URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23495
[ Назад ]

Исходное сообщение
"Проблемы с http и https при работе через GRE туннель"
Отправлено smirnovp , 04-Фев-12 12:16

Добрый день.
Ситуация следующая: Имеются 2 сети (192.168.1.0/24) и (192.168.2.0/24), соединенные по средствам GRE туннеля поднятого на 2 маршрутизаторах Cisco.
Проблема: При попытки обратиться к http ресурсу через туннель странница долго пытается загрузиться после чего появляется ошибка по таймауту
Для https: При обращении к ресурсу получаем запрос на подтверждение сертификата (самовыданный), после чего ситуация аналогична http.
При этом проблема возникает вне зависимости от порта на который идет обращения. Остальной трафик через туннель ходит без проблем. Файрволы тоже не причем.
Логи WireShark (с интерфейса машины клиента обращающегося к http/https ресурсу и с интерфейса сервера) показали следующее:
Само соединение по порту 80, 443 или иному проходит нормально, но где-то по пути теряются пакеты от сервера к клиенту содержащие непосредственно http. Все запросы от клиента к серверу проходят без проблем.
Конфиг туннелей:
Маршрутизатор 1 (1.1.1.1)
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key *** address 2.2.2.2
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set strong esp-3des esp-sha-hmac
!
crypto map mymap local-address FastEthernet4
crypto map mymap 10 ipsec-isakmp
set peer 2.2.2.2
set transform-set strong
match address 111
interface Tunnel0
description Tunnel to City2
ip address 10.10.1.9 255.255.255.252
tunnel source FastEthernet4
tunnel destination 2.2.2.2
crypto map mymap
interface FastEthernet4
ip address 1.1.1.1 255.255.255.224
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map mymap
ip route 192.168.2.0 255.255.255.0 Tunnel0
access-list 111 permit gre host 1.1.1.1 host 2.2.2.2
Маршрутизатор 2 (2.2.2.2)
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key *** address 1.1.1.1
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set strong esp-3des esp-sha-hmac
!
crypto map mymap local-address FastEthernet4
crypto map mymap 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set strong
match address 111
interface Tunnel0
description Tunnel to City1
ip address 10.10.1.10 255.255.255.252
tunnel source FastEthernet4
tunnel destination 1.1.1.1
crypto map mymap
interface FastEthernet4
ip address 2.2.2.2 255.255.255.0
ip access-group 110 in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map mymap
ip route 192.168.1.0 255.255.255.0 Tunnel0
access-list 111 permit gre host 2.2.2.2 host 1.1.1.1
Есть ли у кого-то идеи как решить данную проблему?

Содержание

Проблемы с http и https при работе через GRE туннель,PavelR, 13:20 , 04-Фев-12
- Проблемы с http и https при работе через GRE туннель,Aleks305, 18:56 , 04-Фев-12
Проблемы с http и https при работе через GRE туннель,Mikhail, 20:20 , 04-Фев-12
- Проблемы с http и https при работе через GRE туннель,smirnovp, 13:30 , 06-Фев-12

Сообщения в этом обсуждении

"Проблемы с http и https при работе через GRE туннель"
Отправлено PavelR , 04-Фев-12 13:20

> Есть ли у кого-то идеи как решить данную проблему?
Ищите на тему MTU/MSS/MSSfix

"Проблемы с http и https при работе через GRE туннель"
Отправлено Aleks305 , 04-Фев-12 18:56

>> Есть ли у кого-то идеи как решить данную проблему?
> Ищите на тему MTU/MSS/MSSfix
для gre-туннелей лучше на мой взгляд использовать сrypto ipsec profile.

"Проблемы с http и https при работе через GRE туннель"
Отправлено Mikhail , 04-Фев-12 20:20

MTU

"Проблемы с http и https при работе через GRE туннель"
Отправлено smirnovp , 06-Фев-12 13:30

Спасибо всем за ответы.
К сожалению, поэкспериментировать с mtu не удалось. На одной из сторон был заменен роутер, после восстановления конфига проблема самоликвидировалась.