forum.opennet.ru

"IPSec tunnel"

Форум Маршрутизаторы CISCO и др. оборудование.
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "IPSec tunnel"	+/–
Сообщение от aZL (?), 23-Дек-10, 15:23
В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco приходится заниматься еще и фрагментацией пакетов, чего нужно категорически избежать. Предлагаю: 1. Вернуться к ipsec gre (проще найти траблу) 2. Вместо 3des использовать aes 128 3. Включить ip unreachable на ВСЕХ интерфейсах 4. На туннелях выставить ip mtu 1416 ip tcp adjust-mss 1376 Если не поехало как положено - показать полный конфиг с обоих сторон. В идеале по sh ip traffic \| include frag должно быть 0 fragmented, 0 fragments, 0 couldn't fragment Теория: http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPSec tunnel, Алексей, 22-Дек-10, 09:18 [смотреть все]

gt оверквотинг удален Попробуй MTU на тунельном интерфейсе уменьшить до 1400Ну, Pve1, 22-Дек-10, 09:50 (1) //
- gt оверквотинг удален Железо - C870-ADVSECURITYK9-M с двух сторон MTU меня, Алексей, 22-Дек-10, 09:57 (2) //
  - 1 если dropped в sh int tu02 deb ip tcp tr, aZL, 22-Дек-10, 10:19 (3) //
    - 1 Input queue 0 75 0 0 size max drops flushes Total output drops 10 но з, Алексей, 22-Дек-10, 10:39 (5)
      - Ага, тогда ещё sh ip traffic 124 i fragmentи покажите конфиг интерфейсов fa и, aZL, 22-Дек-10, 12:10 (8)
  - debug crypto isakmpДумаю проблемы при изначальном и последующих выборах ключа ши, ShyLion, 24-Дек-10, 15:33 (29)
gt оверквотинг удален set peer в crypto map я у Вас не увидел Весь траффик в, Aleks305, 22-Дек-10, 10:38 (4) //
- gt оверквотинг удален Нет ни каких крипто мэпов , Алексей, 22-Дек-10, 11:27 (6)
- Удалил туннели и сделал крипто мэпыcrypto isakmp policy 10 encr aes 256 authenti, Алексей, 22-Дек-10, 11:51 (7) //
  - Прошло 10 минут После перестройки c профиля на crypto map все заработало как н, Алексей, 22-Дек-10, 12:14 (9) //
    - Вообще это оч странно А если попробовать настройках тунеля жестко указать тип, Pve1, 22-Дек-10, 15:48 (10)
      - GRE как правило используется с ipsec для передачи мультикаста в протоколах маршр, Aleks305, 22-Дек-10, 17:10 (11)
    - Рано поспешил закрыть тему Все равно тормоза Кстати, когда были tunnel-и ста, Алексей, 23-Дек-10, 09:29 (12)
      - Вот конфиг одной из сторон Last configuration change at 12 10 15 MSK Wed Dec , Алексей, 23-Дек-10, 09:34 (13)
      - Вы так и не показалиsh ip traffic 124 i fragment и конфиг tun0 , aZL, 23-Дек-10, 09:36 (14)
        
        sh ip traffic 124 include frag0 fragmented, 0 fragments, 0 couldn t fragmentС, Алексей, 23-Дек-10, 09:43 (15)
        
        О каг, у Вас уже всё координально поменялось Давайте попробуем так int vlan 1, aZL, 23-Дек-10, 11:49 (16)
        
        Поменял Все тож самое Сделал на обоих cisc-ах clear crypto saping 192 168 2 5, Алексей, 23-Дек-10, 12:15 (17)
        Да уж не знаю куда копать Пробую все варианты , Алексей, 23-Дек-10, 12:16 (18)
        
        Кстати, вот только что опять все заработало как надо Вчера тож самое 2-3 часа , Алексей, 23-Дек-10, 12:20 (19)
        
        Т е сейчас, например, по ftp всё нормально Ещё скачайте mturoute http www i, aZL, 23-Дек-10, 12:35 (20)
        
        Было нормально минут 15-20 Копировал на ftp 20Gbt файл Без проблем А сейчас, Алексей, 23-Дек-10, 12:41 (21)
        
        В sh ip traffic 124 i fragment что-нибудь появилось Давайте вернем на Dialer0, aZL, 23-Дек-10, 12:59 (22)
        sh ip traffic 124 i fragment19 fragmented, 38 fragments, 0 couldn t fragmentC, Алексей, 23-Дек-10, 13:02 (23)
        мда, совсем жесть А на физическом уровне ошибок нет кабеля и пр Ещё давайте , aZL, 23-Дек-10, 14:34 (24)
        Тут все красиво Device Motorola Talitos 1 0Location Onboard 0 St, Алексей, 23-Дек-10, 15:07 (25)
        В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco прихо , aZL, 23-Дек-10, 15:23 (26)
        А не попробовать ли отключить просто шифрование И поверх чистого тунельного инте, Pve1, 24-Дек-10, 12:45 (27)
        топикстартер изначально сообщал , aZL, 24-Дек-10, 13:25 (28)
        В общем сейчас все работает нормально, причем только с определенными удаленными , Алексей, 27-Дек-10, 14:29 (30)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру