форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"нестабильная работа ipsec vpn"	+/–
Сообщение от Raine (ok) on 22-Янв-11, 12:09
Помогите разобраться с ситуацией. Есть 2 рутера 1812 стоят в разных филиалах. через nat связь между ними отличная, но через vpn начинается резкая потеря связи. Пинги проходят процентов на 40. Еще дело в том что провайдер держит между филиалами какое-то свое защищенное соединение(называя его VPN странная конечно услуга) и надо сделать cisco vpn внутри ихнего vpn. Пытался поставить mtu 1476 на внешних интерфейсах, не помогло, да и повторюсь без инкапсуляции все работает отлично и на интерфейсах mtu 1500. version 12.4 service nagle no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption service sequence-numbers no service dhcp ! ip tcp path-mtu-discovery ! crypto isakmp policy 10 encr aes 256 authentication pre-share crypto isakmp key ХХХХХХХХХХ address 192.168.Х.ХХХ ! ! crypto ipsec transform-set aset esp-aes 256 esp-sha-hmac ! crypto map vladsn 10 ipsec-isakmp set peer 192.168.Х.ХХХ set transform-set aset match address vsn_vpn ! interface FastEthernet0 ip address 192.168.8.1 255.255.255.0 ip nat inside ip virtual-reassembly speed auto full-duplex no cdp enable ! interface FastEthernet1 ip address 192.168.Y.Y 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map vladsn ! ip route 0.0.0.0 0.0.0.0 192.168.Y.Y ip nat inside source list 101 interface FastEthernet1 overload ! ip access-list extended vsn_vpn permit ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255 ! access-list 101 deny   ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255 access-list 101 permit ip 192.168.8.0 0.0.0.255 any Оно работает(если можно так назвать) но с 60% потерей пингов
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "нестабильная работа ipsec vpn"	+/–
Сообщение от Aleks305 (ok) on 22-Янв-11, 17:24
>[оверквотинг удален] > ! > ip route 0.0.0.0 0.0.0.0 192.168.Y.Y > ip nat inside source list 101 interface FastEthernet1 overload > ! > ip access-list extended vsn_vpn >  permit ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255 > ! > access-list 101 deny   ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255 > access-list 101 permit ip 192.168.8.0 0.0.0.255 any > Оно работает(если можно так назвать) но с 60% потерей пингов У провайдера просто поднято mpls vpn. Не просто же так вы используете приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "нестабильная работа ipsec vpn"	+/–
	Сообщение от Raine (ok) on 23-Янв-11, 03:34
	> У провайдера просто поднято mpls vpn. Не просто же так вы используете > приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его > уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec Пытался уже на обеих кошках: conf t interface fa1 ip mtu 1476 и даже ip mtu 1400 Не помогает. Может чего не так изменяю? да и вроде строчка ip tcp path-mtu-discovery должна была это отслеживать
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "нестабильная работа ipsec vpn"	+/–
	Сообщение от name (??) on 23-Янв-11, 17:20
	>[оверквотинг удален] >> приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его >> уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec > Пытался уже на обеих кошках: > conf t > interface fa1 > ip mtu 1476 > и даже > ip mtu 1400 > Не помогает. Может чего не так изменяю? > да и вроде строчка ip tcp path-mtu-discovery должна была это отслеживать сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета, узнаете максимальный размер пакета. иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "нестабильная работа ipsec vpn"	+/–
	Сообщение от Raine (ok) on 02-Фев-11, 10:22
	> сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета, > узнаете максимальный размер пакета. > иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте максимальный размер пакета 1372. ставил ip mtu 1000 не помогает. Теряется ровно половина пингов. P.S. Из разряда если у вас теряется половина пингов пингуйте в 2 раза чаще
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "нестабильная работа ipsec vpn"	+/–
	Сообщение от himik1986 (ok) on 02-Фев-11, 17:43
	>> сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета, >> узнаете максимальный размер пакета. >> иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте > максимальный размер пакета 1372. > ставил ip mtu 1000 не помогает. > Теряется ровно половина пингов. > P.S. Из разряда если у вас теряется половина пингов пингуйте в 2 > раза чаще no ip cef
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "нестабильная работа ipsec vpn"	+/–
	Сообщение от j_vw on 02-Фев-11, 20:59
	> no ip cef Ну, это "грубо" ;) Способ, который, точно, работает: Выставить на компах во внутренней сети MTU 1300 (с помощью, например, утилиты SetMTU из пакета Cisco VPN Client) Я был вынужден именно так и поступить в варианте "псевдо-провод" через шифрованный туннель. Другого рабочего варианта не нашел :( По проблеме MTU есть статья на Cisco и ее перевод..... Вспомню...Дам ссылку..... А так, пошарьте в "поисковиках" по кодовой фразе "проблема с MTU"
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "нестабильная работа ipsec vpn"	+/–
	Сообщение от himik86 on 02-Фев-11, 22:23
	>[оверквотинг удален] > Ну, это "грубо" ;) > Способ, который, точно, работает: > Выставить на компах во внутренней сети MTU 1300 (с помощью, например, утилиты > SetMTU из пакета Cisco VPN Client) > Я был вынужден именно так и поступить в варианте "псевдо-провод" через шифрованный > туннель. > Другого рабочего варианта не нашел :( > По проблеме MTU есть статья на Cisco и ее перевод..... > Вспомню...Дам ссылку..... > А так, пошарьте в "поисковиках" по кодовой фразе "проблема с MTU" ну не знаю про какие ты способы пишешь, но no ip cef помог на 100 процентов... сегодня сам ipsec настраивал... причем пакеты странно терялись: Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Превышен интервал ожидания для запроса. Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Превышен интервал ожидания для запроса. Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Превышен интервал ожидания для запроса. Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Превышен интервал ожидания для запроса. Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Превышен интервал ожидания для запроса. Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Превышен интервал ожидания для запроса. Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Превышен интервал ожидания для запроса. Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 и тут также 40% потерь было
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "нестабильная работа ipsec vpn"	+/–
	Сообщение от Raine (ok) on 03-Фев-11, 07:13
	> Превышен интервал ожидания для запроса. > Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 > Превышен интервал ожидания для запроса. > Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 > Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 > и тут также 40% потерь было Помог no ip cef. Спасибо
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "нестабильная работа ipsec vpn"	+/–
	Сообщение от j_vw on 03-Фев-11, 19:24
	Господа. Может я путаю "теплое" с "мягким", но отключение cef очень сильно влияет на производительность рутера. Упретесь в процессор(загрузка прерываниями), который, и так, нифига не быстрый... Не считая того, что некоторые "фичи" без cef, просто, не работают... http://www.cisco.com/en/US/tech/tk827/tk831/technologies_whi...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "нестабильная работа ipsec vpn"	+/–
	Сообщение от Sf on 03-Фев-11, 19:46
	>encr aes 256 сорри за офтоп, а о использовании стойкого крипто вы как бы в курсе.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема