URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1260
[ Назад ]

Исходное сообщение
"ASA 9.1(1) L2TP MTU"
Отправлено McLeod095 , 07-Мрт-14 11:55

Всем привет!
Имеется ASA5515-X
Настроен VPN
Cisco VPN
L2TP/IPSEC
Все работает
во всяком случае так казалось
Cisco vpn работает норм
даже l2tp работает норм с Mac OS
А вот при подключении по l2tp с Windows 7 начинаются проблемы, вернее все подключается и даже ходят пинги, даже по ссш можно к серверам подключиться, но только до того момента как попытаться например посмотреть ps ax
все, на этом можно и заканчивать работу
Высянил что более 1350 байт ну не лезет по l2tp
вроде проблема ясная и как ее решить на тех же маршрутизаторах cisco можно найти, но вот как решить на данном агрегате не имею понятия
Прописал
crypto ipsec df-bit clear-df INTERNET-ISP1
Не помогает
Может кто решал уже и натолкнет на мысли
Заранее спасибо!

Содержание

ASA 9.1(1) L2TP MTU,McLoud, 12:08 , 07-Мрт-14
- ASA 9.1(1) L2TP MTU,McLeod095, 16:33 , 07-Мрт-14
ASA 9.1(1) L2TP MTU,старый сантехник, 19:07 , 07-Мрт-14
ASA 9.1(1) L2TP MTU,anonymous, 21:24 , 07-Мрт-14
- ASA 9.1(1) L2TP MTU,anonymous, 21:25 , 07-Мрт-14
  - ASA 9.1(1) L2TP MTU,McLeod095, 17:15 , 11-Мрт-14
    - ASA 9.1(1) L2TP MTU,anonymous, 23:14 , 11-Мрт-14

Сообщения в этом обсуждении

"ASA 9.1(1) L2TP MTU"
Отправлено McLoud , 07-Мрт-14 12:08

У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах или на ASA. Если есть между серверами и ASA еще L3 оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно посмотреть на ASA.

"ASA 9.1(1) L2TP MTU"
Отправлено McLeod095 , 07-Мрт-14 16:33

> У вас похоже ре-фрагментация IP пакетов не отрабатывает на промежуточных L3 усстройствах
> или на ASA. Если есть между серверами и ASA еще L3
> оборудование, то смотрите настройки MTU на этом оборудовании: значения с обоих
> сторон одного линка обязаны быть одинаковыми (по дефолту для ethernet интерфейсов
> MTU обычно 1500). Если промежуточного оборудования нет, то тоже само нужно
> посмотреть на ASA.
на ASA mtu стоит 1500
как на другом оборудовании настроено которые между не могу сказать
но если бы это было на этом оборудовании то наверное я бы и с мака не смог подключиться, но с енго то я не только подключаюсь но и нормально работаю

Надо будет проверить какие там пакеты проходят

"ASA 9.1(1) L2TP MTU"
Отправлено старый сантехник , 07-Мрт-14 19:07

попробуйте 2 вещи проверить:
1) Посмотрите какой mtu у l2tp интерфейса на Win7, если он больше 1350, то можно попробовать выставить именно 1350. К примеру вот 2 способа описаны - http://www.mydigitallife.info/how-to-set-and-change-mtu-in-w.../
2) Запретить Path MTU Discovery на Win7. К примеру вот тут описано, как - http://www.windowsreference.com/networking/enabledisable-pat.../

"ASA 9.1(1) L2TP MTU"
Отправлено anonymous , 07-Мрт-14 21:24

icmp helper

"ASA 9.1(1) L2TP MTU"
Отправлено anonymous , 07-Мрт-14 21:25

На асе icmp хелпер вкл как inspect icmp

"ASA 9.1(1) L2TP MTU"
Отправлено McLeod095 , 11-Мрт-14 17:15

> На асе icmp хелпер вкл как inspect icmp
inspect icmp
стоит на асе
для впн юзверей никаких access list нет
Понятное дело что на клиентских компах менять мту не вариант
Заметил что если ломиться с макос то там мту для ppp выставляется 1280
а вот на windows 1400
есть вроде подозрение что не прозодят icmp пакеты которые говорят что нужна фрагментация пакеты
но тогда не могу понять где они блокируются
сейчас завел вроде винду прописав
sysopt connection tcpmss 1200
но мне кажется это костыль
тем более что как эта настройка вроде будет распространяться на все интерфейсы, не только на впн клиентов.

"ASA 9.1(1) L2TP MTU"
Отправлено anonymous , 11-Мрт-14 23:14

Где-то не проходит icmp unreachable, проверяйте правила.