Есть два филиала и центральная точка, на базе Cisco 2811 подняты multipoint gre+ipsec туннели, их настройка, идентичная на всех трёх роутерах:interface Tunnel103
description
ip address
no ip redirects
ip mtu 1416
ip tcp adjust-mss 1376
ip nhrp authentication men3tat!
ip nhrp map multicast dynamic
ip nhrp map
ip nhrp map multicast
ip nhrp network-id 1921
ip nhrp nhs
ip nhrp registration no-unique
tunnel source
tunnel mode gre multipoint
tunnel key 798
tunnel protection ipsec profile _vtprofile
!Туннели работают, всё хорошо, но!
Если из сетей филиала пинговать узлы центрального офиса командой
ping -M do -s 1450 и подбирать размер, то при превышении размера одного пакета в одном филиале получаем в выводе команды максимальный MTU 1446, в другом - 1416. Почему так может быть? Всё одинаковое на узлах, кроме оборудования провайдера, в нём может быть причина? Откуда берётся значение 1446?
Выводы sh ip int одинаковы в части MTU
> Туннели работают, всё хорошо, но!Работает - не лезь, не чини, не задавай вопросов.
> Всё одинаковое на узлах, кроме оборудования провайдера, в нём может быть
> причина? Откуда берётся значение 1446?Ну если у вас на точках ВСЕ одинаковое, а между точками - черный ящик - какой еще ответ вы ждете?
Пообщайтесь с провайдером на этот предмет, он явно ближе к своему и вашему оборудованию, чем местные телепаты...
>> Туннели работают, всё хорошо, но!
> Работает - не лезь, не чини, не задавай вопросов.
>> Всё одинаковое на узлах, кроме оборудования провайдера, в нём может быть
>> причина? Откуда берётся значение 1446?
> Ну если у вас на точках ВСЕ одинаковое, а между точками -
> черный ящик - какой еще ответ вы ждете?
> Пообщайтесь с провайдером на этот предмет, он явно ближе к своему и
> вашему оборудованию, чем местные телепаты...Тут вопрос в том, что у меня в тоннеле указан MTU 1416, а оборудование в этом филиале видит что 1446, откуда бОльшее значение появляется, при чём тут по идее провайдер?
>>> Туннели работают, всё хорошо, но!
>> Работает - не лезь, не чини, не задавай вопросов.
>>> Всё одинаковое на узлах, кроме оборудования провайдера, в нём может быть
>>> причина? Откуда берётся значение 1446?
>> Ну если у вас на точках ВСЕ одинаковое, а между точками -
>> черный ящик - какой еще ответ вы ждете?
>> Пообщайтесь с провайдером на этот предмет, он явно ближе к своему и
>> вашему оборудованию, чем местные телепаты...Выяснилось интересное:
Пинговал непосредственно с циски, на которой строится тоннель и нашёл интересное:
На обоих филиалах максимальный размер пакета через интернет до роутера центрального узла - 1500.
Пакеты через тоннель до узлов внутренней сети центральной точки: у "нормального" филиала - 1416, у "тормозного" - 1351!
Вообще бред...
А чего вы ждёте?
Если действительно хотите помощи, то выкладывайте максимум информации.Нет ни строчки конфигурации, а вы оперируете конкретными значениями mtu
> А чего вы ждёте?
> Если действительно хотите помощи, то выкладывайте максимум информации.
> Нет ни строчки конфигурации, а вы оперируете конкретными значениями mtuВ первом сообщении настройка тоннеля.
>> А чего вы ждёте?
>> Если действительно хотите помощи, то выкладывайте максимум информации.
>> Нет ни строчки конфигурации, а вы оперируете конкретными значениями mtu
> В первом сообщении настройка тоннеля.ага, хаба... а что у вас в филиалах, пойди догадайся...
>[оверквотинг удален]
>>> черный ящик - какой еще ответ вы ждете?
>>> Пообщайтесь с провайдером на этот предмет, он явно ближе к своему и
>>> вашему оборудованию, чем местные телепаты...
> Выяснилось интересное:
> Пинговал непосредственно с циски, на которой строится тоннель и нашёл интересное:
> На обоих филиалах максимальный размер пакета через интернет до роутера центрального узла
> - 1500.
> Пакеты через тоннель до узлов внутренней сети центральной точки: у "нормального" филиала
> - 1416, у "тормозного" - 1351!
> Вообще бред...Если мне память не изменяет
IPSEC дает НЕ фиксированный постоянный оверхед......
>[оверквотинг удален]
>>>> вашему оборудованию, чем местные телепаты...
>> Выяснилось интересное:
>> Пинговал непосредственно с циски, на которой строится тоннель и нашёл интересное:
>> На обоих филиалах максимальный размер пакета через интернет до роутера центрального узла
>> - 1500.
>> Пакеты через тоннель до узлов внутренней сети центральной точки: у "нормального" филиала
>> - 1416, у "тормозного" - 1351!
>> Вообще бред...
> Если мне память не изменяет
> IPSEC дает НЕ фиксированный постоянный оверхед......шифрование блочное, так что +/- размер блока.
> Выяснилось интересное:
> Пинговал непосредственно с циски, на которой строится тоннель и нашёл интересное:
> На обоих филиалах максимальный размер пакета через интернет до роутера центрального узла
> - 1500.
> Пакеты через тоннель до узлов внутренней сети центральной точки: у "нормального" филиала
> - 1416, у "тормозного" - 1351!
> Вообще бред...Провайдер сам может на своем оборудовании менять MTU на транзитном траффике.
>[оверквотинг удален]
> tunnel protection ipsec profile _vtprofile
> !
> Туннели работают, всё хорошо, но!
> Если из сетей филиала пинговать узлы центрального офиса командой
> ping -M do -s 1450 и подбирать размер, то при превышении размера
> одного пакета в одном филиале получаем в выводе команды максимальный MTU
> 1446, в другом - 1416. Почему так может быть? Всё одинаковое
> на узлах, кроме оборудования провайдера, в нём может быть причина? Откуда
> берётся значение 1446?
> Выводы sh ip int одинаковы в части MTUВот здесь про MTU и о том как на железе от одного вендора он может отличаться в зависимости от линейки оборудовани: