The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"таймаут при подключении через cisco 2811"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"таймаут при подключении через cisco 2811"  
Сообщение от pashkenciy (ok) on 01-Дек-08, 11:12 
Доступ через циску (2811) на любой внешний сервис (из LAN в WAN, из LAN в DMZ, из DMZ в WAN - без разницы) идет с большим таймаутом. Поставил на внутренний интерфейс permit ip any any - тот же эффект.
Например, ssh 192.168.1.12 висит около 30 секунд до вывода приглашения, telnet 213.180.204.8 80 висит секунд 20, днс вообще не работает - видимо изза большого таймаута..

Если сессия установилась, дальше она работает без проблем. Например ssh после того как принял пароль работает дальше шустро, без тормозов.

Подскажите, в чем может быть дело?

Вот конфиг циски:

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
!
hostname cisco_2811_1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
logging buffered 4096 debugging
logging console critical
enable secret 5 ****************
!
aaa new-model
!
!
aaa group server tacacs+ ORG-acs
server 10.1.1.29
!
aaa authentication login local_auth enable
aaa authentication login ACS group ORG-acs local
aaa authentication ppp ACS group ORG-acs local
aaa authorization network ACS local
aaa accounting network ACS start-stop group ORG-acs
!
aaa session-id common
!
resource policy
!
clock timezone EST -5
ip subnet-zero
no ip source-route
no ip gratuitous-arps
!
!
ip cef
ip inspect udp idle-time 1800
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600
!
!
no ip bootp server
ip domain name domain.com
ip name-server 10.1.1.21
ip name-server 10.1.1.25
ip ssh time-out 60
ip ssh authentication-retries 2
login block-for 20 attempts 20 within 5
vpdn enable
!
vpdn-group VPDN-l2tp
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 2
no l2tp tunnel authentication
!
vpdn-group VPDN-pptp
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
password encryption aes
!
crypto pki trustpoint TP-self-signed-191884333
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-191884333
revocation-check none
rsakeypair TP-self-signed-191884333
!
!
crypto pki certificate chain TP-self-signed-191884333
certificate self-signed 01
  30820257 308201C0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  ............
  EF9E0D1E 850180AE 5CDC5AE3 C81C53F7 A622A2CB 4320D761 3A4C21
  quit
username root privilege 15 secret 5 **************
username user password 7 ****************
!
!
crypto keyring VPN-peers
  pre-shared-key address 190.0.0.12 key 6 ******************
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp client configuration group VPNCL-confgroup
key 6 ******************
dns 10.1.1.21
domain domain.com
pool VPNCL-pool
crypto isakmp profile L2L-profile
   keyring VPN-peers
   match identity address 190.0.0.12 255.255.255.255
crypto isakmp profile VPNCL-profile
   match identity group VPNCL-confgroup
   client authentication list ACS
   isakmp authorization list ACS
   client configuration address respond
!
!
crypto ipsec transform-set AES-set esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-set esp-3des esp-md5-hmac
crypto ipsec transform-set L2TP-set esp-3des esp-md5-hmac
mode transport
!
crypto dynamic-map DYN-map 5
set transform-set AES-set
set isakmp-profile L2L-profile
reverse-route
crypto dynamic-map DYN-map 10
set transform-set 3DES-set
set isakmp-profile VPNCL-profile
crypto dynamic-map DYN-map 15
set nat demux
set transform-set L2TP-set
!
!
crypto map CRY-map 10 ipsec-isakmp dynamic DYN-map
crypto map CRY-map 15 ipsec-isakmp profile L2TP-profile
set transform-set L2TP-set
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 190.0.0.11 255.255.255.248
ip access-group WAN-acl in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect autosec_inspect out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
crypto map CRY-map
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip access-group DMZ-acl in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/3/0
no mop enabled
!
interface FastEthernet0/3/1
shutdown
!
interface FastEthernet0/3/2
shutdown
!
interface FastEthernet0/3/3
shutdown
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool PPTP-pool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2 ACS
ppp authorization ACS
ppp accounting ACS
!
interface Virtual-Template2
ip unnumbered FastEthernet0/0
peer default ip address pool L2TP-pool
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2 ACS
ppp authorization ACS
ppp accounting ACS
!
interface Vlan1
ip address 10.1.1.10 255.255.255.0
ip access-group LAN-acl in
no ip redirects
no ip unreachables
ip nat inside
ip virtual-reassembly
ip policy route-map PROXY-rmap
no mop enabled
!
ip local pool PPTP-pool 172.16.11.111 172.16.11.121
ip local pool L2TP-pool 172.16.11.61 172.16.11.110
ip local pool VPNCL-pool 172.16.11.11 172.16.11.60
ip classless
ip route 0.0.0.0 0.0.0.0 190.0.0.1
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list NAT-acl interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.11 443 190.0.0.11 80 extendable
ip nat inside source static tcp 192.168.1.11 443 190.0.0.11 443 extendable
ip nat inside source static tcp 192.168.1.12 22 190.0.0.11 22 extendable
ip nat inside source static tcp 192.168.1.12 53 190.0.0.11 53 extendable
!
ip access-list extended DMZ-acl
permit tcp any any established
permit tcp host 192.168.1.11 any eq www
permit tcp host 192.168.1.11 any eq 443
permit tcp host 192.168.1.12 any eq domain
permit udp host 192.168.1.12 any eq domain
permit udp host 192.168.1.12 any
permit tcp host 192.168.1.12 host 190.0.0.12 eq 22
permit icmp any any
deny   ip any any log
ip access-list extended LAN-acl
permit tcp any any established
permit tcp any host 192.168.1.12 eq domain
permit udp any host 192.168.1.12 eq domain
permit tcp any host 192.168.1.12 eq 22
permit tcp any host 192.168.1.12 eq ftp
permit tcp any host 10.1.1.10 eq www
permit tcp any host 10.1.1.22 eq www
permit icmp any any
permit ip any 172.16.11.0 0.0.0.255
permit ip any 10.1.2.0 0.0.0.255
deny   ip any any log
ip access-list extended NAT-acl
permit ip 192.168.1.0 0.0.0.255 any
deny   ip any any
ip access-list extended PROXY-acl
deny   tcp host 10.1.1.22 any eq www
permit tcp any any eq www
ip access-list extended VPN-acclist
permit ip 192.168.1.0 0.0.0.255 10.1.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 172.16.11.0 0.0.0.255
deny   ip any any
ip access-list extended WAN-acl
permit tcp any any established
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 172.16.0.0 0.0.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   icmp any any redirect
permit icmp any any
remark #VPN peers
permit ip host 190.0.0.12 host 190.0.0.11
remark #PPTP
permit tcp any host 190.0.0.11 eq 1723
permit udp any host 190.0.0.11 eq isakmp
permit udp any host 190.0.0.11 eq non500-isakmp
permit udp any host 190.0.0.11 eq 10000
permit gre any host 190.0.0.11
remark #to DMZ
permit tcp any host 190.0.0.11 eq www 443
permit tcp any host 190.0.0.11 eq www 443
permit tcp any host 190.0.0.11 eq domain
permit udp any host 190.0.0.11 eq domain
deny   ip any any
ip access-list extended cons-acl
permit tcp 10.1.1.0 0.0.0.255 host 0.0.0.0 eq 22
deny   ip any any log
!
logging trap debugging
logging facility local5
logging 10.1.1.222
logging 10.1.1.29
dialer-list 1 protocol ip permit
no cdp run
route-map PROXY-rmap permit 10
match ip address PROXY-acl
set ip next-hop 10.1.1.22
!
!
tacacs-server host 10.1.1.29 key 7 *************
tacacs-server directed-request
!
control-plane
!
!
banner login  Login banner
banner motd security bannner
!
line con 0
exec-timeout 5 0
password 7 *****************
login authentication local_auth
transport output telnet
line aux 0
exec-timeout 15 0
login authentication local_auth
transport output telnet
line vty 0 4
access-class cons-acl in
exec-timeout 60 0
privilege level 15
password 7 ******************
login authentication local_auth
transport input ssh
!
scheduler allocate 20000 1000
!
end

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "таймаут при подключении через cisco 2811"  
Сообщение от pashkenciy (ok) on 01-Дек-08, 11:21 
Убрал еще на всякий случай все ip inspect, не помогает =(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "таймаут при подключении через cisco 2811"  
Сообщение от chocholl email(??) on 01-Дек-08, 15:13 
дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга. поэтому так долго.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "таймаут при подключении через cisco 2811"  
Сообщение от pashkenciy (ok) on 01-Дек-08, 18:12 
>дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим
>коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга.
>поэтому так долго.

поставил на циске
no ip domain-lookup
и до кучи
no ip name-server
no ip domain name

что то не помогает =(


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "таймаут при подключении через cisco 2811"  
Сообщение от chocholl email(??) on 01-Дек-08, 18:13 
>[оверквотинг удален]
>>коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга.
>>поэтому так долго.
>
>поставил на циске
>no ip domain-lookup
>и до кучи
>no ip name-server
>no ip domain name
>
>что то не помогает =(

это на серверах нужно делать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "таймаут при подключении через cisco 2811"  
Сообщение от pashkenciy (ok) on 01-Дек-08, 18:32 
>[оверквотинг удален]
>>
>>поставил на циске
>>no ip domain-lookup
>>и до кучи
>>no ip name-server
>>no ip domain name
>>
>>что то не помогает =(
>
>это на серверах нужно делать.

Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh.
На первом хосте в файле hosts прописал
192.168.1.12    server
на втором прописал
10.1.1.11       host
чтобы у них не было никаких вопросов к днс.
ситуация не поменялась...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "таймаут при подключении через cisco 2811"  
Сообщение от lomo on 01-Дек-08, 19:03 
>Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh.
>
>На первом хосте в файле hosts прописал
>192.168.1.12    server
>на втором прописал
>10.1.1.11       host
>чтобы у них не было никаких вопросов к днс.
>ситуация не поменялась...

Покажите вывод от "cat /etc/nsswitch.conf | grep ^hosts".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "таймаут при подключении через cisco 2811"  
Сообщение от pashkenciy (??) on 01-Дек-08, 19:21 
>>Конкретный пример: иду с хоста 10.1.1.11 (LAN) на 192.168.1.12 (DMZ) по ssh.
>>
>>На первом хосте в файле hosts прописал
>>192.168.1.12    server
>>на втором прописал
>>10.1.1.11       host
>>чтобы у них не было никаких вопросов к днс.
>>ситуация не поменялась...
>
>Покажите вывод от "cat /etc/nsswitch.conf | grep ^hosts".

server# cat /etc/nsswitch.conf | grep ^hosts
hosts: files dns
server#

... может быть дело в arp? ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "таймаут при подключении через cisco 2811"  
Сообщение от pashkenciy (??) on 02-Дек-08, 16:41 
как ни странно помогло возвращение инспектов, а именно
ip inspect name autosec_inspect udp timeout 15

прокомментируйте плиз, как это связано все???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "таймаут при подключении через cisco 2811"  
Сообщение от pashkenciy (??) on 03-Дек-08, 09:03 
>дело именно в неработающем днс, когда ты идешь ssh-ом или любым другим
>коммандным протоколом, удаленный хост и твой хост пытаются отрезолвиться друг друга.
>поэтому так долго.

Спасибо за подсказку. Получается что дело было в днс, видимо циска не пропускала обратные пакеты на днс запросы, а ip inspect это дело поправил. Хотя все равно не очень понятно как хост 10.1.1.11 и сервер 192.168.1.12 могут отрезолвить друг друга? Сети разные, частные, и друг о друге ничего не знают. Даже днс сервера в каждой сетке свои.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру