https://www.opennet.ru/openforum/vsluhforumID6/19368.html Добрый день<br><br>Есть туннель VPN ipsec между CISCO and Linux. Пинги ходят. Все прекрасно на первый взгляд. Но когда дошло до почты - не проходит. Таймауты выдает. Потом попробовали скачать по ФТП - скорость 234 B/s, и это при канале в 10 мбит. Понятно что что-то не так с каналом ВПН. В первую очередь подозрения упали в сторону MTU, но вот где именно заминка не могу понять.<br><br>пробывал <br>ip tcp adjust-mss 1300<br>и<br>crypto ipsec fragmentation before-encryption<br>на интерфейсе где криптомап - не помогает.<br><br>конфиг ВПНа<br><br>crypto isakmp policy 10<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp key SECRETKEY address IP_REMOTE_PEER<br>crypto isakmp invalid-spi-recovery<br>crypto isakmp keepalive 60<br>!<br>!<br>crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac<br> mode transport<br>!<br>!<br>crypto map L2TP 1 ipsec-isakmp<br> set peer IP_REMOTE_PEER<br> set security-association lifetime seconds 28800<br> set transform-set SITE_TO_SITE<br> set pfs group2<br> match address CRYPTO_ACL_IPSec<br>crypto map L2T https://www.opennet.ru/openforum/vsluhforumID6/19368.html#4 Thu, 30 Jul 2009 11:59:49 GMT Все проблема решена.<br>Заработало!<br>Все было в ip cef!!!!!<br>Установив no ip cef - все заработало.<br>Начал разбиратся, оказывается было<br><br>ip route 192.168.0.0 255.255.255.0 GigabitEthernet0/1<br>и жутко тормозило из-за ip cef<br><br>поставил на не итерфейс а на IP и все прекрасно заработало.<br>ip route 192.168.0.0 255.255.255.0 192.168.0.Х<br><br>Помог гугл и статья http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=28641<br> https://www.opennet.ru/openforum/vsluhforumID6/19368.html#3 Wed, 29 Jul 2009 12:19:39 GMT Ничего не понятно.<br>Поднял тестовый Linux у себя в сети - с ним без проблем завязалась циска и все работает нормально. Сразу же подозрения пали на удаленный сервер либо на интернет канал к нему.<br>НО связав свой тестовый линукс с удаленным линуксом - все заработало тоже прекрасно. Значит таки в циске что то не так, только вот что не могу понять(((<br> https://www.opennet.ru/openforum/vsluhforumID6/19368.html#2 Wed, 29 Jul 2009 06:57:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;crypto isakmp key SECRETKEY address IP_REMOTE_PEER <br>&gt;&gt;crypto isakmp invalid-spi-recovery <br>&gt;&gt;crypto isakmp keepalive 60 <br>&gt;&gt;! <br>&gt;&gt;! <br>&gt;&gt;crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac <br>&gt;&gt; mode transport <br>&gt;<br>&gt;а почему не tunnel? <br><br>Поставил туннель - эффект тот же<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;crypto map L2TP 1 ipsec-isakmp <br>&gt;&gt; set peer IP_REMOTE_PEER <br>&gt;&gt; set security-association lifetime seconds 28800 <br>&gt;&gt; set transform-set SITE_TO_SITE <br>&gt;&gt; set pfs group2 <br>&gt;&gt; match address CRYPTO_ACL_IPSec <br>&gt;&gt;crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D <br>&gt;<br>&gt; и эта строка не нужна <br><br>это не полный конфиг. Там есче есть виндовые юзера которые к ВПНу конектятся и работают, просто не показал те строки<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data. <br>&gt;&gt;1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms <br>&gt;&gt;1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms <br>&gt;&gt;<br>&gt;&gt;--- 192.168.0.X ping statistics --- <br>&gt;&gt;2 pack https://www.opennet.ru/openforum/vsluhforumID6/19368.html#1 Wed, 29 Jul 2009 06:45:03 GMT &gt;[оверквотинг удален]<br>&gt; authentication pre-share <br>&gt; group 2 <br>&gt;! <br>&gt;crypto isakmp key SECRETKEY address IP_REMOTE_PEER <br>&gt;crypto isakmp invalid-spi-recovery <br>&gt;crypto isakmp keepalive 60 <br>&gt;! <br>&gt;! <br>&gt;crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac <br>&gt; mode transport <br><br>а почему не tunnel?<br>&gt;! <br>&gt;! <br>&gt;crypto map L2TP 1 ipsec-isakmp <br>&gt; set peer IP_REMOTE_PEER <br>&gt; set security-association lifetime seconds 28800 <br>&gt; set transform-set SITE_TO_SITE <br>&gt; set pfs group2 <br>&gt; match address CRYPTO_ACL_IPSec <br>&gt;crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D <br><br> и эта строка не нужна<br>&gt;[оверквотинг удален]<br>&gt;PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data. <br>&gt;1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms <br>&gt;1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms <br>&gt;<br>&gt;--- 192.168.0.X ping statistics --- <br>&gt;2 packets transmitted, 2 received, 0% packet loss, time 1000ms <br>&gt;rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms <br>&gt;<br>&gt;<br>&gt;Что не так с туннелем? <br><br>