URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10391
[ Назад ]

Исходное сообщение
"Внутри VPN дохнут tcp пакеты..."
Отправлено Vladislav , 24-Апр-06 18:49

Приветсвую всех!
Появилась следующая проблема. Есть 2 циски SoHo 91k на которых построен VPN. Удаленная циска стоит за NAT т.е. провайдер осуществляет подмену IP адреса и дает клиенту адрес 192.168.x.x. В результате внутри VPN почему-то дохнут TCP-шные пакеты, причем только те, у которых MTU больше или равен 1480 байт. UDP и ICMP пакеты при этом ходят нормально. Тип енкапсуляции в туннеле IP in IP (другая через NAT не работает). Например, из прикладного софта на удаленной машине работает radmin, но не работают smtp, ftp и samba сервисы.
Если в цисках поставить на пакеты лог, то на стороне циски головного офиса в логи пишется следующее:
23:44:10: IP: recv fragment from 212.152.61.32 offset 0 bytes
23:44:10: IP: recv fragment from 212.152.61.32 offset 1480 bytes
23:44:10: IP: recv fragment from 212.152.61.32 offset 0 bytes
23:44:10: IP: recv fragment from 212.152.61.32 offset 1480 bytes
23:44:11: IP: recv fragment from 212.152.61.32 offset 0 bytes
23:44:11: IP: recv fragment from 212.152.61.32 offset 1480 bytes
23:44:14: IP: recv fragment from 212.152.61.32 offset 0 bytes
23:44:14: IP: recv fragment from 212.152.61.32 offset 1480 bytes
23:44:16: IP: recv fragment from 212.152.61.32 offset 0 bytes
23:44:16: IP: recv fragment from 212.152.61.32 offset 1480 bytes
23:44:16: IP: recv fragment from 212.152.61.32 offset 0 bytes
23:44:16: IP: recv fragment from 212.152.61.32 offset 1480 bytes
212.152.61.32 - адрес внешнего интерфейса удаленной циски.
А на удаленную циску часть пакетов просто не приходит, в логи при этом ничего не пишется.
Подскажите, что делать. Конфиги стандартные. Ничего особенного в них нет. Я не понимаю, откуда начать решать эту проблему.

Содержание

Внутри VPN дохнут tcp пакеты...,Andreyes, 19:52 , 24-Апр-06
- Внутри VPN дохнут tcp пакеты...,Vladislav, 10:08 , 25-Апр-06

Сообщения в этом обсуждении

"Внутри VPN дохнут tcp пакеты..."
Отправлено Andreyes , 24-Апр-06 19:52

Привет !
Может ip tcp adjust-mss 1360 поможет на внутреннем интерфейсе.
После разных траблов остановился на связке GRE+IPSEC. Keepalive тоже надо выключить если есть :) НАТа правда нет :(
У Сиски есть хороший документ про инкапсуляцию шифрование и фрагментацию (все вместе в одном флаконе).
Успехов !

"Внутри VPN дохнут tcp пакеты..."
Отправлено Vladislav , 25-Апр-06 10:08

Действительно, это помогло.
СПАСИБО!

>Привет !
>
>Может ip tcp adjust-mss 1360 поможет на внутреннем интерфейсе.
>
>После разных траблов остановился на связке GRE+IPSEC. Keepalive тоже надо выключить если
>есть :) НАТа правда нет :(
>
>У Сиски есть хороший документ про инкапсуляцию шифрование и фрагментацию (все вместе
>в одном флаконе).
>
>Успехов !