https://slinkov.ru/openforum/vsluhforumID6/18281.html Есть несколько объектов в Москве, которые связаны с офисом через ipsec туннели. Среди них на 2-х каналах существует проблема: перестают ходить пакеты внутри туннелей, при этом внешний адрес маршрутизатора пингуется. Ошибок на интерфейсах нет, ни на внешнем, ни на туннелях. Туннели не падают. После какого-то времени само восстанавливается. Конфигурация стандартна более чем на 20-ти объектах, проблема на 2-х.<br>Со стороны объекта Cisco 871 c870-advsecurityk9-mz.124-15.T4<br>crypto ipsec transform-set sm_set esp-3des esp-md5-hmac<br>!<br>crypto ipsec profile sm_profile<br> set transform-set sm_set <br>!<br>interface Tunnel0<br> description Connect to Office (Master)<br> bandwidth 256<br> ip unnumbered Vlan1<br> ip access-group guard_out out<br> no ip redirects<br> no ip unreachables<br> no ip proxy-arp<br> ip mtu 1500<br> ip route-cache flow<br> no ip mroute-cache<br> keepalive 5 2<br> tunnel source FastEthernet4<br> tunnel destination 62.141.x.x<br> tunnel mode ipsec ipv4<br> tunnel protection ipsec profile s_profile<br> service-policy output Tunnel256<br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#13 Thu, 19 Mar 2009 09:47:08 GMT &gt;Что-то получилось с туннелями? На днях попали точь-в-точь такую же ситуацию? помогает <br>&gt;ли смена ИОСа на новый? <br><br>решили тем, что переключились на канал другого провайдера со стороны офиса (соответственно на резервный туннель). а теперь постепенно переводим на ipvpn, чтобы туннелей вообще не было. вообщем, так и не разобрались в чем дело было.<br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#12 Mon, 16 Mar 2009 20:06:42 GMT Что-то получилось с туннелями? На днях попали точь-в-точь такую же ситуацию? помогает ли смена ИОСа на новый?<br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#11 Thu, 26 Feb 2009 05:21:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt;? <br>&gt;<br>&gt;пакеты начинают ходить сразу же после shut/no shut на туннеле со стороны <br>&gt;объекта. на криптомап переходить не решение, мы от него отказались, т.к. <br>&gt;со стороны объекта у нас 2 туннеля, второй резервный. они приходят <br>&gt;в 2 офиса на разные маршрутизаторы по 2 каналам разных провайдеров. <br>&gt;<br>&gt;<br>&gt;замена иоса не помогла, кстати, зато помогло (пока только предположительно) переключение на <br>&gt;резервный туннель, он от другого провайдера. <br><br>DPD используется? <br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#10 Wed, 25 Feb 2009 06:28:13 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. <br>&gt;&gt;был такой у нас объект в свое время, так решили переходом <br>&gt;&gt;на ipvpn. каналы там ненагруженные. <br>&gt;<br>&gt;1. если после падения тунеля его пересоздать, т.е. удалить SA и почистить <br>&gt;IKE. Что будет? Тунель поднимится сразу или будет задержка? Есть среднее <br>&gt;время восстановления тунеля? <br>&gt;2. Если попробовать на этих двух точках сделать тунель только через криптомапу <br>&gt;? <br><br>пакеты начинают ходить сразу же после shut/no shut на туннеле со стороны объекта. на криптомап переходить не решение, мы от него отказались, т.к. со стороны объекта у нас 2 туннеля, второй резервный. они приходят в 2 офиса на разные маршрутизаторы по 2 каналам разных провайдеров.<br><br>замена иоса не помогла, кстати, зато помогло (пока только предположительно) переключение на резервный туннель, он от другого провайдера.<br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#9 Wed, 25 Feb 2009 04:35:21 GMT &gt;&gt;Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?<br>&gt;<br>&gt;да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. <br>&gt;был такой у нас объект в свое время, так решили переходом <br>&gt;на ipvpn. каналы там ненагруженные. <br><br>1. если после падения тунеля его пересоздать, т.е. удалить SA и почистить IKE. Что будет? Тунель поднимится сразу или будет задержка? Есть среднее время восстановления тунеля?<br>2. Если попробовать на этих двух точках сделать тунель только через криптомапу ?<br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#8 Tue, 24 Feb 2009 07:49:56 GMT нагрузка 1% во время возникновения проблемы. туннели не падают. вообщем поменял ИОС на c870-advsecurityk9-mz.124-15.T7.bin (он стоит на непроблемных роутерах), сижу мониторю.<br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#7 Tue, 24 Feb 2009 05:34:32 GMT &gt;Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?<br><br>да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. был такой у нас объект в свое время, так решили переходом на ipvpn. каналы там ненагруженные.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#6 Mon, 23 Feb 2009 14:09:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;занимает 4 б. но это не точно. погуглись по этому поводу. <br>&gt;&gt;&gt;&gt;полагаю, что причина именно в этом. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;по идее icmp то должен влазить. <br>&gt;&gt;<br>&gt;&gt;Ну дык автор и пишет, что icmp проходят. <br>&gt;&gt;&gt;&gt;&gt; при этом внешний адрес маршрутизатора пингуется<br>&gt;<br>&gt;а не тунельный. при этом другие точки работают без правки мту. <br>&gt;&gt;при этом другие точки работают без правки мту. <br><br>Не аргумент. Между конечными точками может быть все что угодно. Так что для разных точек могут быть и разные коррективы.<br><br>&gt;&gt;а не тунельный<br><br>А вот над этим уже стоит подумать.<br>Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?<br> https://slinkov.ru/openforum/vsluhforumID6/18281.html#5 Mon, 23 Feb 2009 13:11:50 GMT &gt;&gt;&gt;Во первых, на лицо GRE туннели. <br>&gt;&gt;&gt;GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение <br>&gt;&gt;&gt;- подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ <br>&gt;&gt;&gt;занимает 4 б. но это не точно. погуглись по этому поводу. <br>&gt;&gt;&gt;полагаю, что причина именно в этом. <br>&gt;&gt;<br>&gt;&gt;по идее icmp то должен влазить. <br>&gt;<br>&gt;Ну дык автор и пишет, что icmp проходят. <br>&gt;&gt;&gt;&gt; при этом внешний адрес маршрутизатора пингуется<br><br>а не тунельный. при этом другие точки работают без правки мту.<br>