The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
ASA 9.1(1) L2TP MTU, !*! McLeod095, 07-Мрт-14, 11:55  [смотреть все]
Всем привет!
Имеется ASA5515-X
Настроен VPN
Cisco VPN
L2TP/IPSEC
Все работает
во всяком случае так казалось
Cisco vpn работает норм
даже l2tp работает норм с Mac OS
А вот при подключении по l2tp с Windows 7 начинаются проблемы, вернее все подключается и даже ходят пинги, даже по ссш можно к серверам подключиться, но только до того момента как попытаться например посмотреть ps ax
все, на этом можно и заканчивать работу
Высянил что более 1350 байт ну не лезет по l2tp
вроде проблема ясная и как ее решить на тех же маршрутизаторах cisco можно найти, но вот как решить на данном агрегате не имею понятия

Прописал
crypto ipsec df-bit clear-df INTERNET-ISP1
Не помогает

Может кто решал уже и натолкнет на мысли
Заранее спасибо!

Ответить | Сообщить модератору
  • ASA 9.1(1) L2TP MTU, !*! McLoud, 12:08 , 07-Мрт-14 (1)
    У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах или на ASA. Если есть между серверами и ASA еще L3 оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно посмотреть на ASA.
    Ответить | Сообщить модератору
    • ASA 9.1(1) L2TP MTU, !*! McLeod095, 16:33 , 07-Мрт-14 (2)
      > У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах
      > или на ASA. Если есть между серверами и ASA еще L3
      > оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих
      > сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов
      > MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно
      > посмотреть на ASA.

      на ASA mtu стоит 1500
      как на другом оборудовании настроено которые между не могу сказать
      но если бы это было на этом оборудовании то наверное я бы и с мака не смог подключиться, но с енго то я не только подключаюсь но и нормально работаю

      Надо будет проверить какие там пакеты проходят

      Ответить | Сообщить модератору
  • ASA 9.1(1) L2TP MTU, !*! старый сантехник, 19:07 , 07-Мрт-14 (3)
    попробуйте 2 вещи проверить:

    1) Посмотрите какой mtu у l2tp интерфейса на Win7, если он больше 1350, то можно попробовать выставить именно 1350. К примеру вот 2 способа описаны - http://www.mydigitallife.info/how-to-set-and-change-mtu-in-w.../

    2) Запретить Path MTU Discovery на Win7. К примеру вот тут описано, как - http://www.windowsreference.com/networking/enabledisable-pat.../

    Ответить | Сообщить модератору
  • ASA 9.1(1) L2TP MTU, !*! anonymous, 21:24 , 07-Мрт-14 (4)
    • ASA 9.1(1) L2TP MTU, !*! anonymous, 21:25 , 07-Мрт-14 (5)
      На асе icmp хелпер вкл как inspect icmp
      Ответить | Сообщить модератору
      • ASA 9.1(1) L2TP MTU, !*! McLeod095, 17:15 , 11-Мрт-14 (6)
        > На асе icmp хелпер вкл как inspect icmp

          inspect icmp

        стоит на асе
        для впн юзверей никаких access list нет
        Понятное дело что на клиентских компах менять мту не вариант

        Заметил что если ломиться с макос то там мту для ppp выставляется 1280
        а вот на windows 1400
        есть вроде подозрение что не прозодят icmp пакеты которые говорят что нужна фрагментация пакеты
        но тогда не могу понять где они блокируются
        сейчас завел вроде винду прописав
        sysopt connection tcpmss 1200
        но мне кажется это костыль
        тем более что как эта настройка вроде будет распространяться на все интерфейсы, не только на впн клиентов.

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру