- IPSec tunnel, Pve1, 09:50 , 22-Дек-10 (1)
>[оверквотинг удален] > set transform-set IPSEC > Далее на интерфейсе tunnel 0 > tunnel protection ipsec profile TUNNEL > ...на этом все.... > Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh > в другую подсеть - сплошная ругань на тайм ауты... Копирую файл > с ftp - тож самое. Ругань на тайм ауты, а после > дает копировать. Скорость при этом максимально возможная через этот канал.. > Если снова выключить шифрование - все работает опять без проблем. > Куда копать, как промониторить?Попробуй MTU на тунельном интерфейсе уменьшить до 1400 Нужно обязательно смотреть debug crypto ... А мониторить можно с помощбю ip sla, iperf Что за железо то?
- IPSec tunnel, Алексей, 09:57 , 22-Дек-10 (2)
>[оверквотинг удален] >> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh >> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл >> с ftp - тож самое. Ругань на тайм ауты, а после >> дает копировать. Скорость при этом максимально возможная через этот канал.. >> Если снова выключить шифрование - все работает опять без проблем. >> Куда копать, как промониторить? > Попробуй MTU на тунельном интерфейсе уменьшить до 1400 > Нужно обязательно смотреть debug crypto ... > А мониторить можно с помощбю ip sla, iperf > Что за железо то?Железо - (C870-ADVSECURITYK9-M) с двух сторон... MTU менял - пофиг..
- IPSec tunnel, aZL, 10:19 , 22-Дек-10 (3)
1. если dropped в sh int tu0 2. deb ip tcp tr
- IPSec tunnel, Алексей, 10:39 , 22-Дек-10 (5)
> 1. если dropped в sh int tu0 > 2. deb ip tcp tr 1. Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 10 ...но значения не миеняются пока во всяком случае.... 2. После запуска отладчика 000093: Dec 22 10:34:52.757 MSK: TCP2: ACK timeout timer expired 000095: Dec 22 10:35:15.970 MSK: TCP2: ACK timeout timer expired 000096: Dec 22 10:35:17.294 MSK: TCP2: ACK timeout timer expired 000097: Dec 22 10:36:17.077 MSK: TCP2: keepalive timeout (0/4)
- IPSec tunnel, aZL, 12:10 , 22-Дек-10 (8)
Ага, тогда ещё: sh ip traffic | i fragment и покажите конфиг интерфейсов fa и tun0.
- IPSec tunnel, ShyLion, 15:33 , 24-Дек-10 (29)
debug crypto isakmpДумаю проблемы при изначальном и последующих выборах ключа шифрования. isakmp нормально ходит между ендпоинтами? Вот железно работающий конфиг на куче роутеров у меня в сети: crypto isakmp policy 20 encr aes 256 hash md5 authentication pre-share group 2 ! ! crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac ! ! crypto ipsec profile TUN-AES256 set transform-set AES256-MD5 ! ! ! interface Tunnel description Over-side-city, over-side-site, Inet, Local ISP - Remote ISP ip address keepalive 10 3 tunnel source tunnel destination tunnel mode ipsec ipv4 tunnel protection ipsec profile TUN-AES256 !
- IPSec tunnel, Aleks305, 10:38 , 22-Дек-10 (4)
>[оверквотинг удален] > set transform-set IPSEC > Далее на интерфейсе tunnel 0 > tunnel protection ipsec profile TUNNEL > ...на этом все.... > Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh > в другую подсеть - сплошная ругань на тайм ауты... Копирую файл > с ftp - тож самое. Ругань на тайм ауты, а после > дает копировать. Скорость при этом максимально возможная через этот канал.. > Если снова выключить шифрование - все работает опять без проблем. > Куда копать, как промониторить?set peer в crypto map я у Вас не увидел... Весь траффик в туннель что ли заворачиваете?acl не нужно?
- IPSec tunnel, Алексей, 11:27 , 22-Дек-10 (6)
>[оверквотинг удален] >> tunnel protection ipsec profile TUNNEL >> ...на этом все.... >> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh >> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл >> с ftp - тож самое. Ругань на тайм ауты, а после >> дает копировать. Скорость при этом максимально возможная через этот канал.. >> Если снова выключить шифрование - все работает опять без проблем. >> Куда копать, как промониторить? > set peer в crypto map я у Вас не увидел... > Весь траффик в туннель что ли заворачиваете?acl не нужно?Нет ни каких крипто мэпов...
- IPSec tunnel, Алексей, 11:51 , 22-Дек-10 (7)
> set peer в crypto map я у Вас не увидел... > Весь траффик в туннель что ли заворачиваете?acl не нужно?Удалил туннели и сделал крипто мэпы crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp key keykeykey address xxxxxxxxxxxxxxxxxxxxxx crypto isakmp keepalive 60 3 crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac ! crypto ipsec profile TUNNEL set transform-set IPSEC
crypto map TUNNELTOTC 10 ipsec-isakmp set peer xxxxxxxxxxxxxxxxxxxxx set transform-set IPSEC match address acl_vpn_remote
ip access-list ex acl_vpn_remote permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 В списке доступа для nat -а
access list acl_nat 10 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 (130 matches) 20 permit ip 192.168.0.0 0.0.0.255 any (206 matches) Все равно ТОРМОЗА!!
- IPSec tunnel, Алексей, 12:14 , 22-Дек-10 (9)
> Все равно ТОРМОЗА!!Прошло 10 минут...После перестройки c профиля на crypto map все заработало как надо. Спасибо. Тема закрыта!
- IPSec tunnel, Pve1, 15:48 , 22-Дек-10 (10)
>> Все равно ТОРМОЗА!! > Прошло 10 минут...После перестройки c профиля на crypto map все заработало как > надо. > Спасибо. Тема закрыта!Вообще это оч странно... А если попробовать настройках тунеля жестко указать тип GRE? tunnel mode gre multipoint По умолчанию, как понимаю - работает ipip Просто IPSec - не удобно)
- IPSec tunnel, Aleks305, 17:10 , 22-Дек-10 (11)
>>> Все равно ТОРМОЗА!! >> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как >> надо. >> Спасибо. Тема закрыта! > Вообще это оч странно... > А если попробовать настройках тунеля жестко указать тип GRE? > tunnel mode gre multipoint > По умолчанию, как понимаю - работает ipip > Просто IPSec - не удобно) GRE как правило используется с ipsec для передачи мультикаста в протоколах маршрутизации
- IPSec tunnel, Алексей, 09:29 , 23-Дек-10 (12)
>> Все равно ТОРМОЗА!! > Прошло 10 минут...После перестройки c профиля на crypto map все заработало как > надо. > Спасибо. Тема закрыта!Рано поспешил закрыть тему...Все равно тормоза... Кстати, когда были tunnel-и ставил tunnel moge gre принудительно. Все равно не тормозило...
- IPSec tunnel, Алексей, 09:34 , 23-Дек-10 (13)
Вот конфиг одной из сторон: ! ! Last configuration change at 12:10:15 MSK Wed Dec 22 2010 by support ! NVRAM config last updated at 12:11:39 MSK Wed Dec 22 2010 by support ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname vpn_to_toto ! boot-start-marker boot system flash c870-advsecurityk9-mz.124-15.T6.bin boot-end-marker ! logging buffered 4096 logging console critical enable secret 5 ******************************** ! no aaa new-model clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00 ! ! dot11 syslog no ip source-route no ip cef ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 no ip bootp server no ip domain lookup ip domain name **************.net ! ! ! file prompt quiet username support privilege 15 secret 5 ******************************* ! ! crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp key *************** address xxx.xxx.xxx.xxx crypto isakmp keepalive 60 3 ! ! crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac ! crypto ipsec profile TUNNEL set transform-set IPSEC ! ! crypto map TUNNELTOTC 10 ipsec-isakmp set peer xxx.xxx.xxx.xxx set transform-set IPSEC match address acl_vpn ! archive log config hidekeys ! ! ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh source-interface Vlan1 ip ssh version 2 ! ! ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 ip address 192.168.0.184 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip tcp adjust-mss 1412 ! interface Dialer0 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname ************** ppp chap password 7 ************ ppp pap sent-username ********* password 7 ************** crypto map TUNNELTOTC ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ! no ip http server no ip http secure-server ip nat inside source list acl_nat interface Dialer0 overload ! ip access-list extended acl_nat deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.0.0 0.0.0.255 any ip access-list extended acl_vpn permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 ! access-list 2 permit 192.168.0.1 access-list 2 permit 192.168.0.3 access-list 2 permit 192.168.0.5 access-list 2 deny any log dialer-list 1 protocol ip permit no cdp run ! ! ! control-plane ! ! line con 0 login local no modem enable transport output telnet line aux 0 login local transport output telnet line vty 0 4 access-class 2 in login local transport input ssh transport output ssh ! no scheduler max-task-time ntp clock-period 17175014 ntp server 192.168.0.1 end
- IPSec tunnel, aZL, 09:36 , 23-Дек-10 (14)
Вы так и не показали sh ip traffic | i fragment и конфиг tun0.
- IPSec tunnel, Алексей, 09:43 , 23-Дек-10 (15)
> Вы так и не показали > sh ip traffic | i fragment и конфиг tun0.sh ip traffic | include frag 0 fragmented, 0 fragments, 0 couldn't fragment Сейчас tunnel нет, но вот когда были
interface Tunnel0 ip address 192.168.50.1 255.255.255.252 tunnel source 1.1.1.1 tunnel destination 2.2.2.2 tunnel protection ipsec profile TUNNEL
- IPSec tunnel, aZL, 11:49 , 23-Дек-10 (16)
О каг, у Вас уже всё координально поменялось... Давайте попробуем так: #int vlan 1 )#no ip tcp adjust-mss 1412 #int dialer0 )#no ip mtu 1452 )#ip tcp adjust-mss 1380
- IPSec tunnel, Алексей, 12:15 , 23-Дек-10 (17)
> О каг, у Вас уже всё координально поменялось... > Давайте попробуем так: > #int vlan 1 > )#no ip tcp adjust-mss 1412 > #int dialer0 > )#no ip mtu 1452 > )#ip tcp adjust-mss 1380 Поменял...Все тож самое.. Сделал на обоих cisc-ах clear crypto sa ping 192.168.2.5 -l 1500 Обмен пакетами с 192.168.2.5 по 1500 байт: Ответ от 192.168.2.5: число байт=1500 время=107мс TTL=62 Ответ от 192.168.2.5: число байт=1500 время=111мс TTL=62 Ответ от 192.168.2.5: число байт=1500 время=105мс TTL=62 Ответ от 192.168.2.5: число байт=1500 время=99мс Но даж на ftp в той сети текстовый файл положить не дает 0 time out((
- IPSec tunnel, Алексей, 12:16 , 23-Дек-10 (18)
> О каг, у Вас уже всё координально поменялось...Да уж не знаю куда копать..Пробую все варианты..
- IPSec tunnel, Алексей, 12:20 , 23-Дек-10 (19)
Кстати, вот только что опять все заработало как надо...Вчера тож самое 2-3 часа работает, потом тормоза. Каналы специально под vpn и пользователей с левым трафиком на них нет.
- IPSec tunnel, aZL, 12:35 , 23-Дек-10 (20)
- IPSec tunnel, Алексей, 12:41 , 23-Дек-10 (21)
>> Кстати, вот только что опять все заработало как надо... > Т.е. сейчас, например, по ftp всё нормально? > Ещё: скачайте mturoute (http://www.itsyourip.com/ip-tools/mturoute-free-utility-to-f.../) > и покажите результаты. > И с рутера-на-рутер: > ping x.x.x.x size 1500 df > ping x.x.x.x size 1500 Было нормально минут 15-20...Копировал на ftp 20Gbt файл...Без проблем.. А сейчас - тож самое...Бред какой то... C:\>mturoute.exe 192.168.2.5 * ICMP Fragmentation is not permitted. * * Speed optimization is enabled. * * Maximum payload is 10000 bytes. * - ICMP payload of 5046 bytes is too big. - ICMP payload of 2569 bytes is too big. + ICMP payload of 1330 bytes succeeded. - ICMP payload of 1949 bytes is too big. - ICMP payload of 1639 bytes is too big. - ICMP payload of 1484 bytes is too big. ...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1368 bytes succeeded. + ICMP payload of 1387 bytes succeeded. ...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT) ...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1389 bytes succeeded. + ICMP payload of 1390 bytes succeeded. ...- ICMP payload of 1391 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1390 bytes succeeded. Path MTU: 1418 bytes.
- IPSec tunnel, aZL, 12:59 , 23-Дек-10 (22)
В sh ip traffic | i fragment что-нибудь появилось? Давайте вернем на Dialer0 ip mtu 1492 no ip tcp adjust-mss 1380 no ip route-cache и опять посмотрим на mturoute.exe
- IPSec tunnel, Алексей, 13:02 , 23-Дек-10 (23)
> В sh ip traffic | i fragment что-нибудь появилось? > Давайте вернем на > Dialer0 > ip mtu 1492 > no ip tcp adjust-mss 1380 > no ip route-cache > и опять посмотрим на mturoute.exe sh ip traffic | i fragment 19 fragmented, 38 fragments, 0 couldn't fragment C:\Tools>mturoute.exe 192.168.2.5 * ICMP Fragmentation is not permitted. * * Speed optimization is enabled. * * Maximum payload is 10000 bytes. * - ICMP payload of 5046 bytes is too big. - ICMP payload of 2569 bytes is too big. + ICMP payload of 1330 bytes succeeded. - ICMP payload of 1949 bytes is too big. - ICMP payload of 1639 bytes is too big. - ICMP payload of 1484 bytes is too big. ...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1368 bytes succeeded. + ICMP payload of 1387 bytes succeeded. ...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT) ...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1389 bytes succeeded. + ICMP payload of 1390 bytes succeeded. + ICMP payload of 1391 bytes succeeded. Path MTU: 1419 bytes.
- IPSec tunnel, aZL, 14:34 , 23-Дек-10 (24)
мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)? Ещё давайте посмотрим sh cry en a s
- IPSec tunnel, Алексей, 15:07 , 23-Дек-10 (25)
> мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)? > Ещё давайте посмотрим sh cry en a s Тут все красиво ((( Device: Motorola Talitos 1.0 Location: Onboard: 0 :Statistics for encryption device since the last clear of counters 88703 seconds ago 41513 packets in 41513 packets out 24393192 bytes in 25110905 bytes out 0 paks/sec in 0 paks/sec out 2 Kbits/sec in 2 Kbits/sec out 15013 packets decrypted 26500 packets encrypted 2064264 bytes before decrypt 22324656 bytes encrypted 1097001 bytes decrypted 24013904 bytes after encrypt 0 packets decompressed 0 packets compressed 0 bytes before decomp 0 bytes before comp 0 bytes after decomp 0 bytes after comp 0 packets bypass decompr 0 packets bypass compres 0 bytes bypass decompres 0 bytes bypass compressi 0 packets not decompress 0 packets not compressed 0 bytes not decompressed 0 bytes not compressed 1.0:1 compression ratio 1.0:1 overall Last 5 minutes: 160 packets in 160 packets out 0 paks/sec in 0 paks/sec out 593 bits/sec in 595 bits/sec out 9351 bytes decrypted 7381 bytes encrypted 252 Kbits/sec decrypted 199 Kbits/sec encrypted 1.0:1 compression ratio 1.0:1 overall
Errors: Total Number of Packet Drops = 0 Pad Error = 0 Data Error = 0 Packet Error = 0 Null IP Error = 0 Hardware Error = 0 CP Unavailable = 0 HP Unavailable = 0 AH Seq Failure = 0 Link Down Error = 0 ESP Seq Failure = 0 AH Auth Failure = 0 ESP Auth Failure = 0 Queue Full Error = 0 API Request Error = 0 Invalid Flow Error = 0 Buffer Unavailable = 0 QOS Queue Full Error = 0 Packet too Big Error = 0 AH Replay Check Failure = 0 Too Many Particles Error = 0 ESP Replay Check Failure = 0 Input Queue Full Error = 0 Output Queue Full Error = 0 Pre-batch Queue Full Error = 0 Post-batch Queue Full Error = 0 BATCHING Statistics: Batching currently Inactive No of times batching turned on = 0 No of times batching turned off = 0 No of Flush Done = 0 PRE-BATCHING Enabled Pre-batch count, max_count = 0, 16 Packets queued to pre-batch queue = 0 Packets flushed from pre-batch queue = 0 The Pre-batch Queue Information The Queuesize is = 128 The no entries currently being used = 0 The Read Index is = 0 The Write Index is = 0 The entries in use are between Read and Write Index The entries in use are POST-BATCHING Enabled Post-batch count, max_count = 0, 16 Packets queued to post-batch queue = 0 Packets flushed from post-batch queue = 0 The Post-batch Queue Information The Queuesize is = 128 The no entries currently being used = 0 The Read Index is = 0 The Write Index is = 0 The entries in use are between Read and Write Index The entries in use are
- IPSec tunnel, aZL, 15:23 , 23-Дек-10 (26)
В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco приходится заниматься еще и фрагментацией пакетов, чего нужно категорически избежать. Предлагаю: 1. Вернуться к ipsec gre (проще найти траблу) 2. Вместо 3des использовать aes 128 3. Включить ip unreachable на ВСЕХ интерфейсах 4. На туннелях выставить ip mtu 1416 ip tcp adjust-mss 1376Если не поехало как положено - показать полный конфиг с обоих сторон. В идеале по sh ip traffic | include frag должно быть 0 fragmented, 0 fragments, 0 couldn't fragment Теория: http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...
- IPSec tunnel, Pve1, 12:45 , 24-Дек-10 (27)
А не попробовать ли отключить просто шифрование. И поверх чистого тунельного интерфейса погонять трафик тестовый. Причем ftp - корявый тест. Есть iperf например...Может дело то не в ipsec?
- IPSec tunnel, aZL, 13:25 , 24-Дек-10 (28)
> Может дело то не в ipsec?топикстартер изначально сообщал: > Если снова выключить шифрование - все работает опять без проблем. - IPSec tunnel, Алексей, 14:29 , 27-Дек-10 (30)
>> Может дело то не в ipsec?В общем сейчас все работает нормально, причем только с определенными удаленными машинами: - radmin-ы - хорошо - ftp - хорошо Все это на Виндовых ПК/ Плохо работает (с большими задержками) только удаленный терминал (через pytty) на FreeBSD 4.10 и слив файлов через pscp... Сплошные тайм-ауты, а потом - все копируется и на нормальной скорости...
|