форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Easy VPN 1811-871 (или IPSec VTI) - работает только ping :)"

Сообщение от Антон (??) on 14-Дек-06, 20:51

Здравствуйте, Между Cisco 1811 и Cisco 871 настраиваю туннель либо как Easy VPN server и Easy VPN remote (client), либо настраиваю IPSec Virtual Tunnel Interface на обоих. Между двумя защищаемыми LAN-ами замечательно ходит ping :))), в том числе с большой длинной пакета (20 кБ проверено). Но - при попытке подключить на рабочей станции из одной защищаемой сети сетевой диск с сервера из другой защищаемой сети - диск подключается, иногда удается считать оглавление, но никогда - скопировать файлы. Такой проблемы нет с DMVPN - там все ОК. В чем может быть проблема? Спасибо, Антон P.S. Если кому-то интересно, скорость пары 1811-871 по 3DES - 9...10 МБит/с

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Easy VPN 1811-871 (или IPSec VTI) - работает только ping :)"

Сообщение от sas (??) on 15-Дек-06, 10:20

C mtu Сделайте пинг с df-bit`ом посмотрите какой пакет у вас пролезает. PMTUD ip mtu xxxx ip tcp adjust-mss yyyy >

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Easy VPN 1811-871 (или IPSec VTI) - работает только ping :)"
	Сообщение от Антон (??) on 15-Дек-06, 16:09
	Результаты такие: ping -l 1415 - пакеты проходят; ping -l 1416...1472  - пакеты не проходят (истек интервал ожидания); ping -l 1473 - не проходят (с нормальным диагностическим сообщением fragmentation required but df set) Перекопал уже пол-Интернета, ничего не понимаю, на каком интерфейсе выставлять ip mtu - на vlan1 или на FastEthernet1, с которого уходят пакеты? В случае Easy VPN отдельного интерфейса не формируется... Спасибо! Антон
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Easy VPN 1811-871 (или IPSec VTI) - работает только ping :)"
	Сообщение от Антон (??) on 18-Дек-06, 12:51
	Финально - разобрался. Проблема действительно в PMTUD. И конкретно - в непонятной настройке по умолчанию interface Vlan1 no ip unreachables - т.е. не генерировать сообщения о невозможности доставки с "внутреннего интерфейса... Зачем cisco (SDM?) так делает по умолчанию - неизвестно... Полная теория вопроса изложена здесь http://www.cisco.com/warp/public/105/pmtud_ipfrag.pdf Правда благодаря этой настройке по умолчанию я потратил целый работчий день и весь вопрос изучил и с теоретической, и с практической точки зрения - с анализатором трафика в руках :) Спасибо, Антон
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Easy VPN 1811-871 (или IPSec VTI) - работает только ping :)"
	Сообщение от Руслан on 01-Дек-07, 21:04
	>Финально - разобрался. > Антон, большое человеческое спасибо, что поделился информацией. Выручил :) >[оверквотинг удален] >Полная теория вопроса изложена здесь >http://www.cisco.com/warp/public/105/pmtud_ipfrag.pdf > >Правда благодаря этой настройке по умолчанию я потратил целый работчий день и >весь вопрос изучил и с теоретической, и с практической точки зрения >- с анализатором трафика в руках :) > > >Спасибо, >Антон
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]