- IPSec tunnel,
 Pve1, 09:50 , 22-Дек-10 (1)>[оверквотинг удален]
> set transform-set IPSEC
> Далее на интерфейсе tunnel 0
> tunnel protection ipsec profile TUNNEL
> ...на этом все....
> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
> с ftp - тож самое. Ругань на тайм ауты, а после
> дает копировать. Скорость при этом максимально возможная через этот канал..
> Если снова выключить шифрование - все работает опять без проблем.
> Куда копать, как промониторить?Попробуй MTU на тунельном интерфейсе уменьшить до 1400 Нужно обязательно смотреть debug crypto ... А мониторить можно с помощбю ip sla, iperf Что за железо то?
- IPSec tunnel, Алексей, 09:57 , 22-Дек-10 (2)
>[оверквотинг удален]
>> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
>> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
>> с ftp - тож самое. Ругань на тайм ауты, а после
>> дает копировать. Скорость при этом максимально возможная через этот канал..
>> Если снова выключить шифрование - все работает опять без проблем.
>> Куда копать, как промониторить?
> Попробуй MTU на тунельном интерфейсе уменьшить до 1400
> Нужно обязательно смотреть debug crypto ...
> А мониторить можно с помощбю ip sla, iperf
> Что за железо то?Железо - (C870-ADVSECURITYK9-M) с двух сторон...
MTU менял - пофиг..
- IPSec tunnel, aZL, 10:19 , 22-Дек-10 (3)
1. если dropped в sh int tu0
2. deb ip tcp tr
- IPSec tunnel, Алексей, 10:39 , 22-Дек-10 (5)
> 1. если dropped в sh int tu0
> 2. deb ip tcp tr 1. Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 10 ...но значения не миеняются пока во всяком случае.... 2. После запуска отладчика 000093: Dec 22 10:34:52.757 MSK: TCP2: ACK timeout timer expired
000095: Dec 22 10:35:15.970 MSK: TCP2: ACK timeout timer expired
000096: Dec 22 10:35:17.294 MSK: TCP2: ACK timeout timer expired
000097: Dec 22 10:36:17.077 MSK: TCP2: keepalive timeout (0/4)
- IPSec tunnel, aZL, 12:10 , 22-Дек-10 (8)
Ага, тогда ещё:
sh ip traffic | i fragment
и покажите конфиг интерфейсов fa и tun0.
- IPSec tunnel, ShyLion, 15:33 , 24-Дек-10 (29)
debug crypto isakmpДумаю проблемы при изначальном и последующих выборах ключа шифрования.
isakmp нормально ходит между ендпоинтами? Вот железно работающий конфиг на куче роутеров у меня в сети: crypto isakmp policy 20
encr aes 256
hash md5
authentication pre-share
group 2
!
!
crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac
!
!
crypto ipsec profile TUN-AES256
set transform-set AES256-MD5
!
!
!
interface Tunnel
description Over-side-city, over-side-site, Inet, Local ISP - Remote ISP
ip address
keepalive 10 3
tunnel source
tunnel destination
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUN-AES256
!
- IPSec tunnel, Aleks305, 10:38 , 22-Дек-10 (4)
>[оверквотинг удален]
> set transform-set IPSEC
> Далее на интерфейсе tunnel 0
> tunnel protection ipsec profile TUNNEL
> ...на этом все....
> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
> с ftp - тож самое. Ругань на тайм ауты, а после
> дает копировать. Скорость при этом максимально возможная через этот канал..
> Если снова выключить шифрование - все работает опять без проблем.
> Куда копать, как промониторить?set peer в crypto map я у Вас не увидел...
Весь траффик в туннель что ли заворачиваете?acl не нужно?
- IPSec tunnel, Алексей, 11:27 , 22-Дек-10 (6)
>[оверквотинг удален]
>> tunnel protection ipsec profile TUNNEL
>> ...на этом все....
>> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
>> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
>> с ftp - тож самое. Ругань на тайм ауты, а после
>> дает копировать. Скорость при этом максимально возможная через этот канал..
>> Если снова выключить шифрование - все работает опять без проблем.
>> Куда копать, как промониторить?
> set peer в crypto map я у Вас не увидел...
> Весь траффик в туннель что ли заворачиваете?acl не нужно?Нет ни каких крипто мэпов...
- IPSec tunnel, Алексей, 11:51 , 22-Дек-10 (7)
> set peer в crypto map я у Вас не увидел...
> Весь траффик в туннель что ли заворачиваете?acl не нужно?Удалил туннели и сделал крипто мэпы crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key keykeykey address xxxxxxxxxxxxxxxxxxxxxx
crypto isakmp keepalive 60 3
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile TUNNEL
set transform-set IPSEC
crypto map TUNNELTOTC 10 ipsec-isakmp
set peer xxxxxxxxxxxxxxxxxxxxx
set transform-set IPSEC
match address acl_vpn_remote
ip access-list ex acl_vpn_remote permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
В списке доступа для nat -а
access list acl_nat 10 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 (130 matches)
20 permit ip 192.168.0.0 0.0.0.255 any (206 matches)
Все равно ТОРМОЗА!!
- IPSec tunnel, Алексей, 12:14 , 22-Дек-10 (9)
> Все равно ТОРМОЗА!!Прошло 10 минут...После перестройки c профиля на crypto map все заработало как надо.
Спасибо. Тема закрыта!
- IPSec tunnel, Pve1, 15:48 , 22-Дек-10 (10)
>> Все равно ТОРМОЗА!!
> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как
> надо.
> Спасибо. Тема закрыта!Вообще это оч странно...
А если попробовать настройках тунеля жестко указать тип GRE? tunnel mode gre multipoint
По умолчанию, как понимаю - работает ipip Просто IPSec - не удобно)
- IPSec tunnel, Aleks305, 17:10 , 22-Дек-10 (11)
>>> Все равно ТОРМОЗА!!
>> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как
>> надо.
>> Спасибо. Тема закрыта!
> Вообще это оч странно...
> А если попробовать настройках тунеля жестко указать тип GRE?
> tunnel mode gre multipoint
> По умолчанию, как понимаю - работает ipip
> Просто IPSec - не удобно) GRE как правило используется с ipsec для передачи мультикаста в протоколах маршрутизации
- IPSec tunnel, Алексей, 09:29 , 23-Дек-10 (12)
>> Все равно ТОРМОЗА!!
> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как
> надо.
> Спасибо. Тема закрыта!Рано поспешил закрыть тему...Все равно тормоза... Кстати, когда были tunnel-и ставил tunnel moge gre принудительно. Все равно не тормозило...
- IPSec tunnel, Алексей, 09:34 , 23-Дек-10 (13)
Вот конфиг одной из сторон:
!
! Last configuration change at 12:10:15 MSK Wed Dec 22 2010 by support
! NVRAM config last updated at 12:11:39 MSK Wed Dec 22 2010 by support
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname vpn_to_toto
!
boot-start-marker
boot system flash c870-advsecurityk9-mz.124-15.T6.bin
boot-end-marker
!
logging buffered 4096
logging console critical
enable secret 5 ********************************
!
no aaa new-model
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
no ip source-route
no ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip bootp server
no ip domain lookup
ip domain name **************.net
!
!
!
file prompt quiet
username support privilege 15 secret 5 *******************************
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key *************** address xxx.xxx.xxx.xxx
crypto isakmp keepalive 60 3
!
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile TUNNEL
set transform-set IPSEC
!
!
crypto map TUNNELTOTC 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set IPSEC
match address acl_vpn
!
archive
log config
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface Vlan1
ip ssh version 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.0.184 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname **************
ppp chap password 7 ************
ppp pap sent-username ********* password 7 **************
crypto map TUNNELTOTC
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat inside source list acl_nat interface Dialer0 overload
!
ip access-list extended acl_nat
deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
ip access-list extended acl_vpn
permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
access-list 2 permit 192.168.0.1
access-list 2 permit 192.168.0.3
access-list 2 permit 192.168.0.5
access-list 2 deny any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
access-class 2 in
login local
transport input ssh
transport output ssh
!
no scheduler max-task-time
ntp clock-period 17175014
ntp server 192.168.0.1
end
- IPSec tunnel, aZL, 09:36 , 23-Дек-10 (14)
Вы так и не показали
sh ip traffic | i fragment и конфиг tun0.
- IPSec tunnel, Алексей, 09:43 , 23-Дек-10 (15)
> Вы так и не показали
> sh ip traffic | i fragment и конфиг tun0.sh ip traffic | include frag 0 fragmented, 0 fragments, 0 couldn't fragment
Сейчас tunnel нет, но вот когда были
interface Tunnel0
ip address 192.168.50.1 255.255.255.252
tunnel source 1.1.1.1
tunnel destination 2.2.2.2
tunnel protection ipsec profile TUNNEL
- IPSec tunnel, aZL, 11:49 , 23-Дек-10 (16)
О каг, у Вас уже всё координально поменялось...
Давайте попробуем так:
#int vlan 1
)#no ip tcp adjust-mss 1412
#int dialer0
)#no ip mtu 1452
)#ip tcp adjust-mss 1380
- IPSec tunnel, Алексей, 12:15 , 23-Дек-10 (17)
> О каг, у Вас уже всё координально поменялось...
> Давайте попробуем так:
> #int vlan 1
> )#no ip tcp adjust-mss 1412
> #int dialer0
> )#no ip mtu 1452
> )#ip tcp adjust-mss 1380 Поменял...Все тож самое..
Сделал на обоих cisc-ах clear crypto sa ping 192.168.2.5 -l 1500 Обмен пакетами с 192.168.2.5 по 1500 байт:
Ответ от 192.168.2.5: число байт=1500 время=107мс TTL=62
Ответ от 192.168.2.5: число байт=1500 время=111мс TTL=62
Ответ от 192.168.2.5: число байт=1500 время=105мс TTL=62
Ответ от 192.168.2.5: число байт=1500 время=99мс Но даж на ftp в той сети текстовый файл положить не дает 0 time out((
- IPSec tunnel, Алексей, 12:16 , 23-Дек-10 (18)
> О каг, у Вас уже всё координально поменялось...Да уж не знаю куда копать..Пробую все варианты..
- IPSec tunnel, Алексей, 12:20 , 23-Дек-10 (19)
Кстати, вот только что опять все заработало как надо...Вчера тож самое 2-3 часа работает, потом тормоза.
Каналы специально под vpn и пользователей с левым трафиком на них нет.
- IPSec tunnel, aZL, 12:35 , 23-Дек-10 (20)
- IPSec tunnel, Алексей, 12:41 , 23-Дек-10 (21)
>> Кстати, вот только что опять все заработало как надо...
> Т.е. сейчас, например, по ftp всё нормально?
> Ещё: скачайте mturoute (http://www.itsyourip.com/ip-tools/mturoute-free-utility-to-f.../)
> и покажите результаты.
> И с рутера-на-рутер:
> ping x.x.x.x size 1500 df
> ping x.x.x.x size 1500 Было нормально минут 15-20...Копировал на ftp 20Gbt файл...Без проблем..
А сейчас - тож самое...Бред какой то... C:\>mturoute.exe 192.168.2.5
* ICMP Fragmentation is not permitted. *
* Speed optimization is enabled. *
* Maximum payload is 10000 bytes. *
- ICMP payload of 5046 bytes is too big.
- ICMP payload of 2569 bytes is too big.
+ ICMP payload of 1330 bytes succeeded.
- ICMP payload of 1949 bytes is too big.
- ICMP payload of 1639 bytes is too big.
- ICMP payload of 1484 bytes is too big.
...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1368 bytes succeeded.
+ ICMP payload of 1387 bytes succeeded.
...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT)
...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1389 bytes succeeded.
+ ICMP payload of 1390 bytes succeeded.
...- ICMP payload of 1391 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1390 bytes succeeded.
Path MTU: 1418 bytes.
- IPSec tunnel, aZL, 12:59 , 23-Дек-10 (22)
В sh ip traffic | i fragment что-нибудь появилось?
Давайте вернем на
Dialer0
ip mtu 1492
no ip tcp adjust-mss 1380
no ip route-cache
и опять посмотрим на mturoute.exe
- IPSec tunnel, Алексей, 13:02 , 23-Дек-10 (23)
> В sh ip traffic | i fragment что-нибудь появилось?
> Давайте вернем на
> Dialer0
> ip mtu 1492
> no ip tcp adjust-mss 1380
> no ip route-cache
> и опять посмотрим на mturoute.exe sh ip traffic | i fragment
19 fragmented, 38 fragments, 0 couldn't fragment C:\Tools>mturoute.exe 192.168.2.5
* ICMP Fragmentation is not permitted. *
* Speed optimization is enabled. *
* Maximum payload is 10000 bytes. *
- ICMP payload of 5046 bytes is too big.
- ICMP payload of 2569 bytes is too big.
+ ICMP payload of 1330 bytes succeeded.
- ICMP payload of 1949 bytes is too big.
- ICMP payload of 1639 bytes is too big.
- ICMP payload of 1484 bytes is too big.
...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1368 bytes succeeded.
+ ICMP payload of 1387 bytes succeeded.
...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT)
...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1389 bytes succeeded.
+ ICMP payload of 1390 bytes succeeded.
+ ICMP payload of 1391 bytes succeeded.
Path MTU: 1419 bytes.
- IPSec tunnel, aZL, 14:34 , 23-Дек-10 (24)
мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)?
Ещё давайте посмотрим sh cry en a s
- IPSec tunnel, Алексей, 15:07 , 23-Дек-10 (25)
> мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)?
> Ещё давайте посмотрим sh cry en a s Тут все красиво (((
Device: Motorola Talitos 1.0
Location: Onboard: 0
:Statistics for encryption device since the last clear
of counters 88703 seconds ago
41513 packets in 41513 packets out
24393192 bytes in 25110905 bytes out
0 paks/sec in 0 paks/sec out
2 Kbits/sec in 2 Kbits/sec out
15013 packets decrypted 26500 packets encrypted
2064264 bytes before decrypt 22324656 bytes encrypted
1097001 bytes decrypted 24013904 bytes after encrypt
0 packets decompressed 0 packets compressed
0 bytes before decomp 0 bytes before comp
0 bytes after decomp 0 bytes after comp
0 packets bypass decompr 0 packets bypass compres
0 bytes bypass decompres 0 bytes bypass compressi
0 packets not decompress 0 packets not compressed
0 bytes not decompressed 0 bytes not compressed
1.0:1 compression ratio 1.0:1 overall
Last 5 minutes:
160 packets in 160 packets out
0 paks/sec in 0 paks/sec out
593 bits/sec in 595 bits/sec out
9351 bytes decrypted 7381 bytes encrypted
252 Kbits/sec decrypted 199 Kbits/sec encrypted
1.0:1 compression ratio 1.0:1 overall
Errors: Total Number of Packet Drops = 0
Pad Error = 0
Data Error = 0
Packet Error = 0
Null IP Error = 0
Hardware Error = 0
CP Unavailable = 0
HP Unavailable = 0
AH Seq Failure = 0
Link Down Error = 0
ESP Seq Failure = 0
AH Auth Failure = 0
ESP Auth Failure = 0
Queue Full Error = 0
API Request Error = 0
Invalid Flow Error = 0
Buffer Unavailable = 0
QOS Queue Full Error = 0
Packet too Big Error = 0
AH Replay Check Failure = 0
Too Many Particles Error = 0
ESP Replay Check Failure = 0
Input Queue Full Error = 0
Output Queue Full Error = 0
Pre-batch Queue Full Error = 0
Post-batch Queue Full Error = 0 BATCHING Statistics: Batching currently Inactive No of times batching turned on = 0
No of times batching turned off = 0
No of Flush Done = 0 PRE-BATCHING Enabled
Pre-batch count, max_count = 0, 16
Packets queued to pre-batch queue = 0
Packets flushed from pre-batch queue = 0 The Pre-batch Queue Information
The Queuesize is = 128
The no entries currently being used = 0
The Read Index is = 0
The Write Index is = 0
The entries in use are between Read and Write Index The entries in use are POST-BATCHING Enabled
Post-batch count, max_count = 0, 16
Packets queued to post-batch queue = 0
Packets flushed from post-batch queue = 0 The Post-batch Queue Information
The Queuesize is = 128
The no entries currently being used = 0
The Read Index is = 0
The Write Index is = 0
The entries in use are between Read and Write Index The entries in use are
- IPSec tunnel, aZL, 15:23 , 23-Дек-10 (26)
В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco приходится заниматься еще и фрагментацией пакетов, чего нужно категорически избежать.
Предлагаю:
1. Вернуться к ipsec gre (проще найти траблу)
2. Вместо 3des использовать aes 128
3. Включить ip unreachable на ВСЕХ интерфейсах
4. На туннелях выставить ip mtu 1416 ip tcp adjust-mss 1376Если не поехало как положено - показать полный конфиг с обоих сторон. В идеале по sh ip traffic | include frag должно быть
0 fragmented, 0 fragments, 0 couldn't fragment Теория:
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...
- IPSec tunnel, Pve1, 12:45 , 24-Дек-10 (27)
А не попробовать ли отключить просто шифрование.
И поверх чистого тунельного интерфейса погонять трафик тестовый.
Причем ftp - корявый тест.
Есть iperf например...Может дело то не в ipsec?
- IPSec tunnel, aZL, 13:25 , 24-Дек-10 (28)
> Может дело то не в ipsec?топикстартер изначально сообщал:
> Если снова выключить шифрование - все работает опять без проблем. - IPSec tunnel, Алексей, 14:29 , 27-Дек-10 (30)
>> Может дело то не в ipsec?В общем сейчас все работает нормально, причем только с определенными удаленными машинами:
- radmin-ы - хорошо
- ftp - хорошо Все это на Виндовых ПК/ Плохо работает (с большими задержками) только удаленный терминал (через pytty) на FreeBSD 4.10 и слив файлов через pscp... Сплошные тайм-ауты, а потом - все копируется и на нормальной скорости...
|
Версия для распечатки
IPSec tunnel, 
