форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"проблема с ipsec туннелями"

Сообщение от PuffNutty (ok) on 19-Фев-09, 17:15

Есть несколько объектов в Москве, которые связаны с офисом через ipsec туннели. Среди них на 2-х каналах существует проблема: перестают ходить пакеты внутри туннелей, при этом внешний адрес маршрутизатора пингуется. Ошибок на интерфейсах нет, ни на внешнем, ни на туннелях. Туннели не падают. После какого-то времени само восстанавливается. Конфигурация стандартна более чем на 20-ти объектах, проблема на 2-х. Со стороны объекта Cisco 871 c870-advsecurityk9-mz.124-15.T4 crypto ipsec transform-set sm_set esp-3des esp-md5-hmac ! crypto ipsec profile sm_profile set transform-set sm_set ! interface Tunnel0 description Connect to Office (Master) bandwidth 256 ip unnumbered Vlan1 ip access-group guard_out out no ip redirects no ip unreachables no ip proxy-arp ip mtu 1500 ip route-cache flow no ip mroute-cache keepalive 5 2 tunnel source FastEthernet4 tunnel destination 62.141.x.x tunnel mode ipsec ipv4 tunnel protection ipsec profile s_profile service-policy output Tunnel256 со стороны офиса Cisco 3825 c3825-adventerprisek9-mz.124-5a interface Tunnel149 bandwidth 256 ip unnumbered GigabitEthernet0/1 ip access-group inside in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1500 ip nat inside ip virtual-reassembly ip route-cache flow no ip mroute-cache keepalive 5 2 tunnel source FastEthernet1/0 tunnel destination x.x.x.x tunnel mode ipsec ipv4 tunnel protection ipsec profile s_profile service-policy output Tunnel256Oracle

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "проблема с ipsec туннелями"

Сообщение от visaversa (??) on 20-Фев-09, 19:30

А нагрузку на CPU смотрел в момент падения туннелей? 870 для тоннелей с большой нагрузкой имхо не лучший выбор. Если возможно попробуй заменить какой-нибудь роутер на более призводительный на время и затестить. Еще предположение - дело может быть в иосе. >[оверквотинг удален] > ip nat inside > ip virtual-reassembly > ip route-cache flow > no ip mroute-cache > keepalive 5 2 > tunnel source FastEthernet1/0 > tunnel destination x.x.x.x > tunnel mode ipsec ipv4 > tunnel protection ipsec profile s_profile > service-policy output Tunnel256Oracle

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "проблема с ipsec туннелями"
	Сообщение от zzzzzak (??) on 21-Фев-09, 20:42
	Во первых, на лицо GRE туннели. GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение - подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ занимает 4 б. но это не точно. погуглись по этому поводу. полагаю, что причина именно в этом.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "проблема с ipsec туннелями"
	Сообщение от bokl on 22-Фев-09, 23:53
	>Во первых, на лицо GRE туннели. >GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение >- подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ >занимает 4 б. но это не точно. погуглись по этому поводу. >полагаю, что причина именно в этом. по идее icmp то должен влазить.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "проблема с ipsec туннелями"
	Сообщение от zzzzzak (??) on 23-Фев-09, 15:28
	>>Во первых, на лицо GRE туннели. >>GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение >>- подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ >>занимает 4 б. но это не точно. погуглись по этому поводу. >>полагаю, что причина именно в этом. > >по идее icmp то должен влазить. Ну дык автор и пишет, что icmp проходят.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "проблема с ipsec туннелями"
	Сообщение от bokl on 23-Фев-09, 16:11
	>>>Во первых, на лицо GRE туннели. >>>GRE добавляет в заголовок пакета свои приблуды. в связи с этим предложение >>>- подкрутить МТУ на интерфесах. Насколько помнится, эта приблуда от ГРЕ >>>занимает 4 б. но это не точно. погуглись по этому поводу. >>>полагаю, что причина именно в этом. >> >>по идее icmp то должен влазить. > >Ну дык автор и пишет, что icmp проходят. >>>> при этом внешний адрес маршрутизатора пингуется а не тунельный. при этом другие точки работают без правки мту.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "проблема с ipsec туннелями"
	Сообщение от zzzzzak (??) on 23-Фев-09, 17:09
	>[оверквотинг удален] >>>>занимает 4 б. но это не точно. погуглись по этому поводу. >>>>полагаю, что причина именно в этом. >>> >>>по идее icmp то должен влазить. >> >>Ну дык автор и пишет, что icmp проходят. >>>>> при этом внешний адрес маршрутизатора пингуется > >а не тунельный. при этом другие точки работают без правки мту. >>при этом другие точки работают без правки мту. Не аргумент. Между конечными точками может быть все что угодно. Так что для разных точек могут быть и разные коррективы. >>а не тунельный А вот над этим уже стоит подумать. Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "проблема с ipsec туннелями"
	Сообщение от PuffNutty (ok) on 24-Фев-09, 08:34
	>Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP? да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. был такой у нас объект в свое время, так решили переходом на ipvpn. каналы там ненагруженные.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "проблема с ipsec туннелями"
	Сообщение от ilya (ok) on 25-Фев-09, 07:35
	>>Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP? > >да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. >был такой у нас объект в свое время, так решили переходом >на ipvpn. каналы там ненагруженные. 1. если после падения тунеля его пересоздать, т.е. удалить SA и почистить IKE. Что будет? Тунель поднимится сразу или будет задержка? Есть среднее время восстановления тунеля? 2. Если попробовать на этих двух точках сделать тунель только через криптомапу ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "проблема с ipsec туннелями"
	Сообщение от PuffNutty (ok) on 25-Фев-09, 09:28
	>[оверквотинг удален] >> >>да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. >>был такой у нас объект в свое время, так решили переходом >>на ipvpn. каналы там ненагруженные. > >1. если после падения тунеля его пересоздать, т.е. удалить SA и почистить >IKE. Что будет? Тунель поднимится сразу или будет задержка? Есть среднее >время восстановления тунеля? >2. Если попробовать на этих двух точках сделать тунель только через криптомапу >? пакеты начинают ходить сразу же после shut/no shut на туннеле со стороны объекта. на криптомап переходить не решение, мы от него отказались, т.к. со стороны объекта у нас 2 туннеля, второй резервный. они приходят в 2 офиса на разные маршрутизаторы по 2 каналам разных провайдеров. замена иоса не помогла, кстати, зато помогло (пока только предположительно) переключение на резервный туннель, он от другого провайдера.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "проблема с ipsec туннелями"
	Сообщение от ilya (ok) on 26-Фев-09, 08:21
	>[оверквотинг удален] >>? > >пакеты начинают ходить сразу же после shut/no shut на туннеле со стороны >объекта. на криптомап переходить не решение, мы от него отказались, т.к. >со стороны объекта у нас 2 туннеля, второй резервный. они приходят >в 2 офиса на разные маршрутизаторы по 2 каналам разных провайдеров. > > >замена иоса не помогла, кстати, зато помогло (пока только предположительно) переключение на >резервный туннель, он от другого провайдера. DPD используется?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "проблема с ipsec туннелями"

Сообщение от PuffNutty (ok) on 24-Фев-09, 10:49

нагрузка 1% во время возникновения проблемы. туннели не падают. вообщем поменял ИОС на c870-advsecurityk9-mz.124-15.T7.bin (он стоит на непроблемных роутерах), сижу мониторю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "проблема с ipsec туннелями"
	Сообщение от RET (ok) on 16-Мрт-09, 23:06
	Что-то получилось с туннелями? На днях попали точь-в-точь такую же ситуацию? помогает ли смена ИОСа на новый?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "проблема с ipsec туннелями"
	Сообщение от PuffNutty (ok) on 19-Мрт-09, 12:47
	>Что-то получилось с туннелями? На днях попали точь-в-точь такую же ситуацию? помогает >ли смена ИОСа на новый? решили тем, что переключились на канал другого провайдера со стороны офиса (соответственно на резервный туннель). а теперь постепенно переводим на ipvpn, чтобы туннелей вообще не было. вообщем, так и не разобрались в чем дело было.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]