forum.opennet.ru - "ASA 9.1(1) L2TP MTU" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ASA 9.1(1) L2TP MTU"

Форум Маршрутизаторы CISCO и др. оборудование. (Dialup, сервер доступа)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ASA 9.1(1) L2TP MTU"	+/–
Сообщение от McLeod095 (ok) on 07-Мрт-14, 11:55
Всем привет! Имеется ASA5515-X Настроен VPN Cisco VPN L2TP/IPSEC Все работает во всяком случае так казалось Cisco vpn работает норм даже l2tp работает норм с Mac OS А вот при подключении по l2tp с Windows 7 начинаются проблемы, вернее все подключается и даже ходят пинги, даже по ссш можно к серверам подключиться, но только до того момента как попытаться например посмотреть ps ax все, на этом можно и заканчивать работу Высянил что более 1350 байт ну не лезет по l2tp вроде проблема ясная и как ее решить на тех же маршрутизаторах cisco можно найти, но вот как решить на данном агрегате не имею понятия Прописал crypto ipsec df-bit clear-df INTERNET-ISP1 Не помогает Может кто решал уже и натолкнет на мысли Заранее спасибо!
Ответить \| Правка \| Cообщить модератору

Оглавление

ASA 9.1(1) L2TP MTU, McLoud, 12:08 , 07-Мрт-14, (1)

ASA 9.1(1) L2TP MTU, McLeod095, 16:33 , 07-Мрт-14, (2)

ASA 9.1(1) L2TP MTU, старый сантехник, 19:07 , 07-Мрт-14, (3)
ASA 9.1(1) L2TP MTU, anonymous, 21:24 , 07-Мрт-14, (4)

ASA 9.1(1) L2TP MTU, anonymous, 21:25 , 07-Мрт-14, (5)

ASA 9.1(1) L2TP MTU, McLeod095, 17:15 , 11-Мрт-14, (6)

ASA 9.1(1) L2TP MTU, anonymous, 23:14 , 11-Мрт-14, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "ASA 9.1(1) L2TP MTU" +/–

Сообщение от McLoud (??) on 07-Мрт-14, 12:08

У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах или на ASA. Если есть между серверами и ASA еще L3 оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно посмотреть на ASA.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ASA 9.1(1) L2TP MTU" +/–

Сообщение от McLeod095 (ok) on 07-Мрт-14, 16:33

> У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах
> или на ASA. Если есть между серверами и ASA еще L3
> оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих
> сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов
> MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно
> посмотреть на ASA.
на ASA mtu стоит 1500
как на другом оборудовании настроено которые между не могу сказать
но если бы это было на этом оборудовании то наверное я бы и с мака не смог подключиться, но с енго то я не только подключаюсь но и нормально работаю

Надо будет проверить какие там пакеты проходят

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ASA 9.1(1) L2TP MTU" +/–

Сообщение от старый сантехник on 07-Мрт-14, 19:07

попробуйте 2 вещи проверить:
1) Посмотрите какой mtu у l2tp интерфейса на Win7, если он больше 1350, то можно попробовать выставить именно 1350. К примеру вот 2 способа описаны - http://www.mydigitallife.info/how-to-set-and-change-mtu-in-w.../
2) Запретить Path MTU Discovery на Win7. К примеру вот тут описано, как - http://www.windowsreference.com/networking/enabledisable-pat.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "ASA 9.1(1) L2TP MTU" +/–

Сообщение от anonymous (??) on 07-Мрт-14, 21:24

icmp helper

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "ASA 9.1(1) L2TP MTU" +/–

Сообщение от anonymous (??) on 07-Мрт-14, 21:25

На асе icmp хелпер вкл как inspect icmp

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ASA 9.1(1) L2TP MTU" +/–

Сообщение от McLeod095 (ok) on 11-Мрт-14, 17:15

> На асе icmp хелпер вкл как inspect icmp
inspect icmp
стоит на асе
для впн юзверей никаких access list нет
Понятное дело что на клиентских компах менять мту не вариант
Заметил что если ломиться с макос то там мту для ppp выставляется 1280
а вот на windows 1400
есть вроде подозрение что не прозодят icmp пакеты которые говорят что нужна фрагментация пакеты
но тогда не могу понять где они блокируются
сейчас завел вроде винду прописав
sysopt connection tcpmss 1200
но мне кажется это костыль
тем более что как эта настройка вроде будет распространяться на все интерфейсы, не только на впн клиентов.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ASA 9.1(1) L2TP MTU" +/–

Сообщение от anonymous (??) on 11-Мрт-14, 23:14

Где-то не проходит icmp unreachable, проверяйте правила.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ASA 9.1(1) L2TP MTU"	+/–
Сообщение от McLoud (??) on 07-Мрт-14, 12:08
У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах или на ASA. Если есть между серверами и ASA еще L3 оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно посмотреть на ASA.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ASA 9.1(1) L2TP MTU"	+/–
	Сообщение от McLeod095 (ok) on 07-Мрт-14, 16:33
	> У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах > или на ASA. Если есть между серверами и ASA еще L3 > оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих > сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов > MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно > посмотреть на ASA. на ASA mtu стоит 1500 как на другом оборудовании настроено которые между не могу сказать но если бы это было на этом оборудовании то наверное я бы и с мака не смог подключиться, но с енго то я не только подключаюсь но и нормально работаю Надо будет проверить какие там пакеты проходят
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "ASA 9.1(1) L2TP MTU"	+/–
Сообщение от старый сантехник on 07-Мрт-14, 19:07
попробуйте 2 вещи проверить: 1) Посмотрите какой mtu у l2tp интерфейса на Win7, если он больше 1350, то можно попробовать выставить именно 1350. К примеру вот 2 способа описаны - http://www.mydigitallife.info/how-to-set-and-change-mtu-in-w.../ 2) Запретить Path MTU Discovery на Win7. К примеру вот тут описано, как - http://www.windowsreference.com/networking/enabledisable-pat.../
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

4. "ASA 9.1(1) L2TP MTU"	+/–
Сообщение от anonymous (??) on 07-Мрт-14, 21:24
icmp helper
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "ASA 9.1(1) L2TP MTU"	+/–
	Сообщение от anonymous (??) on 07-Мрт-14, 21:25
	На асе icmp хелпер вкл как inspect icmp
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ASA 9.1(1) L2TP MTU"	+/–
	Сообщение от McLeod095 (ok) on 11-Мрт-14, 17:15
	> На асе icmp хелпер вкл как inspect icmp inspect icmp стоит на асе для впн юзверей никаких access list нет Понятное дело что на клиентских компах менять мту не вариант Заметил что если ломиться с макос то там мту для ppp выставляется 1280 а вот на windows 1400 есть вроде подозрение что не прозодят icmp пакеты которые говорят что нужна фрагментация пакеты но тогда не могу понять где они блокируются сейчас завел вроде винду прописав sysopt connection tcpmss 1200 но мне кажется это костыль тем более что как эта настройка вроде будет распространяться на все интерфейсы, не только на впн клиентов.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ASA 9.1(1) L2TP MTU"	+/–
	Сообщение от anonymous (??) on 11-Мрт-14, 23:14
	Где-то не проходит icmp unreachable, проверяйте правила.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору