forum.opennet.ru - "GRE-туннель между двумя Cisco 871" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"GRE-туннель между двумя Cisco 871"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"GRE-туннель между двумя Cisco 871"	+/–
Сообщение от anhelix (??) on 04-Май-07, 17:27
Столкнулся со следующей проблемой: имеются два Cisco 871 маршрутизатора. Поднял между ними GRE-туннель, но столкнулся со следующей проблемой: нестабильно работает Microsoft RDP. В сети 192.168.1.Х стоят терминальные сервера, 192.168.3.Х - сеть удаленного офиса. Есть сервера к которым клиенты из сети удаленного офиса подключаются без поблем, а есть сервера к которым подключиться не удается. Менял MTU, помогло, но ненадолго. Связь с сервером устанавливается через раз. Канал связи между роутерами нормальный (потерь пакетов нет). Окончились чего-то мысли в какую сторону ковырять Поглядите конфу маршрутизатора, может где-то чего-то недопонял: ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname main2car ! boot-start-marker boot-end-marker ! enable secret 5 ХХХХХХ enable password ХХХХХХ ! no aaa new-model ip subnet-zero ip cef ! ! no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ХХХХХХ address 172.31.129.30 ! ! crypto ipsec transform-set VPN esp-des esp-md5-hmac mode transport ! crypto map myvpn 10 ipsec-isakmp set peer 172.31.129.30 set transform-set VPN match address 101 ! ! ! interface Tunnel0 ip address 10.10.1.1 255.255.255.0 ip mtu 1428 ip tcp adjust-mss 1428 tunnel source FastEthernet4 tunnel destination 172.31.129.30 crypto map myvpn ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address shutdown ! interface FastEthernet3 no ip address shutdown ! interface FastEthernet4 ip address 172.31.129.29 255.255.255.0 ip mtu 1452 duplex auto speed auto crypto map myvpn ! interface Vlan1 ip address 192.168.1.198 255.255.255.0 ip mtu 1452 ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.254 ip route 192.168.3.0 255.255.255.0 Tunnel0 ! no ip http server no ip http secure-server ! access-list 101 permit gre host 172.31.129.29 host 172.31.129.30 ! control-plane ! ! line con 0 no modem enable transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 password ХХХХХХ login transport preferred all transport input all transport output all ! scheduler max-task-time 5000 end
Ответить \| Правка \| Cообщить модератору

Оглавление

GRE-туннель между двумя Cisco 871, Eugene, 19:24 , 04-Май-07, (1)

GRE-туннель между двумя Cisco 871, anhelix, 10:28 , 07-Май-07, (2)

GRE-туннель между двумя Cisco 871, stitch636, 16:48 , 22-Май-07, (3)

GRE-туннель между двумя Cisco 871, Shaman, 19:03 , 24-Май-07, (4)

GRE-туннель между двумя Cisco 871, Гость, 15:40 , 06-Июл-13, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "GRE-туннель между двумя Cisco 871" +/–

Сообщение от Eugene (??) on 04-Май-07, 19:24

размер MTU надо правильно на туннельных интерфейсах указать, причем, IP TCP ADJUST-MSS будет на 40 байт меньше, потому что эти 40 байт заняты заголовком GRE
как например, получится что-то вроде:
!
interface Tunnel0
ip mtu 1280
ip tcp adjust-mss 1240
!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "GRE-туннель между двумя Cisco 871" +/–

Сообщение от anhelix (??) on 07-Май-07, 10:28

>размер MTU надо правильно на туннельных интерфейсах указать, причем, IP TCP ADJUST-MSS
>будет на 40 байт меньше, потому что эти 40 байт заняты
>заголовком GRE
>как например, получится что-то вроде:
>!
>interface Tunnel0
>ip mtu 1280
>ip tcp adjust-mss 1240
>!
Попробовал, вот что получилось, но ситуация не особо изменилась. Просто есть нюанс следующего рода: в подсети 1.0 есть 3 сервера с адресами 1, 101, 254. Так вот в чем проблема, к серверу 254 в терминале подключается без всяких проблем и работает, но вот когда пытаюсь подключиться к 1, или 101, то соединение закрывается по тайм-ауту. Но если войти на 254 сервери, с него есть возможность в терминале подключиться к 1 и 101 серверу.
На всех серверах MTU поменял на 1024. Текущая конфигурация маршрутизатора Cisco:
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname main2car
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip subnet-zero
ip cef
!
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ХХХХХХХХ address 172.31.129.30
!
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
mode transport
!
crypto map myvpn 10 ipsec-isakmp
set peer 172.31.129.30
set transform-set VPN
match address 101
!
!
!
interface Tunnel0
ip address 10.10.1.1 255.255.255.0
ip mtu 1158
ip policy route-map clear-df-bit
tunnel source FastEthernet4
tunnel destination 172.31.129.30
crypto map myvpn
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface FastEthernet4
ip address 172.31.129.29 255.255.255.0
ip mtu 1200
ip policy route-map clear-df-bit
duplex auto
speed auto
crypto map myvpn
!
interface Vlan1
ip address 192.168.1.198 255.255.255.0
ip mtu 1200
ip policy route-map clear-df-bit
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 192.168.3.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
access-list 101 permit gre host 172.31.129.29 host 172.31.129.30
access-list 111 permit tcp any any
route-map clear-df-bit permit 10
match ip address 111
set ip df 0
!
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "GRE-туннель между двумя Cisco 871" +/–

Сообщение от stitch636 on 22-Май-07, 16:48

Убрать crypto map. Оставить только GRE.
Включить:
debug ip tcp transaction
Зайти с одного конца туннеля на другой.
Посмотреть по debug размер MSS
Подобрать и выставить на туннельном
интерфейсе (example: ip tcp adjust-mss 1340 )
+ TCP-header ( 20 bytes )
+ IP-header ( 20 bytes )
= ip mtu 1380
На серверах не нужно править MTU.
Перевести:
crypto ipsec transform-set CM esp-des esp-sha-hmac
mode tunnel
Поставить crypto ipsec fragmentation after-encryption
Повесить обратно crypto map.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "GRE-туннель между двумя Cisco 871" +/–

Сообщение от Shaman (??) on 24-Май-07, 19:03

1)
no ip route 192.168.3.0 255.255.255.0 Tunnel0
ip route 192.168.3.0 255.255.255.0 (ip адрес тунеля с той стороны)
2) ищешь как исправить в реестре "MTU" у видны и ставишь 1400
http://www.google.com.ua/search?hl=ru&as_qdr=all&q=windows+m...п÷п╬п╦я│п╨&meta=lr=lang_ru

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "GRE-туннель между двумя Cisco 871" +/–

Сообщение от Гость on 06-Июл-13, 15:40

> 1)
> no ip route 192.168.3.0 255.255.255.0 Tunnel0
> ip route 192.168.3.0 255.255.255.0 (ip адрес тунеля с той стороны)
> 2) ищешь как исправить в реестре "MTU" у видны и ставишь 1400
> http://www.google.com.ua/search?hl=ru&as_qdr=all&q=windows+m...п÷п╬п╦я│п╨&meta=lr=lang_ru
Уважаемый Shaman, зачем Вы отправляете людей менять MTU на конечных хостах...????
Вот если, например, в настройках того же PPPOE на вашем ADSL модеме Вы видите MTU 1492 - так Вы что, пойдете руками менять MTU на всех компьютерах??? Давайте поменяем MTU на всех компьтерах несчастных, подключенных к ADSL..!!! Зачем давать ответы пальцем в небо??? Это просто превращается в болезнь опеннета.
Уважаемый Anhelix, уверяю Вас, что слепо следовать советам случайным советом - есть большое зло. Предлагаю Вам ознакомиться вот с этим:
http://www.cisco.com/en/US/docs/interfaces_modules/services_...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "GRE-туннель между двумя Cisco 871"	+/–
Сообщение от Eugene (??) on 04-Май-07, 19:24
размер MTU надо правильно на туннельных интерфейсах указать, причем, IP TCP ADJUST-MSS будет на 40 байт меньше, потому что эти 40 байт заняты заголовком GRE как например, получится что-то вроде: ! interface Tunnel0 ip mtu 1280 ip tcp adjust-mss 1240 !
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "GRE-туннель между двумя Cisco 871"	+/–
	Сообщение от anhelix (??) on 07-Май-07, 10:28
	>размер MTU надо правильно на туннельных интерфейсах указать, причем, IP TCP ADJUST-MSS >будет на 40 байт меньше, потому что эти 40 байт заняты >заголовком GRE >как например, получится что-то вроде: >! >interface Tunnel0 >ip mtu 1280 >ip tcp adjust-mss 1240 >! Попробовал, вот что получилось, но ситуация не особо изменилась. Просто есть нюанс следующего рода: в подсети 1.0 есть 3 сервера с адресами 1, 101, 254. Так вот в чем проблема, к серверу 254 в терминале подключается без всяких проблем и работает, но вот когда пытаюсь подключиться к 1, или 101, то соединение закрывается по тайм-ауту. Но если войти на 254 сервери, с него есть возможность в терминале подключиться к 1 и 101 серверу. На всех серверах MTU поменял на 1024. Текущая конфигурация маршрутизатора Cisco: ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname main2car ! boot-start-marker boot-end-marker ! no aaa new-model ip subnet-zero ip cef ! ! no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ХХХХХХХХ address 172.31.129.30 ! ! crypto ipsec transform-set VPN esp-des esp-md5-hmac mode transport ! crypto map myvpn 10 ipsec-isakmp set peer 172.31.129.30 set transform-set VPN match address 101 ! ! ! interface Tunnel0 ip address 10.10.1.1 255.255.255.0 ip mtu 1158 ip policy route-map clear-df-bit tunnel source FastEthernet4 tunnel destination 172.31.129.30 crypto map myvpn ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address shutdown ! interface FastEthernet3 no ip address shutdown ! interface FastEthernet4 ip address 172.31.129.29 255.255.255.0 ip mtu 1200 ip policy route-map clear-df-bit duplex auto speed auto crypto map myvpn ! interface Vlan1 ip address 192.168.1.198 255.255.255.0 ip mtu 1200 ip policy route-map clear-df-bit ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.254 ip route 192.168.3.0 255.255.255.0 Tunnel0 ! no ip http server no ip http secure-server ! access-list 101 permit gre host 172.31.129.29 host 172.31.129.30 access-list 111 permit tcp any any route-map clear-df-bit permit 10 match ip address 111 set ip df 0 ! ! control-plane ! ! line con 0 no modem enable transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 login transport preferred all transport input all transport output all ! scheduler max-task-time 5000 end
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "GRE-туннель между двумя Cisco 871"	+/–
	Сообщение от stitch636 on 22-Май-07, 16:48
	Убрать crypto map. Оставить только GRE. Включить: debug ip tcp transaction Зайти с одного конца туннеля на другой. Посмотреть по debug размер MSS Подобрать и выставить на туннельном интерфейсе (example: ip tcp adjust-mss 1340 ) + TCP-header ( 20 bytes ) + IP-header ( 20 bytes ) = ip mtu 1380 На серверах не нужно править MTU. Перевести: crypto ipsec transform-set CM esp-des esp-sha-hmac mode tunnel Поставить crypto ipsec fragmentation after-encryption Повесить обратно crypto map.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "GRE-туннель между двумя Cisco 871"	+/–
	Сообщение от Shaman (??) on 24-Май-07, 19:03
	1) no ip route 192.168.3.0 255.255.255.0 Tunnel0 ip route 192.168.3.0 255.255.255.0 (ip адрес тунеля с той стороны) 2) ищешь как исправить в реестре "MTU" у видны и ставишь 1400 http://www.google.com.ua/search?hl=ru&as_qdr=all&q=windows+m...п÷п╬п╦я│п╨&meta=lr=lang_ru
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "GRE-туннель между двумя Cisco 871"	+/–
	Сообщение от Гость on 06-Июл-13, 15:40
	> 1) > no ip route 192.168.3.0 255.255.255.0 Tunnel0 > ip route 192.168.3.0 255.255.255.0 (ip адрес тунеля с той стороны) > 2) ищешь как исправить в реестре "MTU" у видны и ставишь 1400 > http://www.google.com.ua/search?hl=ru&as_qdr=all&q=windows+m...п÷п╬п╦я│п╨&meta=lr=lang_ru Уважаемый Shaman, зачем Вы отправляете людей менять MTU на конечных хостах...???? Вот если, например, в настройках того же PPPOE на вашем ADSL модеме Вы видите MTU 1492 - так Вы что, пойдете руками менять MTU на всех компьютерах??? Давайте поменяем MTU на всех компьтерах несчастных, подключенных к ADSL..!!! Зачем давать ответы пальцем в небо??? Это просто превращается в болезнь опеннета. Уважаемый Anhelix, уверяю Вас, что слепо следовать советам случайным советом - есть большое зло. Предлагаю Вам ознакомиться вот с этим: http://www.cisco.com/en/US/docs/interfaces_modules/services_...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору