https://opennet.ru/openforum/vsluhforumID6/17708.html Доступ через циску (2811) на любой внешний сервис (из LAN в WAN, из LAN в DMZ, из DMZ в WAN - без разницы) идет с большим таймаутом. Поставил на внутренний интерфейс permit ip any any - тот же эффект.<br>Например, ssh 192.168.1.12 висит около 30 секунд до вывода приглашения, telnet 213.180.204.8 80 висит секунд 20, днс вообще не работает - видимо изза большого таймаута..<br><br>Если сессия установилась, дальше она работает без проблем. Например ssh после того как принял пароль работает дальше шустро, без тормозов.<br><br>Подскажите, в чем может быть дело?<br><br>Вот конфиг циски:<br><br>!<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec localtime<br>service timestamps log datetime msec localtime<br>service password-encryption<br>service sequence-numbers<br>!<br>hostname cisco_2811_1<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>security authentication failure rate 10 log<br>security passwords min-length 6<br>logging buffered 4096 debugging<br>logging console critical<br>en https://opennet.ru/openforum/vsluhforumID6/17708.html#9 Wed, 03 Dec 2008 06:03:39 GMT &gt;дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим <br>&gt;коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга. <br>&gt;поэтому так долго. <br><br>Спасибо за подсказку. Получается что дело было в днс, видимо циска не пропускала обратные пакеты на днс запросы, а ip inspect это дело поправил. Хотя все равно не очень понятно как хост 10.1.1.11 и сервер 192.168.1.12 могут отрезолвить друг друга? Сети разные, частные, и друг о друге ничего не знают. Даже днс сервера в каждой сетке свои.<br> https://opennet.ru/openforum/vsluhforumID6/17708.html#8 Tue, 02 Dec 2008 13:41:22 GMT как ни странно помогло возвращение инспектов, а именно <br>ip inspect name autosec_inspect udp timeout 15<br><br>прокомментируйте плиз, как это связано все???<br> https://opennet.ru/openforum/vsluhforumID6/17708.html#7 Mon, 01 Dec 2008 16:21:36 GMT &gt;&gt;Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh. <br>&gt;&gt;<br>&gt;&gt;На первом хосте в файле hosts прописал <br>&gt;&gt;192.168.1.12 server <br>&gt;&gt;на втором прописал <br>&gt;&gt;10.1.1.11 host <br>&gt;&gt;чтобы у них не было никаких вопросов к днс. <br>&gt;&gt;ситуация не поменялась... <br>&gt;<br>&gt;Покажите вывод от "cat /etc/nsswitch.conf &#124; grep ^hosts". <br><br>server# cat /etc/nsswitch.conf &#124; grep ^hosts<br>hosts: files dns<br>server#<br><br>... может быть дело в arp? ...<br> https://opennet.ru/openforum/vsluhforumID6/17708.html#6 Mon, 01 Dec 2008 16:03:33 GMT &gt;Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh. <br>&gt;<br>&gt;На первом хосте в файле hosts прописал <br>&gt;192.168.1.12 server <br>&gt;на втором прописал <br>&gt;10.1.1.11 host <br>&gt;чтобы у них не было никаких вопросов к днс. <br>&gt;ситуация не поменялась... <br><br>Покажите вывод от "cat /etc/nsswitch.conf &#124; grep ^hosts".<br> https://opennet.ru/openforum/vsluhforumID6/17708.html#5 Mon, 01 Dec 2008 15:32:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;поставил на циске <br>&gt;&gt;no ip domain-lookup <br>&gt;&gt;и до кучи <br>&gt;&gt;no ip name-server <br>&gt;&gt;no ip domain name <br>&gt;&gt;<br>&gt;&gt;что то не помогает =( <br>&gt;<br>&gt;это на серверах нужно делать. <br><br>Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh.<br>На первом хосте в файле hosts прописал <br>192.168.1.12 server<br>на втором прописал<br>10.1.1.11 host<br>чтобы у них не было никаких вопросов к днс.<br>ситуация не поменялась...<br><br> https://opennet.ru/openforum/vsluhforumID6/17708.html#4 Mon, 01 Dec 2008 15:13:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга. <br>&gt;&gt;поэтому так долго. <br>&gt;<br>&gt;поставил на циске <br>&gt;no ip domain-lookup <br>&gt;и до кучи <br>&gt;no ip name-server <br>&gt;no ip domain name <br>&gt;<br>&gt;что то не помогает =( <br><br>это на серверах нужно делать.<br> https://opennet.ru/openforum/vsluhforumID6/17708.html#3 Mon, 01 Dec 2008 15:12:13 GMT &gt;дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим <br>&gt;коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга. <br>&gt;поэтому так долго. <br><br>поставил на циске <br>no ip domain-lookup<br>и до кучи<br>no ip name-server<br>no ip domain name<br><br>что то не помогает =(<br><br><br> https://opennet.ru/openforum/vsluhforumID6/17708.html#2 Mon, 01 Dec 2008 12:13:13 GMT дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга. поэтому так долго.<br> https://opennet.ru/openforum/vsluhforumID6/17708.html#1 Mon, 01 Dec 2008 08:21:51 GMT Убрал еще на всякий случай все ip inspect, не помогает =(<br>