Добрый день!

Прошу совета, сам уже неделю тритий день мозг разрушаю - пока безрезультатно.

Суть проблемы: стандартная ситуация - нужно присоеденить удаленныю площадку к офису.

Имеем 2-и 871 Cisco - Одна обычная, вторая ADSL. Поднят gre tunnel защищенный IPsec-ом.
Все пингуется, телнет ходит и Radmin соединения тоже держит, НО! если соединение инициировано со стороны удаленной площадки, если тоже самое делать из офиса, сессия виснет наглухо, как только со стороны удаленной площадки ожидаюется прием пакетов.
Абсолюно такая же схема у меня работает прекрасно, но собрана она на двух роутерах (без ADSL), мне кажется каким то образом влияет bridg между интерефейсами atm0 и BVI может здесь собака порылась? Посмотрите плиз конфиги:

Офис:
-------------------------------------

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname home
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name host.local
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key xxxxxxxxxx address 212.100.xxx.42
!
!
crypto ipsec transform-set MYTS esp-des esp-md5-hmac
!
crypto ipsec profile IPSECLINK
set transform-set MYTS
!
!
!
!
interface Tunnel0
ip address 172.30.1.1 255.255.255.252
no ip redirects
no ip proxy-arp
ip mtu 1460
ip tcp adjust-mss 1420
no ip mroute-cache
tunnel source FastEthernet4
tunnel destination 212.100.xxx.42
tunnel protection ipsec profile IPSECLINK
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Uplink
ip address 62.100.xxx.150 255.255.255.252
ip access-group 103 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description inside
ip address 192.168.120.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 62.100.xxx.149
ip route 192.168.100.0 255.255.255.0 172.30.1.2
!
no ip http server
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 9 interface FastEthernet4 overload
!
access-list 9 permit 192.168.120.0 0.0.0.255
access-list 23 permit 192.168.120.18
access-list 23 permit 192.168.100.3
access-list 23 permit 212.100.xxx.42
access-list 23 permit 213.120.xxx.2
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip host 0.0.0.0 any
access-list 100 permit ip any any
access-list 103 permit tcp host 212.100.xxx.42 host 62.140.251.150 eq 22
access-list 103 permit tcp host 212.100.xxx.41 host 62.140.251.150 eq 22
access-list 103 permit tcp host 213.120.xxx.2 host 62.140.251.150 eq 22
access-list 103 deny   tcp any host 62.100.xxx.150 eq 22
access-list 103 permit ip any any
no cdp run
!
control-plane
!
banner login 
h0me. 
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport preferred none
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
end

Удаленная площадка:
-------------------------------------------------

!
version 12.4
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname farm
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
!
!
!
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip domain name yourdomain.com
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key xxxxxxxxxxxxxx address 62.100.xxx.150
!
!
crypto ipsec transform-set MYTS esp-des esp-md5-hmac
!
crypto ipsec profile IPSECLINK
set transform-set MYTS
!
!
bridge irb
!
!
!
interface Tunnel0
ip address 172.30.1.2 255.255.255.252
no ip redirects
no ip proxy-arp
ip mtu 1460
ip tcp adjust-mss 1420
no ip mroute-cache
tunnel source BVI1
tunnel destination 62.100.xxx.150
tunnel protection ipsec profile IPSECLINK
!
interface ATM0
description DSL
no ip address
no atm ilmi-keepalive
pvc 0/33
  encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description inside
ip address 192.168.100.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
!
interface BVI1
description Uplink
ip address 212.100.xxx.42 255.255.255.248
ip access-group 103 in
ip nat outside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 212.100.xxx.41
ip route 192.168.120.0 255.255.255.0 172.30.1.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface BVI1 overload
!
logging trap debugging
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 11 permit 213.120.xxx.2
access-list 11 permit 62.100.xxx.150
access-list 11 permit 192.168.120.0 0.0.0.255
access-list 11 permit 192.168.100.0 0.0.0.255
access-list 100 permit ip any any
access-list 103 permit tcp host 213.120.xxx.2 host 212.100.xxx.42 eq 22
access-list 103 permit tcp host 62.100.xxx.150 host 212.100.xxx.42 eq 22
access-list 103 deny   tcp any host 212.100.xxx.42 eq 22
access-list 103 permit ip any any
no cdp run
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login 
fArm.

!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 11 in
privilege level 15
login local
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
_____________________________________________________________

sh ip ro - офис:
-----------------------------

Gateway of last resort is 62.100.xxx.149 to network 0.0.0.0

C    192.168.120.0/24 is directly connected, Vlan1
     172.30.0.0/30 is subnetted, 1 subnets
C       172.30.1.0 is directly connected, Tunnel0
     62.0.0.0/30 is subnetted, 1 subnets
C       62.100.xxx.148 is directly connected, FastEthernet4
S    192.168.100.0/24 [1/0] via 172.30.1.2
S*   0.0.0.0/0 [1/0] via 62.100.xxx.149

sh ip ro - удаленная площадка:
-----------------------------

Gateway of last resort is 212.100.xxx.41 to network 0.0.0.0

S    192.168.120.0/24 [1/0] via 172.30.1.1
     172.30.0.0/30 is subnetted, 1 subnets
C       172.30.1.0 is directly connected, Tunnel0
     212.100.xxx.0/29 is subnetted, 1 subnets
C       212.100.xxx.40 is directly connected, BVI1
C    192.168.100.0/24 is directly connected, Vlan1
S*   0.0.0.0/0 [1/0] via 212.100.xxx.41

sh ip int brie - офис:
------------------------------------------

home#sh ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              unassigned      YES unset  up                    up
FastEthernet1              unassigned      YES unset  up                    down
FastEthernet2              unassigned      YES unset  up                    down
FastEthernet3              unassigned      YES unset  up                    down
FastEthernet4              62.100.xxx.150  YES NVRAM  up                    up
Vlan1                      192.168.120.1   YES NVRAM  up                    up
Tunnel0                    172.30.1.1      YES NVRAM  up                    up
NVI0                       unassigned      YES unset  up                    up

sh ip int brie - удаленная площадка:
------------------------------------------

Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              unassigned      YES unset  up                    up
FastEthernet1              unassigned      YES unset  up                    down
FastEthernet2              unassigned      YES unset  up                    down
FastEthernet3              unassigned      YES unset  up                    down
ATM0                       unassigned      YES NVRAM  up                    up
Vlan1                      192.168.100.1   YES NVRAM  up                    up
Tunnel0                    172.30.1.2      YES NVRAM  up                    up
BVI1                       212.100.xxx.42  YES NVRAM  up                    up
NVI0                       unassigned      NO  unset  up                    up

___________________________________________________________________________________

Спасибо всем откликнувшимся и нашедшим время посмотреть конфиги.

• Хелп! GRE tunnel на Cisco 871 не работает в одну сторону :(,k1ndcat, 17:57 , 04-Июн-08
  • Хелп! GRE tunnel на Cisco 871 не работает в одну сторону :(,dxer, 20:31 , 04-Июн-08
    • Хелп! GRE tunnel на Cisco 871 не работает в одну сторону :(,dxer, 20:34 , 04-Июн-08
      • Хелп! GRE tunnel на Cisco 871 не работает в одну сторону :(,k1ndcat, 12:35 , 05-Июн-08
• Хелп! GRE tunnel на Cisco 871 не работает в одну сторону :(,ВОЛКА, 12:54 , 05-Июн-08
  • Хелп! GRE tunnel на Cisco 871 не работает в одну сторону :(,dxer, 13:38 , 05-Июн-08
    • Хелп! GRE tunnel на Cisco 871 не работает в одну сторону :(,k1ndcat, 12:38 , 15-Июл-08

Э--х-х-х-хх-х-х-х. Полконегу никто не пише-е-е-е-еет :((

Проблема уверен скрывается в размере пакетов.

поставь на внутреннем (кот. смотрить в LAN) интерфейсе Цисок терминирующих GRE такое значение (поиграйся с размером пакета)
сonf t
int fa0/1 допустим

ip tcp adjust-mss 1280
exit

Можно через route-map почистить df-bit, но лучше так :)

а вообще полезно изучить как через GRE over IPSec пропускать пакеты с "кривым" MTU.

http://www.cisco.com/en/US/tech/tk827/tk369/technologies_whi...

Да, забыл, на tun0 можно оставить ip tcp adj... команду, но лучше её использовать на интерфейсе, кот. смотрит в Локальную сеть офиса.
И значение то, что ты используешь для ethernet сетей и те 8 байт DSL нужно учесть... а у тебя скорее всего это не сделано. Читай ссылку и экспериментируй, если считать значение размера пакета не хочешь :)

Спасибо большое - пойду мозг разрушать дальше... все таки странно что работает в одну сторону, а не работает совсем :)

вы nat уберите и проверьте, будет ли туннель устанавливаться...

>вы nat уберите и проверьте, будет ли туннель устанавливаться...

Именно в таком режиме и происходит траблы, не раз было такое, то http не открывается с одной стороны, то SMB протокол с одной или другой стороны с таймаутами жуткими работает, проблема заключена в связке MTU + Fragmentation.

>>вы nat уберите и проверьте, будет ли туннель устанавливаться...
>
>Именно в таком режиме и происходит траблы, не раз было такое, то
>http не открывается с одной стороны, то SMB протокол с одной
>или другой стороны с таймаутами жуткими работает, проблема заключена в связке
>MTU + Fragmentation.

______________________________

Спасибо всем большое, вчера поздно вечером мне представилась возможность поиграться с Кошками на нашем виртуальном канале.
Так вот проблема решилась путем прописания в конфиге значений
ip tcp adjust-mss 1280
на интерфейсах смотрящих в локальную сеть (Vlan1) на обоих кошках.
В итоге все работает и Remote Admin и файлы гоняются без проблем в обе стороны.

Осталось, только на циску в голове прикрутить GRE тунель из другого офиса - вот думаю потянет или нет и есть ли тонкости в прописание второго тунеля в конфиге, про интерфайс то понятно нужно еще один поднять, а вот как быть с IPSEC не оч. ясно пока.

:(