forum.opennet.ru - "Медленный VPN ipsec между CISCO and Linux" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Медленный VPN ipsec между CISCO and Linux"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Медленный VPN ipsec между CISCO and Linux"		+/–
Сообщение от lesha4ever (ok) on 28-Июл-09, 18:38
Добрый день Есть туннель VPN ipsec между CISCO and Linux. Пинги ходят. Все прекрасно на первый взгляд. Но когда дошло до почты - не проходит. Таймауты выдает. Потом попробовали скачать по ФТП - скорость 234 B/s, и это при канале в 10 мбит. Понятно что что-то не так с каналом ВПН. В первую очередь подозрения упали в сторону MTU, но вот где именно заминка не могу понять. пробывал ip tcp adjust-mss 1300 и crypto ipsec fragmentation before-encryption на интерфейсе где криптомап - не помогает. конфиг ВПНа crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp key SECRETKEY address IP_REMOTE_PEER crypto isakmp invalid-spi-recovery crypto isakmp keepalive 60 ! ! crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac mode transport ! ! crypto map L2TP 1 ipsec-isakmp set peer IP_REMOTE_PEER set security-association lifetime seconds 28800 set transform-set SITE_TO_SITE set pfs group2 match address CRYPTO_ACL_IPSec crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D ! interface GigabitEthernet0/0 description Internet interface ip address IP_LOCAL_EXTERNAL 255.255.255.240 ip access-group 101 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip inspect DEFAULT100 out ip nat outside ip virtual-reassembly ip route-cache flow duplex auto speed auto no mop enabled crypto map L2TP ! ip access-list extended CRYPTO_ACL_IPSec remark SDM_ACL Category=20 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 log permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255 log permit icmp 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255 log permit icmp 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255 log #sh crypto ipsec sa interface GigabitEthernet 0/0 protected vrf: (none) local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0) current_peer IP_REMOTE_PEER port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 9733, #pkts encrypt: 9733, #pkts digest: 9733 #pkts decaps: 4740, #pkts decrypt: 4740, #pkts verify: 4740 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 67, #recv errors 0 local crypto endpt.: IP_LOCAL_EXTERNAL, remote crypto endpt.: IP_REMOTE_PEER path mtu 1500, ip mtu 1500 current outbound spi: 0x4C27431(79852593) inbound esp sas: spi: 0x44D789B4(1154976180) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 3007, flow_id: NETGX:7, crypto map: L2TP sa timing: remaining key lifetime (k/sec): (4524549/8401) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x4C27431(79852593) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 3011, flow_id: NETGX:11, crypto map: L2TP sa timing: remaining key lifetime (k/sec): (4524392/8401) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: Если с локальной машины пинговать комп с другой сети: [root@test]# ping -s 1900 192.168.0.X PING 192.168.0.X (192.168.0.Х) 1900(1928) bytes of data. 1908 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=28.3 ms 1908 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=28.6 ms 1908 bytes from 192.168.0.X: icmp_seq=3 ttl=63 time=29.0 ms --- 192.168.0.X ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 1999ms rtt min/avg/max/mdev = 28.378/28.678/29.003/0.255 ms [root@test]# ping -M do -s 1416 192.168.0.X PING 192.168.0.X (192.168.0.X) 1416(1444) bytes of data. --- 192.168.0.X ping statistics --- 4 packets transmitted, 0 received, 100% packet loss, time 2999ms [root@test]# ping -M do -s 1415 192.168.0.X PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data. 1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms 1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms --- 192.168.0.X ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms Что не так с туннелем?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Медленный VPN ipsec между CISCO and Linux, GolDi, 10:45 , 29-Июл-09, (1)

Медленный VPN ipsec между CISCO and Linux, lesha4ever, 10:57 , 29-Июл-09, (2)

Медленный VPN ipsec между CISCO and Linux, lesha4ever, 16:19 , 29-Июл-09, (3)

Медленный VPN ipsec между CISCO and Linux, lesha4ever, 15:59 , 30-Июл-09, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Медленный VPN ipsec между CISCO and Linux" +/–

Сообщение от GolDi (??) on 29-Июл-09, 10:45

>[оверквотинг удален]
> authentication pre-share
> group 2
>!
>crypto isakmp key SECRETKEY address IP_REMOTE_PEER
>crypto isakmp invalid-spi-recovery
>crypto isakmp keepalive 60
>!
>!
>crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
> mode transport
а почему не tunnel?
>!
>!
>crypto map L2TP 1 ipsec-isakmp
> set peer IP_REMOTE_PEER
> set security-association lifetime seconds 28800
> set transform-set SITE_TO_SITE
> set pfs group2
> match address CRYPTO_ACL_IPSec
>crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
и эта строка не нужна
>[оверквотинг удален]
>PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data.
>1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms
>1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms
>
>--- 192.168.0.X ping statistics ---
>2 packets transmitted, 2 received, 0% packet loss, time 1000ms
>rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms
>
>
>Что не так с туннелем?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Медленный VPN ipsec между CISCO and Linux" +/–

Сообщение от lesha4ever (ok) on 29-Июл-09, 10:57

>[оверквотинг удален]
>>!
>>crypto isakmp key SECRETKEY address IP_REMOTE_PEER
>>crypto isakmp invalid-spi-recovery
>>crypto isakmp keepalive 60
>>!
>>!
>>crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
>> mode transport
>
>а почему не tunnel?
Поставил туннель - эффект тот же
>[оверквотинг удален]
>>!
>>crypto map L2TP 1 ipsec-isakmp
>> set peer IP_REMOTE_PEER
>> set security-association lifetime seconds 28800
>> set transform-set SITE_TO_SITE
>> set pfs group2
>> match address CRYPTO_ACL_IPSec
>>crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
>
> и эта строка не нужна
это не полный конфиг. Там есче есть виндовые юзера которые к ВПНу конектятся и работают, просто не показал те строки
>[оверквотинг удален]
>>PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data.
>>1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms
>>1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms
>>
>>--- 192.168.0.X ping statistics ---
>>2 packets transmitted, 2 received, 0% packet loss, time 1000ms
>>rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms
>>
>>
>>Что не так с туннелем?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Медленный VPN ipsec между CISCO and Linux" +/–

Сообщение от lesha4ever (ok) on 29-Июл-09, 16:19

Ничего не понятно.
Поднял тестовый Linux у себя в сети - с ним без проблем завязалась циска и все работает нормально. Сразу же подозрения пали на удаленный сервер либо на интернет канал к нему.
НО связав свой тестовый линукс с удаленным линуксом - все заработало тоже прекрасно. Значит таки в циске что то не так, только вот что не могу понять(((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Медленный VPN ipsec между CISCO and Linux" +/–

Сообщение от lesha4ever (ok) on 30-Июл-09, 15:59

Все проблема решена.
Заработало!
Все было в ip cef!!!!!
Установив no ip cef - все заработало.
Начал разбиратся, оказывается было
ip route 192.168.0.0 255.255.255.0 GigabitEthernet0/1
и жутко тормозило из-за ip cef
поставил на не итерфейс а на IP и все прекрасно заработало.
ip route 192.168.0.0 255.255.255.0 192.168.0.Х
Помог гугл и статья http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Медленный VPN ipsec между CISCO and Linux"		+/–
Сообщение от GolDi (??) on 29-Июл-09, 10:45
>[оверквотинг удален] > authentication pre-share > group 2 >! >crypto isakmp key SECRETKEY address IP_REMOTE_PEER >crypto isakmp invalid-spi-recovery >crypto isakmp keepalive 60 >! >! >crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac > mode transport а почему не tunnel? >! >! >crypto map L2TP 1 ipsec-isakmp > set peer IP_REMOTE_PEER > set security-association lifetime seconds 28800 > set transform-set SITE_TO_SITE > set pfs group2 > match address CRYPTO_ACL_IPSec >crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D и эта строка не нужна >[оверквотинг удален] >PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data. >1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms >1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms > >--- 192.168.0.X ping statistics --- >2 packets transmitted, 2 received, 0% packet loss, time 1000ms >rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms > > >Что не так с туннелем?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Медленный VPN ipsec между CISCO and Linux"		+/–
	Сообщение от lesha4ever (ok) on 29-Июл-09, 10:57
	>[оверквотинг удален] >>! >>crypto isakmp key SECRETKEY address IP_REMOTE_PEER >>crypto isakmp invalid-spi-recovery >>crypto isakmp keepalive 60 >>! >>! >>crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac >> mode transport > >а почему не tunnel? Поставил туннель - эффект тот же >[оверквотинг удален] >>! >>crypto map L2TP 1 ipsec-isakmp >> set peer IP_REMOTE_PEER >> set security-association lifetime seconds 28800 >> set transform-set SITE_TO_SITE >> set pfs group2 >> match address CRYPTO_ACL_IPSec >>crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D > > и эта строка не нужна это не полный конфиг. Там есче есть виндовые юзера которые к ВПНу конектятся и работают, просто не показал те строки >[оверквотинг удален] >>PING 192.168.0.x (192.168.0.X) 1415(1443) bytes of data. >>1423 bytes from 192.168.0.X: icmp_seq=1 ttl=63 time=27.4 ms >>1423 bytes from 192.168.0.X: icmp_seq=2 ttl=63 time=26.9 ms >> >>--- 192.168.0.X ping statistics --- >>2 packets transmitted, 2 received, 0% packet loss, time 1000ms >>rtt min/avg/max/mdev = 26.936/27.186/27.437/0.299 ms >> >> >>Что не так с туннелем?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Медленный VPN ipsec между CISCO and Linux"		+/–
Сообщение от lesha4ever (ok) on 29-Июл-09, 16:19
Ничего не понятно. Поднял тестовый Linux у себя в сети - с ним без проблем завязалась циска и все работает нормально. Сразу же подозрения пали на удаленный сервер либо на интернет канал к нему. НО связав свой тестовый линукс с удаленным линуксом - все заработало тоже прекрасно. Значит таки в циске что то не так, только вот что не могу понять(((
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Медленный VPN ipsec между CISCO and Linux"		+/–
	Сообщение от lesha4ever (ok) on 30-Июл-09, 15:59
	Все проблема решена. Заработало! Все было в ip cef!!!!! Установив no ip cef - все заработало. Начал разбиратся, оказывается было ip route 192.168.0.0 255.255.255.0 GigabitEthernet0/1 и жутко тормозило из-за ip cef поставил на не итерфейс а на IP и все прекрасно заработало. ip route 192.168.0.0 255.255.255.0 192.168.0.Х Помог гугл и статья http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору