https://opennet.ru/openforum/vsluhforumID6/22157.html Помогите разобраться с ситуацией. Есть 2 рутера 1812 стоят в разных филиалах. через nat связь между ними отличная, но через vpn начинается резкая потеря связи. Пинги проходят процентов на 40. Еще дело в том что провайдер держит между филиалами какое-то свое защищенное соединение(называя его VPN странная конечно услуга) и надо сделать cisco vpn внутри ихнего vpn.<br>Пытался поставить mtu 1476 на внешних интерфейсах, не помогло, да и повторюсь без инкапсуляции все работает отлично и на интерфейсах mtu 1500.<br>version 12.4<br>service nagle<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec localtime<br>service timestamps log datetime msec localtime<br>service password-encryption<br>service sequence-numbers<br>no service dhcp<br>!<br>ip tcp path-mtu-discovery<br>!<br>crypto isakmp policy 10<br> encr aes 256<br> authentication pre-share<br>crypto isakmp key ХХХХХХХХХХ address 192.168.Х.ХХХ<br>!<br>!<br>crypto ipsec transform-set aset esp-aes 256 esp-sha-hmac<br>!<br>crypto map vladsn 10 ipse https://opennet.ru/openforum/vsluhforumID6/22157.html#10 Thu, 03 Feb 2011 16:46:08 GMT &gt;encr aes 256<br><br>сорри за офтоп, а о использовании стойкого крипто вы как бы в курсе.<br><br> https://opennet.ru/openforum/vsluhforumID6/22157.html#9 Thu, 03 Feb 2011 16:24:19 GMT Господа.<br>Может я путаю "теплое" с "мягким", но отключение cef очень сильно влияет на производительность рутера.<br>Упретесь в процессор(загрузка прерываниями), который, и так, нифига не быстрый... <br>Не считая того, что некоторые "фичи" без cef, просто, не работают...<br><br>http://www.cisco.com/en/US/tech/tk827/tk831/technologies_white_paper09186a00800a62d9.shtml<br> https://opennet.ru/openforum/vsluhforumID6/22157.html#8 Thu, 03 Feb 2011 04:13:28 GMT &gt; Превышен интервал ожидания для запроса.<br>&gt; Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 <br>&gt; Превышен интервал ожидания для запроса.<br>&gt; Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 <br>&gt; Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 <br>&gt; и тут также 40% потерь было <br><br>Помог no ip cef. Спасибо<br> https://opennet.ru/openforum/vsluhforumID6/22157.html#7 Wed, 02 Feb 2011 19:23:59 GMT &gt;[оверквотинг удален]<br>&gt; Ну, это "грубо" ;) <br>&gt; Способ, который, точно, работает: <br>&gt; Выставить на компах во внутренней сети MTU 1300 (с помощью, например, утилиты <br>&gt; SetMTU из пакета Cisco VPN Client) <br>&gt; Я был вынужден именно так и поступить в варианте "псевдо-провод" через шифрованный <br>&gt; туннель.<br>&gt; Другого рабочего варианта не нашел :( <br>&gt; По проблеме MTU есть статья на Cisco и ее перевод.....<br>&gt; Вспомню...Дам ссылку.....<br>&gt; А так, пошарьте в "поисковиках" по кодовой фразе "проблема с MTU" <br><br>ну не знаю про какие ты способы пишешь, но no ip cef помог на 100 процентов... сегодня сам ipsec настраивал... причем пакеты странно терялись:<br>Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253 <br>Превышен интервал ожидания для запроса.<br>Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253<br>Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253<br>Превышен интервал ожидания для запроса.<br>Ответ от 10.0.0.1: число байт=32 время=1мс TTL=253<br>Превышен интервал ожидания для запроса.<br>Ответ от 10.0.0.1: число байт=32 время=1мс https://opennet.ru/openforum/vsluhforumID6/22157.html#6 Wed, 02 Feb 2011 17:59:05 GMT &gt; no ip cef <br><br>Ну, это "грубо" ;) <br><br>Способ, который, точно, работает:<br>Выставить на компах во внутренней сети MTU 1300 (с помощью, например, утилиты SetMTU из пакета Cisco VPN Client)<br>Я был вынужден именно так и поступить в варианте "псевдо-провод" через шифрованный туннель.<br>Другого рабочего варианта не нашел :( <br><br>По проблеме MTU есть статья на Cisco и ее перевод.....<br>Вспомню...Дам ссылку.....<br>А так, пошарьте в "поисковиках" по кодовой фразе "проблема с MTU"<br><br><br> https://opennet.ru/openforum/vsluhforumID6/22157.html#5 Wed, 02 Feb 2011 14:43:33 GMT &gt;&gt; сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета, <br>&gt;&gt; узнаете максимальный размер пакета.<br>&gt;&gt; иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте <br>&gt; максимальный размер пакета 1372.<br>&gt; ставил ip mtu 1000 не помогает.<br>&gt; Теряется ровно половина пингов.<br>&gt; P.S. Из разряда если у вас теряется половина пингов пингуйте в 2 <br>&gt; раза чаще <br><br>no ip cef<br> https://opennet.ru/openforum/vsluhforumID6/22157.html#4 Wed, 02 Feb 2011 07:22:26 GMT &gt; сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета, <br>&gt; узнаете максимальный размер пакета.<br>&gt; иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте <br><br>максимальный размер пакета 1372. <br>ставил ip mtu 1000 не помогает. <br>Теряется ровно половина пингов.<br>P.S. Из разряда если у вас теряется половина пингов пингуйте в 2 раза чаще<br> https://opennet.ru/openforum/vsluhforumID6/22157.html#3 Sun, 23 Jan 2011 14:20:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt; приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его <br>&gt;&gt; уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec <br>&gt; Пытался уже на обеих кошках: <br>&gt; conf t <br>&gt; interface fa1 <br>&gt; ip mtu 1476 <br>&gt; и даже <br>&gt; ip mtu 1400 <br>&gt; Не помогает. Может чего не так изменяю?<br>&gt; да и вроде строчка ip tcp path-mtu-discovery должна была это отслеживать <br><br>сделайте пинг с флагом не фрагментировать DF и постепенно увеличивайте размер пакета, узнаете максимальный размер пакета.<br>иногда нужно ставить 1300 с копейками, тупо поставьте 1000 и проверьте<br> https://opennet.ru/openforum/vsluhforumID6/22157.html#2 Sun, 23 Jan 2011 00:34:45 GMT &gt; У провайдера просто поднято mpls vpn. Не просто же так вы используете <br>&gt; приватные ip-адреса. Мне кажется могут быть проблемы с MTU, надо его <br>&gt; уменьшить на интерфейсе с которого уходят пакеты в туннель ipsec <br><br>Пытался уже на обеих кошках:<br>conf t<br>interface fa1<br>ip mtu 1476<br>и даже <br>ip mtu 1400<br>Не помогает. Может чего не так изменяю?<br>да и вроде строчка ip tcp path-mtu-discovery должна была это отслеживать<br>