запроса.
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Превышен интервал ожидания для запроса.
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Превышен интервал ожидания для запроса.
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Превышен интервал ожидания для запроса.
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
и тут также 40% потерь было

"нестабильная работа ipsec vpn"
Отправлено Raine , 03-Фев-11 07:13 
> Превышен интервал ожидания для запроса.
> Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
> Превышен интервал ожидания для запроса.
> Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
> Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253
> и тут также 40% потерь было

Помог no ip cef. Спасибо

"нестабильная работа ipsec vpn"
Отправлено j_vw , 03-Фев-11 19:24 
Господа.
Может я путаю "теплое" с "мягким", но отключение cef очень сильно влияет на производительность рутера.
Упретесь в процессор(загрузка прерываниями), который, и так, нифига не быстрый...
Не считая того, что некоторые "фичи" без cef, просто, не работают...

http://www.cisco.com/en/US/tech/tk827/tk831/technologies_whi...

"нестабильная работа ipsec vpn"
Отправлено Sf , 03-Фев-11 19:46 
>encr aes 256

сорри за офтоп, а о использовании стойкого крипто вы как бы в курсе.