forum.opennet.ru - "IPSec tunnel" (30)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSec tunnel"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec tunnel"	+/–
Сообщение от Алексей (??) on 22-Дек-10, 09:18
Добрый всем день. Проблема следующего характера. Имеем туннель между двумя маршрутизаторами. Все стандартно: interface Tunnel0 ip address 192.168.50.2 255.255.255.252 tunnel source xxxxxxxxxxxxxxxxx tunnel destination xxxxxxxxxxxxxxxxxx Ну и маршрутизвция в другую сеть ip route 192.168.100.0 255.255.255.0 Tunnel0 192.168.50.1 Все работает на "ура"... Далее щифрую туннель через ipsec profile Настройки: crypto isakmp policy 1 encr 3des authentication per-share group 2 crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac mode transport crypto isakmp key 0 keykeykeykey address xxx.xxx.xxx.xxx crypto ipsec profile TUNNEL set transform-set IPSEC Далее на интерфейсе tunnel 0 tunnel protection ipsec profile TUNNEL ...на этом все.... Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh в другую подсеть - сплошная ругань на тайм ауты... Копирую файл с ftp - тож самое. Ругань на тайм ауты, а после дает копировать. Скорость при этом максимально возможная через этот канал.. Если снова выключить шифрование - все работает опять без проблем. Куда копать, как промониторить?
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec tunnel, Pve1, 09:50 , 22-Дек-10, (1)

IPSec tunnel, Алексей, 09:57 , 22-Дек-10, (2)

IPSec tunnel, aZL, 10:19 , 22-Дек-10, (3)

IPSec tunnel, Алексей, 10:39 , 22-Дек-10, (5)

IPSec tunnel, aZL, 12:10 , 22-Дек-10, (8)

IPSec tunnel, ShyLion, 15:33 , 24-Дек-10, (29)

IPSec tunnel, Aleks305, 10:38 , 22-Дек-10, (4)

IPSec tunnel, Алексей, 11:27 , 22-Дек-10, (6)
IPSec tunnel, Алексей, 11:51 , 22-Дек-10, (7)

IPSec tunnel, Алексей, 12:14 , 22-Дек-10, (9)

IPSec tunnel, Pve1, 15:48 , 22-Дек-10, (10)

IPSec tunnel, Aleks305, 17:10 , 22-Дек-10, (11)

IPSec tunnel, Алексей, 09:29 , 23-Дек-10, (12)

IPSec tunnel, Алексей, 09:34 , 23-Дек-10, (13)
IPSec tunnel, aZL, 09:36 , 23-Дек-10, (14)

IPSec tunnel, Алексей, 09:43 , 23-Дек-10, (15)

IPSec tunnel, aZL, 11:49 , 23-Дек-10, (16)

IPSec tunnel, Алексей, 12:15 , 23-Дек-10, (17)
IPSec tunnel, Алексей, 12:16 , 23-Дек-10, (18)

IPSec tunnel, Алексей, 12:20 , 23-Дек-10, (19)

IPSec tunnel, aZL, 12:35 , 23-Дек-10, (20)

IPSec tunnel, Алексей, 12:41 , 23-Дек-10, (21)

IPSec tunnel, aZL, 12:59 , 23-Дек-10, (22)
IPSec tunnel, Алексей, 13:02 , 23-Дек-10, (23)
IPSec tunnel, aZL, 14:34 , 23-Дек-10, (24)
IPSec tunnel, Алексей, 15:07 , 23-Дек-10, (25)
IPSec tunnel, aZL, 15:23 , 23-Дек-10, (26)
IPSec tunnel, Pve1, 12:45 , 24-Дек-10, (27)
IPSec tunnel, aZL, 13:25 , 24-Дек-10, (28)
IPSec tunnel, Алексей, 14:29 , 27-Дек-10, (30)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec tunnel" +/–

Сообщение от Pve1 (ok) on 22-Дек-10, 09:50

>[оверквотинг удален]
>  set transform-set IPSEC
> Далее на интерфейсе tunnel 0
>  tunnel protection ipsec profile TUNNEL
> ...на этом все....
> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
> с ftp - тож самое. Ругань на тайм ауты, а после
> дает копировать. Скорость при этом максимально возможная через этот канал..
> Если снова выключить шифрование - все работает опять без проблем.
> Куда копать, как промониторить?
Попробуй MTU на тунельном интерфейсе уменьшить до 1400
Нужно обязательно смотреть debug crypto ...
А мониторить можно с помощбю ip sla,  iperf
Что за железо то?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 22-Дек-10, 09:57

>[оверквотинг удален]
>> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
>> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
>> с ftp - тож самое. Ругань на тайм ауты, а после
>> дает копировать. Скорость при этом максимально возможная через этот канал..
>> Если снова выключить шифрование - все работает опять без проблем.
>> Куда копать, как промониторить?
> Попробуй MTU на тунельном интерфейсе уменьшить до 1400
> Нужно обязательно смотреть debug crypto ...
> А мониторить можно с помощбю ip sla,  iperf
> Что за железо то?
Железо - (C870-ADVSECURITYK9-M) с двух сторон...
MTU менял - пофиг..

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec tunnel" +/–

Сообщение от aZL on 22-Дек-10, 10:19

1. если dropped в sh int tu0
2. deb ip tcp tr

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 22-Дек-10, 10:39

> 1. если dropped в sh int tu0
> 2. deb ip tcp tr
1. Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 10
...но значения не миеняются пока во всяком случае....
2. После запуска отладчика
000093: Dec 22 10:34:52.757 MSK: TCP2: ACK timeout timer expired
000095: Dec 22 10:35:15.970 MSK: TCP2: ACK timeout timer expired
000096: Dec 22 10:35:17.294 MSK: TCP2: ACK timeout timer expired
000097: Dec 22 10:36:17.077 MSK: TCP2: keepalive timeout (0/4)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "IPSec tunnel" +/–

Сообщение от aZL on 22-Дек-10, 12:10

Ага, тогда ещё:
sh ip traffic | i fragment
и покажите конфиг интерфейсов fa и tun0.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "IPSec tunnel" +/–

Сообщение от ShyLion (ok) on 24-Дек-10, 15:33

debug crypto isakmp
Думаю проблемы при изначальном и последующих выборах ключа шифрования.
isakmp нормально ходит между ендпоинтами?
Вот железно работающий конфиг на куче роутеров у меня в сети:
crypto isakmp policy 20
encr aes 256
hash md5
authentication pre-share
group 2
!
!
crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac
!
!
crypto ipsec profile TUN-AES256
set transform-set AES256-MD5
!
!
!
interface Tunnel
description Over-side-city, over-side-site, Inet, Local ISP - Remote ISP
ip address
keepalive 10 3
tunnel source
tunnel destination
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUN-AES256
!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec tunnel" +/–

Сообщение от Aleks305 (ok) on 22-Дек-10, 10:38

>[оверквотинг удален]
>  set transform-set IPSEC
> Далее на интерфейсе tunnel 0
>  tunnel protection ipsec profile TUNNEL
> ...на этом все....
> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
> с ftp - тож самое. Ругань на тайм ауты, а после
> дает копировать. Скорость при этом максимально возможная через этот канал..
> Если снова выключить шифрование - все работает опять без проблем.
> Куда копать, как промониторить?
set peer в crypto map я у Вас не увидел...
Весь траффик в туннель что ли заворачиваете?acl не нужно?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 22-Дек-10, 11:27

>[оверквотинг удален]
>>  tunnel protection ipsec profile TUNNEL
>> ...на этом все....
>> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh
>> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл
>> с ftp - тож самое. Ругань на тайм ауты, а после
>> дает копировать. Скорость при этом максимально возможная через этот канал..
>> Если снова выключить шифрование - все работает опять без проблем.
>> Куда копать, как промониторить?
> set peer в crypto map я у Вас не увидел...
> Весь траффик в туннель что ли заворачиваете?acl не нужно?
Нет ни каких крипто мэпов...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 22-Дек-10, 11:51

> set peer в crypto map я у Вас не увидел...
> Весь траффик в туннель что ли заворачиваете?acl не нужно?
Удалил туннели и сделал крипто мэпы
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key keykeykey address xxxxxxxxxxxxxxxxxxxxxx
crypto isakmp keepalive 60 3

crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile TUNNEL
set transform-set IPSEC

crypto map TUNNELTOTC 10 ipsec-isakmp
set peer xxxxxxxxxxxxxxxxxxxxx
set transform-set IPSEC
match address acl_vpn_remote
ip access-list ex acl_vpn_remote permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255

В списке доступа для nat -а
access list acl_nat
10 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 (130 matches)
20 permit ip 192.168.0.0 0.0.0.255 any (206 matches)

Все равно ТОРМОЗА!!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 22-Дек-10, 12:14

> Все равно ТОРМОЗА!!
Прошло 10 минут...После перестройки c профиля на crypto map все заработало как надо.
Спасибо. Тема закрыта!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "IPSec tunnel" +/–

Сообщение от Pve1 (ok) on 22-Дек-10, 15:48

>> Все равно ТОРМОЗА!!
> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как
> надо.
> Спасибо. Тема закрыта!
Вообще это оч странно...
А если попробовать настройках тунеля жестко указать тип GRE?
tunnel mode gre multipoint
По умолчанию, как понимаю - работает ipip
Просто IPSec - не удобно)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "IPSec tunnel" +/–

Сообщение от Aleks305 (ok) on 22-Дек-10, 17:10

>>> Все равно ТОРМОЗА!!
>> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как
>> надо.
>> Спасибо. Тема закрыта!
> Вообще это оч странно...
> А если попробовать настройках тунеля жестко указать тип GRE?
> tunnel mode gre multipoint
> По умолчанию, как понимаю - работает ipip
> Просто IPSec - не удобно)
GRE как правило используется с ipsec для передачи мультикаста в протоколах маршрутизации

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 09:29

>> Все равно ТОРМОЗА!!
> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как
> надо.
> Спасибо. Тема закрыта!
Рано поспешил закрыть тему...Все равно тормоза...
Кстати, когда были tunnel-и ставил tunnel moge gre принудительно. Все равно не тормозило...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 09:34

Вот конфиг одной из сторон:
!
! Last configuration change at 12:10:15 MSK Wed Dec 22 2010 by support
! NVRAM config last updated at 12:11:39 MSK Wed Dec 22 2010 by support
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname vpn_to_toto
!
boot-start-marker
boot system flash c870-advsecurityk9-mz.124-15.T6.bin
boot-end-marker
!
logging buffered 4096
logging console critical
enable secret 5 ********************************
!
no aaa new-model
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
no ip source-route
no ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip bootp server
no ip domain lookup
ip domain name **************.net
!
!
!
file prompt quiet
username support privilege 15 secret 5 *******************************
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key *************** address xxx.xxx.xxx.xxx
crypto isakmp keepalive 60 3
!
!
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile TUNNEL
set transform-set IPSEC
!
!
crypto map TUNNELTOTC 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set IPSEC
match address acl_vpn
!
archive
log config
  hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface Vlan1
ip ssh version 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.0.184 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname **************
ppp chap password 7 ************
ppp pap sent-username ********* password 7 **************
crypto map TUNNELTOTC
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat inside source list acl_nat interface Dialer0 overload
!
ip access-list extended acl_nat
deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
ip access-list extended acl_vpn
permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
access-list 2 permit 192.168.0.1
access-list 2 permit 192.168.0.3
access-list 2 permit 192.168.0.5
access-list 2 deny   any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
access-class 2 in
login local
transport input ssh
transport output ssh
!
no scheduler max-task-time
ntp clock-period 17175014
ntp server 192.168.0.1
end

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "IPSec tunnel" +/–

Сообщение от aZL on 23-Дек-10, 09:36

Вы так и не показали
sh ip traffic | i fragment и конфиг tun0.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 09:43

> Вы так и не показали
> sh ip traffic | i fragment и конфиг tun0.
sh ip traffic | include frag
0 fragmented, 0 fragments, 0 couldn't fragment

Сейчас tunnel нет, но вот когда были
interface Tunnel0
ip address 192.168.50.1 255.255.255.252
tunnel source 1.1.1.1
tunnel destination 2.2.2.2
tunnel protection ipsec profile TUNNEL

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "IPSec tunnel" +/–

Сообщение от aZL on 23-Дек-10, 11:49

О каг, у Вас уже всё координально поменялось...
Давайте попробуем так:
#int vlan 1
)#no ip tcp adjust-mss 1412
#int dialer0
)#no ip mtu 1452
)#ip tcp adjust-mss 1380

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 12:15

> О каг, у Вас уже всё координально поменялось...
> Давайте попробуем так:
> #int vlan 1
> )#no ip tcp adjust-mss 1412
> #int dialer0
> )#no ip mtu 1452
> )#ip tcp adjust-mss 1380
Поменял...Все тож самое..
Сделал на обоих cisc-ах clear crypto sa
ping 192.168.2.5  -l  1500
Обмен пакетами с 192.168.2.5 по 1500 байт:
Ответ от 192.168.2.5: число байт=1500 время=107мс TTL=62
Ответ от 192.168.2.5: число байт=1500 время=111мс TTL=62
Ответ от 192.168.2.5: число байт=1500 время=105мс TTL=62
Ответ от 192.168.2.5: число байт=1500 время=99мс
Но даж на ftp в той сети текстовый файл положить не дает 0 time out((

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 12:16

> О каг, у Вас уже всё координально поменялось...
Да уж не знаю куда копать..Пробую все варианты..

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 12:20

Кстати, вот только что опять все заработало как надо...Вчера тож самое 2-3 часа работает, потом тормоза.
Каналы специально под vpn и пользователей с левым трафиком на них нет.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "IPSec tunnel" +/–

Сообщение от aZL on 23-Дек-10, 12:35

> Кстати, вот только что опять все заработало как надо...
Т.е. сейчас, например, по ftp всё нормально?
Ещё: скачайте mturoute (http://www.itsyourip.com/ip-tools/mturoute-free-utility-to-f.../) и покажите результаты.
И с рутера-на-рутер:
ping x.x.x.x size 1500 df
ping x.x.x.x size 1500

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 12:41

>> Кстати, вот только что опять все заработало как надо...
> Т.е. сейчас, например, по ftp всё нормально?
> Ещё: скачайте mturoute (http://www.itsyourip.com/ip-tools/mturoute-free-utility-to-f.../)
> и покажите результаты.
> И с рутера-на-рутер:
> ping x.x.x.x size 1500 df
> ping x.x.x.x size 1500
Было нормально минут 15-20...Копировал на ftp 20Gbt файл...Без проблем..
А сейчас - тож самое...Бред какой то...
C:\>mturoute.exe 192.168.2.5
* ICMP Fragmentation is not permitted. *
* Speed optimization is enabled. *
* Maximum payload is 10000 bytes. *
- ICMP payload of 5046 bytes is too big.
- ICMP payload of 2569 bytes is too big.
+ ICMP payload of 1330 bytes succeeded.
- ICMP payload of 1949 bytes is too big.
- ICMP payload of 1639 bytes is too big.
- ICMP payload of 1484 bytes is too big.
...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1368 bytes succeeded.
+ ICMP payload of 1387 bytes succeeded.
...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT)
...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1389 bytes succeeded.
+ ICMP payload of 1390 bytes succeeded.
...- ICMP payload of 1391 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1390 bytes succeeded.
Path MTU: 1418 bytes.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "IPSec tunnel" +/–

Сообщение от aZL on 23-Дек-10, 12:59

В sh ip traffic | i fragment что-нибудь появилось?
Давайте вернем на
Dialer0
ip mtu 1492
no ip tcp adjust-mss 1380
no ip route-cache
и опять посмотрим на mturoute.exe

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 13:02

> В sh ip traffic | i fragment что-нибудь появилось?
> Давайте вернем на
> Dialer0
> ip mtu 1492
> no ip tcp adjust-mss 1380
> no ip route-cache
> и опять посмотрим на mturoute.exe
sh ip traffic | i fragment
19 fragmented, 38 fragments, 0 couldn't fragment
C:\Tools>mturoute.exe 192.168.2.5
* ICMP Fragmentation is not permitted. *
* Speed optimization is enabled. *
* Maximum payload is 10000 bytes. *
- ICMP payload of 5046 bytes is too big.
- ICMP payload of 2569 bytes is too big.
+ ICMP payload of 1330 bytes succeeded.
- ICMP payload of 1949 bytes is too big.
- ICMP payload of 1639 bytes is too big.
- ICMP payload of 1484 bytes is too big.
...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1368 bytes succeeded.
+ ICMP payload of 1387 bytes succeeded.
...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT)
...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT)
+ ICMP payload of 1389 bytes succeeded.
+ ICMP payload of 1390 bytes succeeded.
+ ICMP payload of 1391 bytes succeeded.
Path MTU: 1419 bytes.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "IPSec tunnel" +/–

Сообщение от aZL on 23-Дек-10, 14:34

мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)?
Ещё давайте посмотрим sh cry en a s

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 23-Дек-10, 15:07

> мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)?
> Ещё давайте посмотрим sh cry en a s
Тут все красиво (((

Device:   Motorola Talitos 1.0
Location: Onboard: 0
        :Statistics for encryption device since the last clear
         of counters 88703 seconds ago
                  41513 packets in                       41513 packets out
               24393192 bytes in                      25110905 bytes out
                      0 paks/sec in                          0 paks/sec out
                      2 Kbits/sec in                         2 Kbits/sec out
                  15013 packets decrypted                26500 packets encrypted
                2064264 bytes before decrypt          22324656 bytes encrypted
                1097001 bytes decrypted               24013904 bytes after encrypt
                      0 packets decompressed                 0 packets compressed
                      0 bytes before decomp                  0 bytes before comp
                      0 bytes after decomp                   0 bytes after comp
                      0 packets bypass decompr               0 packets bypass compres
                      0 bytes bypass decompres               0 bytes bypass compressi
                      0 packets not decompress               0 packets not compressed
                      0 bytes not decompressed               0 bytes not compressed
                  1.0:1 compression ratio                1.0:1 overall
                Last 5 minutes:
                    160 packets in                         160 packets out
                      0 paks/sec in                          0 paks/sec out
                    593 bits/sec in                        595 bits/sec out
                   9351 bytes decrypted                   7381 bytes encrypted
                    252 Kbits/sec decrypted                199 Kbits/sec encrypted
                  1.0:1 compression ratio                1.0:1 overall
Errors:
Total Number of Packet Drops = 0
Pad Error                    = 0
Data Error                   = 0
Packet Error                 = 0
Null IP Error                = 0
Hardware Error               = 0
CP Unavailable               = 0
HP Unavailable               = 0
AH Seq Failure               = 0
Link Down Error              = 0
ESP Seq Failure              = 0
AH Auth Failure              = 0
ESP Auth Failure             = 0
Queue Full Error             = 0
API Request Error            = 0
Invalid Flow Error           = 0
Buffer Unavailable           = 0
QOS Queue Full Error         = 0
Packet too Big Error         = 0
AH Replay Check Failure      = 0
Too Many Particles Error     = 0
ESP Replay Check Failure     = 0
Input Queue Full Error       = 0
Output Queue Full Error      = 0
Pre-batch Queue Full Error   = 0
Post-batch Queue Full Error  = 0
BATCHING Statistics:
Batching currently Inactive
No of times batching turned on        = 0
No of times batching turned off       = 0
No of Flush Done                      = 0
PRE-BATCHING Enabled
Pre-batch count, max_count            = 0, 16
Packets queued to pre-batch queue     = 0
Packets flushed from pre-batch queue  = 0
The Pre-batch Queue Information
The Queuesize is                      = 128
The no entries currently being used   = 0
The Read Index is                     = 0
The Write Index is                    = 0
The entries in use are between Read and Write Index
The entries in use are
POST-BATCHING Enabled
Post-batch count, max_count           = 0, 16
Packets queued to post-batch queue    = 0
Packets flushed from post-batch queue = 0
The Post-batch Queue Information
The Queuesize is                      = 128
The no entries currently being used   = 0
The Read Index is                     = 0
The Write Index is                    = 0
The entries in use are between Read and Write Index
The entries in use are

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "IPSec tunnel" +/–

Сообщение от aZL on 23-Дек-10, 15:23

В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco приходится заниматься еще и фрагментацией пакетов, чего нужно категорически избежать.
Предлагаю:
1. Вернуться к ipsec gre (проще найти траблу)
2. Вместо 3des использовать aes 128
3. Включить ip unreachable на ВСЕХ интерфейсах
4. На туннелях выставить ip mtu 1416 ip tcp adjust-mss 1376
Если не поехало как положено - показать полный конфиг с обоих сторон.
В идеале по sh ip traffic | include frag должно быть
0 fragmented, 0 fragments, 0 couldn't fragment
Теория:
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "IPSec tunnel" +/–

Сообщение от Pve1 (??) on 24-Дек-10, 12:45

А не попробовать ли отключить просто шифрование.
И поверх чистого тунельного интерфейса погонять трафик тестовый.
Причем ftp - корявый тест.
Есть iperf например...
Может дело то не в ipsec?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "IPSec tunnel" +/–

Сообщение от aZL on 24-Дек-10, 13:25

> Может дело то не в ipsec?
топикстартер изначально сообщал:
> Если снова выключить шифрование - все работает опять без проблем.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "IPSec tunnel" +/–

Сообщение от Алексей (??) on 27-Дек-10, 14:29

>> Может дело то не в ipsec?
В общем сейчас все работает нормально, причем только с определенными удаленными машинами:
- radmin-ы - хорошо
- ftp -  хорошо
Все  это на Виндовых ПК/
Плохо работает (с большими задержками) только удаленный терминал (через pytty) на FreeBSD 4.10 и слив файлов через pscp... Сплошные тайм-ауты, а потом - все копируется и на нормальной скорости...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec tunnel"	+/–
Сообщение от Pve1 (ok) on 22-Дек-10, 09:50
>[оверквотинг удален] > set transform-set IPSEC > Далее на интерфейсе tunnel 0 > tunnel protection ipsec profile TUNNEL > ...на этом все.... > Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh > в другую подсеть - сплошная ругань на тайм ауты... Копирую файл > с ftp - тож самое. Ругань на тайм ауты, а после > дает копировать. Скорость при этом максимально возможная через этот канал.. > Если снова выключить шифрование - все работает опять без проблем. > Куда копать, как промониторить? Попробуй MTU на тунельном интерфейсе уменьшить до 1400 Нужно обязательно смотреть debug crypto ... А мониторить можно с помощбю ip sla, iperf Что за железо то?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 22-Дек-10, 09:57
	>[оверквотинг удален] >> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh >> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл >> с ftp - тож самое. Ругань на тайм ауты, а после >> дает копировать. Скорость при этом максимально возможная через этот канал.. >> Если снова выключить шифрование - все работает опять без проблем. >> Куда копать, как промониторить? > Попробуй MTU на тунельном интерфейсе уменьшить до 1400 > Нужно обязательно смотреть debug crypto ... > А мониторить можно с помощбю ip sla, iperf > Что за железо то? Железо - (C870-ADVSECURITYK9-M) с двух сторон... MTU менял - пофиг..
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPSec tunnel"	+/–
	Сообщение от aZL on 22-Дек-10, 10:19
	1. если dropped в sh int tu0 2. deb ip tcp tr
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 22-Дек-10, 10:39
	> 1. если dropped в sh int tu0 > 2. deb ip tcp tr 1. Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 10 ...но значения не миеняются пока во всяком случае.... 2. После запуска отладчика 000093: Dec 22 10:34:52.757 MSK: TCP2: ACK timeout timer expired 000095: Dec 22 10:35:15.970 MSK: TCP2: ACK timeout timer expired 000096: Dec 22 10:35:17.294 MSK: TCP2: ACK timeout timer expired 000097: Dec 22 10:36:17.077 MSK: TCP2: keepalive timeout (0/4)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	8. "IPSec tunnel"	+/–
	Сообщение от aZL on 22-Дек-10, 12:10
	Ага, тогда ещё: sh ip traffic \| i fragment и покажите конфиг интерфейсов fa и tun0.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	29. "IPSec tunnel"	+/–
	Сообщение от ShyLion (ok) on 24-Дек-10, 15:33
	debug crypto isakmp Думаю проблемы при изначальном и последующих выборах ключа шифрования. isakmp нормально ходит между ендпоинтами? Вот железно работающий конфиг на куче роутеров у меня в сети: crypto isakmp policy 20 encr aes 256 hash md5 authentication pre-share group 2 ! ! crypto ipsec transform-set AES256-MD5 esp-aes 256 esp-md5-hmac ! ! crypto ipsec profile TUN-AES256 set transform-set AES256-MD5 ! ! ! interface Tunnel description Over-side-city, over-side-site, Inet, Local ISP - Remote ISP ip address keepalive 10 3 tunnel source tunnel destination tunnel mode ipsec ipv4 tunnel protection ipsec profile TUN-AES256 !
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "IPSec tunnel"	+/–
Сообщение от Aleks305 (ok) on 22-Дек-10, 10:38
>[оверквотинг удален] > set transform-set IPSEC > Далее на интерфейсе tunnel 0 > tunnel protection ipsec profile TUNNEL > ...на этом все.... > Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh > в другую подсеть - сплошная ругань на тайм ауты... Копирую файл > с ftp - тож самое. Ругань на тайм ауты, а после > дает копировать. Скорость при этом максимально возможная через этот канал.. > Если снова выключить шифрование - все работает опять без проблем. > Куда копать, как промониторить? set peer в crypto map я у Вас не увидел... Весь траффик в туннель что ли заворачиваете?acl не нужно?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 22-Дек-10, 11:27
	>[оверквотинг удален] >> tunnel protection ipsec profile TUNNEL >> ...на этом все.... >> Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh >> в другую подсеть - сплошная ругань на тайм ауты... Копирую файл >> с ftp - тож самое. Ругань на тайм ауты, а после >> дает копировать. Скорость при этом максимально возможная через этот канал.. >> Если снова выключить шифрование - все работает опять без проблем. >> Куда копать, как промониторить? > set peer в crypto map я у Вас не увидел... > Весь траффик в туннель что ли заворачиваете?acl не нужно? Нет ни каких крипто мэпов...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 22-Дек-10, 11:51
	> set peer в crypto map я у Вас не увидел... > Весь траффик в туннель что ли заворачиваете?acl не нужно? Удалил туннели и сделал крипто мэпы crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp key keykeykey address xxxxxxxxxxxxxxxxxxxxxx crypto isakmp keepalive 60 3 crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac ! crypto ipsec profile TUNNEL set transform-set IPSEC crypto map TUNNELTOTC 10 ipsec-isakmp set peer xxxxxxxxxxxxxxxxxxxxx set transform-set IPSEC match address acl_vpn_remote ip access-list ex acl_vpn_remote permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 В списке доступа для nat -а access list acl_nat 10 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 (130 matches) 20 permit ip 192.168.0.0 0.0.0.255 any (206 matches) Все равно ТОРМОЗА!!
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	9. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 22-Дек-10, 12:14
	> Все равно ТОРМОЗА!! Прошло 10 минут...После перестройки c профиля на crypto map все заработало как надо. Спасибо. Тема закрыта!
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "IPSec tunnel"	+/–
	Сообщение от Pve1 (ok) on 22-Дек-10, 15:48
	>> Все равно ТОРМОЗА!! > Прошло 10 минут...После перестройки c профиля на crypto map все заработало как > надо. > Спасибо. Тема закрыта! Вообще это оч странно... А если попробовать настройках тунеля жестко указать тип GRE? tunnel mode gre multipoint По умолчанию, как понимаю - работает ipip Просто IPSec - не удобно)
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "IPSec tunnel"	+/–
	Сообщение от Aleks305 (ok) on 22-Дек-10, 17:10
	>>> Все равно ТОРМОЗА!! >> Прошло 10 минут...После перестройки c профиля на crypto map все заработало как >> надо. >> Спасибо. Тема закрыта! > Вообще это оч странно... > А если попробовать настройках тунеля жестко указать тип GRE? > tunnel mode gre multipoint > По умолчанию, как понимаю - работает ipip > Просто IPSec - не удобно) GRE как правило используется с ipsec для передачи мультикаста в протоколах маршрутизации
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 09:29
	>> Все равно ТОРМОЗА!! > Прошло 10 минут...После перестройки c профиля на crypto map все заработало как > надо. > Спасибо. Тема закрыта! Рано поспешил закрыть тему...Все равно тормоза... Кстати, когда были tunnel-и ставил tunnel moge gre принудительно. Все равно не тормозило...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	13. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 09:34
	Вот конфиг одной из сторон: ! ! Last configuration change at 12:10:15 MSK Wed Dec 22 2010 by support ! NVRAM config last updated at 12:11:39 MSK Wed Dec 22 2010 by support ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname vpn_to_toto ! boot-start-marker boot system flash c870-advsecurityk9-mz.124-15.T6.bin boot-end-marker ! logging buffered 4096 logging console critical enable secret 5 ****************************** ! no aaa new-model clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00 ! ! dot11 syslog no ip source-route no ip cef ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 no ip bootp server no ip domain lookup ip domain name **********.net ! ! ! file prompt quiet username support privilege 15 secret 5 *************************** ! ! crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp key *********** address xxx.xxx.xxx.xxx crypto isakmp keepalive 60 3 ! ! crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac ! crypto ipsec profile TUNNEL set transform-set IPSEC ! ! crypto map TUNNELTOTC 10 ipsec-isakmp set peer xxx.xxx.xxx.xxx set transform-set IPSEC match address acl_vpn ! archive log config hidekeys ! ! ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh source-interface Vlan1 ip ssh version 2 ! ! ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 ip address 192.168.0.184 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip tcp adjust-mss 1412 ! interface Dialer0 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname ********** ppp chap password 7 ******** ppp pap sent-username ***** password 7 ************ crypto map TUNNELTOTC ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ! no ip http server no ip http secure-server ip nat inside source list acl_nat interface Dialer0 overload ! ip access-list extended acl_nat deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.0.0 0.0.0.255 any ip access-list extended acl_vpn permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 ! access-list 2 permit 192.168.0.1 access-list 2 permit 192.168.0.3 access-list 2 permit 192.168.0.5 access-list 2 deny any log dialer-list 1 protocol ip permit no cdp run ! ! ! control-plane ! ! line con 0 login local no modem enable transport output telnet line aux 0 login local transport output telnet line vty 0 4 access-class 2 in login local transport input ssh transport output ssh ! no scheduler max-task-time ntp clock-period 17175014 ntp server 192.168.0.1 end
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "IPSec tunnel"	+/–
	Сообщение от aZL on 23-Дек-10, 09:36
	Вы так и не показали sh ip traffic \| i fragment и конфиг tun0.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	15. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 09:43
	> Вы так и не показали > sh ip traffic \| i fragment и конфиг tun0. sh ip traffic \| include frag 0 fragmented, 0 fragments, 0 couldn't fragment Сейчас tunnel нет, но вот когда были interface Tunnel0 ip address 192.168.50.1 255.255.255.252 tunnel source 1.1.1.1 tunnel destination 2.2.2.2 tunnel protection ipsec profile TUNNEL
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "IPSec tunnel"	+/–
	Сообщение от aZL on 23-Дек-10, 11:49
	О каг, у Вас уже всё координально поменялось... Давайте попробуем так: #int vlan 1 )#no ip tcp adjust-mss 1412 #int dialer0 )#no ip mtu 1452 )#ip tcp adjust-mss 1380
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 12:15
	> О каг, у Вас уже всё координально поменялось... > Давайте попробуем так: > #int vlan 1 > )#no ip tcp adjust-mss 1412 > #int dialer0 > )#no ip mtu 1452 > )#ip tcp adjust-mss 1380 Поменял...Все тож самое.. Сделал на обоих cisc-ах clear crypto sa ping 192.168.2.5 -l 1500 Обмен пакетами с 192.168.2.5 по 1500 байт: Ответ от 192.168.2.5: число байт=1500 время=107мс TTL=62 Ответ от 192.168.2.5: число байт=1500 время=111мс TTL=62 Ответ от 192.168.2.5: число байт=1500 время=105мс TTL=62 Ответ от 192.168.2.5: число байт=1500 время=99мс Но даж на ftp в той сети текстовый файл положить не дает 0 time out((
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 12:16
	> О каг, у Вас уже всё координально поменялось... Да уж не знаю куда копать..Пробую все варианты..
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	19. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 12:20
	Кстати, вот только что опять все заработало как надо...Вчера тож самое 2-3 часа работает, потом тормоза. Каналы специально под vpn и пользователей с левым трафиком на них нет.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "IPSec tunnel"	+/–
	Сообщение от aZL on 23-Дек-10, 12:35
	> Кстати, вот только что опять все заработало как надо... Т.е. сейчас, например, по ftp всё нормально? Ещё: скачайте mturoute (http://www.itsyourip.com/ip-tools/mturoute-free-utility-to-f.../) и покажите результаты. И с рутера-на-рутер: ping x.x.x.x size 1500 df ping x.x.x.x size 1500
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 12:41
	>> Кстати, вот только что опять все заработало как надо... > Т.е. сейчас, например, по ftp всё нормально? > Ещё: скачайте mturoute (http://www.itsyourip.com/ip-tools/mturoute-free-utility-to-f.../) > и покажите результаты. > И с рутера-на-рутер: > ping x.x.x.x size 1500 df > ping x.x.x.x size 1500 Было нормально минут 15-20...Копировал на ftp 20Gbt файл...Без проблем.. А сейчас - тож самое...Бред какой то... C:\>mturoute.exe 192.168.2.5 * ICMP Fragmentation is not permitted. * * Speed optimization is enabled. * * Maximum payload is 10000 bytes. * - ICMP payload of 5046 bytes is too big. - ICMP payload of 2569 bytes is too big. + ICMP payload of 1330 bytes succeeded. - ICMP payload of 1949 bytes is too big. - ICMP payload of 1639 bytes is too big. - ICMP payload of 1484 bytes is too big. ...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1368 bytes succeeded. + ICMP payload of 1387 bytes succeeded. ...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT) ...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1389 bytes succeeded. + ICMP payload of 1390 bytes succeeded. ...- ICMP payload of 1391 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1390 bytes succeeded. Path MTU: 1418 bytes.
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "IPSec tunnel"	+/–
	Сообщение от aZL on 23-Дек-10, 12:59
	В sh ip traffic \| i fragment что-нибудь появилось? Давайте вернем на Dialer0 ip mtu 1492 no ip tcp adjust-mss 1380 no ip route-cache и опять посмотрим на mturoute.exe
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 13:02
	> В sh ip traffic \| i fragment что-нибудь появилось? > Давайте вернем на > Dialer0 > ip mtu 1492 > no ip tcp adjust-mss 1380 > no ip route-cache > и опять посмотрим на mturoute.exe sh ip traffic \| i fragment 19 fragmented, 38 fragments, 0 couldn't fragment C:\Tools>mturoute.exe 192.168.2.5 * ICMP Fragmentation is not permitted. * * Speed optimization is enabled. * * Maximum payload is 10000 bytes. * - ICMP payload of 5046 bytes is too big. - ICMP payload of 2569 bytes is too big. + ICMP payload of 1330 bytes succeeded. - ICMP payload of 1949 bytes is too big. - ICMP payload of 1639 bytes is too big. - ICMP payload of 1484 bytes is too big. ...- ICMP payload of 1407 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1368 bytes succeeded. + ICMP payload of 1387 bytes succeeded. ...- ICMP payload of 1397 bytes failed. (IP_REQ_TIMED_OUT) ...- ICMP payload of 1392 bytes failed. (IP_REQ_TIMED_OUT) + ICMP payload of 1389 bytes succeeded. + ICMP payload of 1390 bytes succeeded. + ICMP payload of 1391 bytes succeeded. Path MTU: 1419 bytes.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "IPSec tunnel"	+/–
	Сообщение от aZL on 23-Дек-10, 14:34
	мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)? Ещё давайте посмотрим sh cry en a s
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 23-Дек-10, 15:07
	> мда, совсем жесть. А на физическом уровне ошибок нет (кабеля и пр.)? > Ещё давайте посмотрим sh cry en a s Тут все красиво ((( Device: Motorola Talitos 1.0 Location: Onboard: 0 :Statistics for encryption device since the last clear of counters 88703 seconds ago 41513 packets in 41513 packets out 24393192 bytes in 25110905 bytes out 0 paks/sec in 0 paks/sec out 2 Kbits/sec in 2 Kbits/sec out 15013 packets decrypted 26500 packets encrypted 2064264 bytes before decrypt 22324656 bytes encrypted 1097001 bytes decrypted 24013904 bytes after encrypt 0 packets decompressed 0 packets compressed 0 bytes before decomp 0 bytes before comp 0 bytes after decomp 0 bytes after comp 0 packets bypass decompr 0 packets bypass compres 0 bytes bypass decompres 0 bytes bypass compressi 0 packets not decompress 0 packets not compressed 0 bytes not decompressed 0 bytes not compressed 1.0:1 compression ratio 1.0:1 overall Last 5 minutes: 160 packets in 160 packets out 0 paks/sec in 0 paks/sec out 593 bits/sec in 595 bits/sec out 9351 bytes decrypted 7381 bytes encrypted 252 Kbits/sec decrypted 199 Kbits/sec encrypted 1.0:1 compression ratio 1.0:1 overall Errors: Total Number of Packet Drops = 0 Pad Error = 0 Data Error = 0 Packet Error = 0 Null IP Error = 0 Hardware Error = 0 CP Unavailable = 0 HP Unavailable = 0 AH Seq Failure = 0 Link Down Error = 0 ESP Seq Failure = 0 AH Auth Failure = 0 ESP Auth Failure = 0 Queue Full Error = 0 API Request Error = 0 Invalid Flow Error = 0 Buffer Unavailable = 0 QOS Queue Full Error = 0 Packet too Big Error = 0 AH Replay Check Failure = 0 Too Many Particles Error = 0 ESP Replay Check Failure = 0 Input Queue Full Error = 0 Output Queue Full Error = 0 Pre-batch Queue Full Error = 0 Post-batch Queue Full Error = 0 BATCHING Statistics: Batching currently Inactive No of times batching turned on = 0 No of times batching turned off = 0 No of Flush Done = 0 PRE-BATCHING Enabled Pre-batch count, max_count = 0, 16 Packets queued to pre-batch queue = 0 Packets flushed from pre-batch queue = 0 The Pre-batch Queue Information The Queuesize is = 128 The no entries currently being used = 0 The Read Index is = 0 The Write Index is = 0 The entries in use are between Read and Write Index The entries in use are POST-BATCHING Enabled Post-batch count, max_count = 0, 16 Packets queued to post-batch queue = 0 Packets flushed from post-batch queue = 0 The Post-batch Queue Information The Queuesize is = 128 The no entries currently being used = 0 The Read Index is = 0 The Write Index is = 0 The entries in use are between Read and Write Index The entries in use are
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "IPSec tunnel"	+/–
	Сообщение от aZL on 23-Дек-10, 15:23
	В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco приходится заниматься еще и фрагментацией пакетов, чего нужно категорически избежать. Предлагаю: 1. Вернуться к ipsec gre (проще найти траблу) 2. Вместо 3des использовать aes 128 3. Включить ip unreachable на ВСЕХ интерфейсах 4. На туннелях выставить ip mtu 1416 ip tcp adjust-mss 1376 Если не поехало как положено - показать полный конфиг с обоих сторон. В идеале по sh ip traffic \| include frag должно быть 0 fragmented, 0 fragments, 0 couldn't fragment Теория: http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	27. "IPSec tunnel"	+/–
	Сообщение от Pve1 (??) on 24-Дек-10, 12:45
	А не попробовать ли отключить просто шифрование. И поверх чистого тунельного интерфейса погонять трафик тестовый. Причем ftp - корявый тест. Есть iperf например... Может дело то не в ipsec?
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "IPSec tunnel"	+/–
	Сообщение от aZL on 24-Дек-10, 13:25
	> Может дело то не в ipsec? топикстартер изначально сообщал: > Если снова выключить шифрование - все работает опять без проблем.
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	30. "IPSec tunnel"	+/–
	Сообщение от Алексей (??) on 27-Дек-10, 14:29
	>> Может дело то не в ipsec? В общем сейчас все работает нормально, причем только с определенными удаленными машинами: - radmin-ы - хорошо - ftp - хорошо Все это на Виндовых ПК/ Плохо работает (с большими задержками) только удаленный терминал (через pytty) на FreeBSD 4.10 и слив файлов через pscp... Сплошные тайм-ауты, а потом - все копируется и на нормальной скорости...
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору