https://www.opennet.ru/openforum/vsluhforumID6/19829.html Добрый день, уважаемые специалисты! Есть необходимость настроить сабж, но квалификация похоже подводит. Подскажите в чем может быть трабл?<br><br>Архитектура сети следующая: есть главный офис (роутер А, внутренний адрес 10.1.100.1, подсеть за ним 192.168.0.0/24) и подчиненное подразделение (роутер Б, внутренний адрес 10.1.100.2, подсеть за ним 192.168.2.0/24). Без применения к интерфейсу карт шифрования сеть работает как нужно. Когда же применяю карту шифрования на обоих роутерах, сеть работает не правильно. Из главного офиса в стророну роутера Б все данные передаются нормально. С вынесенного подразделения пингуются все нужные хосты начиная от роутера и заканчиваю серверами, которые за ним. Но при попытке работать с сетевыми дисками из главной сети сеть как буд-то подвисает. По всем признакам ipsec работает нормально в debug ничего не похожего на ошибки. <br>Заранее спасибо за помощь!!!<br><br>Конфиг роутера А<br><br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps de https://www.opennet.ru/openforum/vsluhforumID6/19829.html#6 Fri, 19 Feb 2010 08:33:18 GMT Спасибо всем за варианты решения. В моем случае помогло уменьшение параметра MTU до 1400 на интерфейсах Van1 обеих маршрутизаторов.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/19829.html#5 Mon, 09 Nov 2009 22:02:09 GMT &gt;[оверквотинг удален]<br>&gt;все данные передаются нормально. С вынесенного подразделения пингуются все нужные хосты <br>&gt;начиная от роутера и заканчиваю серверами, которые за ним. Но при <br>&gt;попытке работать с сетевыми дисками из главной сети сеть как буд-то <br>&gt;подвисает. По всем признакам ipsec работает нормально в debug ничего <br>&gt;не похожего на ошибки. <br>&gt;Заранее спасибо за помощь!!! <br>&gt;<br>&gt;Конфиг роутера А <br>&gt;<br>&gt;version 12.4 <br><br>............<br>&gt;interface FastEthernet4 <br>&gt; description $FW_OUTSIDE$$ES_WAN$ <br>&gt; ip address 10.1.100.1 255.255.255.0 <br>&gt; no ip redirects <br>&gt; no ip unreachables <br>&gt; no ip proxy-arp <br>&gt; ip flow ingress <br>&gt; duplex auto <br>&gt; speed auto <br>&gt; crypto map lgclsk <br><br>...........<br><br>Поставьте на всех интерфейсах<br><br>ip unreachables<br><br>и все заработает.<br> https://www.opennet.ru/openforum/vsluhforumID6/19829.html#4 Mon, 09 Nov 2009 20:02:40 GMT <br>&gt;interface Tunnel0 <br>&gt; ip address 192.168.10.1 255.255.255.0 <br>&gt; tunnel source 10.1.100.1 <br>&gt; tunnel destination 10.1.100.2 <br>&gt; tunnel mode ipsec ipv4 <br>&gt; tunnel protection ipsec profile VTI <br>&gt; service-policy output FOO <br><br>попробуй tunnel source FastEthernet4 и на физических интерфейсах поменять MTU Дело в том, что VTI туннель берет МТУ с физического интерфейса, когда в нем прописано в качестве стартовой точки название интерфейса, а не IP адрес... А насчет MTU возможно провайдер гдето по дороге использует MPLS или тот же VPN который может уменьшать MTU. И изза того, ты пытаешься слать шифрованные пакеты немного большего размера, чем он может пропустить - он затыкается и тебе кажется, что пинг(мелкие пакеты) проходит, а постальное, когда размер пакета увеличивается - не проходит.<br> https://www.opennet.ru/openforum/vsluhforumID6/19829.html#3 Wed, 04 Nov 2009 10:48:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;line vty 0 4 <br>&gt;&gt; privilege level 15 <br>&gt;&gt; login local <br>&gt;&gt; transport input telnet ssh <br>&gt;&gt;! <br>&gt;&gt;scheduler max-task-time 5000 <br>&gt;&gt;end <br>&gt;<br>&gt;Забейте на криптомапы на физ. интрефейсах, если нужен шифрованный канал между двумя <br>&gt;роутерами cisco поднимайте VTI - http://www.cisco.com/en/US/technologies/tk583/tk372/technologies_white_paper0900aecd8029d629_ps6635_Products_White_Paper.html <br><br>Попытался сделать шифрование через VTI тунель. Вот конфиги, которые получились. <br>Конфиг роутера А<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec localtime show-timezone<br>service timestamps log datetime msec localtime show-timezone<br>service password-encryption<br>service sequence-numbers<br>!<br>hostname routeLGC<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>security authentication failure rate 3 log<br>security passwords min-length 6<br>logging message-counter syslog<br>logging buffered 51200<br>logging console critical<br>enable secret 5 *** https://www.opennet.ru/openforum/vsluhforumID6/19829.html#2 Tue, 20 Oct 2009 11:45:20 GMT &gt;[оверквотинг удален]<br>&gt; login local <br>&gt; no modem enable <br>&gt;line aux 0 <br>&gt;line vty 0 4 <br>&gt; privilege level 15 <br>&gt; login local <br>&gt; transport input telnet ssh <br>&gt;! <br>&gt;scheduler max-task-time 5000 <br>&gt;end <br><br>Забейте на криптомапы на физ. интрефейсах, если нужен шифрованный канал между двумя роутерами cisco поднимайте VTI - http://www.cisco.com/en/US/technologies/tk583/tk372/technologies_white_paper0900aecd8029d629_ps6635_Products_White_Paper.html<br> https://www.opennet.ru/openforum/vsluhforumID6/19829.html#1 Mon, 19 Oct 2009 16:37:29 GMT После установки соединения, чтобы быть уверенным в том, что ipsec-канал нормально заработал, посмотрите show crypto isakmp sa. Должно быть что-то вида<br><br>IPv4 Crypto ISAKMP SA<br>dst src state conn-id status<br>10.1.100.2 10.1.100.1 QM_IDLE 2013 ACTIVE<br><br>Если состояние отличное от QM_IDLE, то смотреть debug isakmp/ipsec. Если же всё-таки работает, то включать debug ipsec на обоих концах и смотреть, что происодит в момент "подвисания".<br>