forum.opennet.ru - "Проблема с работой протоколов через VPN" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Проблема с работой протоколов через VPN"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Проблема с работой протоколов через VPN"
Сообщение от wellfitting (??) on 26-Июл-07, 13:38
Всем доброго! Возникла проблема с работой протоколов HTTP, SMB, FTP через VPN. Маршрутизаторы 871 и 1841. В сети 10.0.0.0 на одном конце VPN находится сервер. При подключении к нему из сети 10.0.0.0 все в порядке, можно свободно скачать инфу, закачать и т.д. Если подключаться по VPN из сети 10.0.1.0, то при попытке скопировать или закачать на него или на любое другое устройство сети 10.0.0.0, все виснет на первых 30 кбайтах. Причем telnet, icmp, h.323 работают нормально.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Проблема с работой протоколов через VPN, fantom, 13:54 , 26-Июл-07, (1)

Проблема с работой протоколов через VPN, wellfitting, 14:27 , 26-Июл-07, (2)

Проблема с работой протоколов через VPN, sivenych, 14:00 , 27-Июл-07, (3)

Проблема с работой протоколов через VPN, alchie, 14:55 , 27-Июл-07, (4)

Проблема с работой протоколов через VPN, wellfitting, 17:46 , 27-Июл-07, (5)

Проблема с работой протоколов через VPN, wellfitting, 17:49 , 27-Июл-07, (6)
Проблема с работой протоколов через VPN, wellfitting, 18:58 , 27-Июл-07, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "Проблема с работой протоколов через VPN"

Сообщение от fantom (ok) on 26-Июл-07, 13:54

>Всем доброго! Возникла проблема с работой протоколов HTTP, SMB, FTP через VPN.
>Маршрутизаторы 871 и 1841. В сети 10.0.0.0 на одном конце VPN
>находится сервер. При подключении к нему из сети 10.0.0.0 все в
>порядке, можно свободно скачать инфу, закачать и т.д. Если подключаться по
>VPN из сети 10.0.1.0, то при попытке скопировать или закачать на
>него или на любое другое устройство сети 10.0.0.0, все виснет на
>первых 30 кбайтах. Причем telnet, icmp, h.323 работают нормально.
Проблема в скорее всего в mtu.
поставьте на сервере mtu поменьше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблема с работой протоколов через VPN"

Сообщение от wellfitting (??) on 26-Июл-07, 14:27

>
>Проблема в скорее всего в mtu.
>поставьте на сервере mtu поменьше.
На обоих маршрутизаторах, в туннеле и на сервере mtu=1500. Подскажите, плз, на сколько нужно уменьшить mtu на серевере, почему и что тогда делать с остальными устройствами сети 10.0.0.0, с которыми та же проблема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблема с работой протоколов через VPN"

Сообщение от sivenych on 27-Июл-07, 14:00

>
>>
>>Проблема в скорее всего в mtu.
>>поставьте на сервере mtu поменьше.
>
> На обоих маршрутизаторах, в туннеле и на сервере mtu=1500. Подскажите, плз,
>на сколько нужно уменьшить mtu на серевере, почему и что тогда
>делать с остальными устройствами сети 10.0.0.0, с которыми та же проблема?
Проблема не столько в MTU, сколько в том, что некие приложения очень любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах, где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто наподобие такого:
crypto ipsec df-bit clear
crypto ipsec fragmentation before-encryption
А MTU и MSS - они сами зааджастятся на WAN-линках.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проблема с работой протоколов через VPN"

Сообщение от alchie (??) on 27-Июл-07, 14:55

>[оверквотинг удален]
>любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на
>эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если
>же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах,
>где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто
>наподобие такого:
>
> crypto ipsec df-bit clear
> crypto ipsec fragmentation before-encryption
>
>А MTU и MSS - они сами зааджастятся на WAN-линках.
проблема как правило не в "неких приложениях", а в головах и паранойе тех людей, которые фильтруют ICMP, не давая таким образом работать механизму PMTUD.
а вообще, много ли программистов принудительно выставляют DF на пакетах от своих прилад? имхо, это дефолтное поведение стэков TCP/IP различных ОС.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Проблема с работой протоколов через VPN"

Сообщение от wellfitting (ok) on 27-Июл-07, 17:46

>
>проблема как правило не в "неких приложениях", а в головах и паранойе
>тех людей, которые фильтруют ICMP, не давая таким образом работать механизму
>PMTUD.
>а вообще, много ли программистов принудительно выставляют DF на пакетах от своих
>прилад? имхо, это дефолтное поведение стэков TCP/IP различных ОС.
ICMP не фильтруется на обоих роутерах и свободно проходят в обе стороны любым размером.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Проблема с работой протоколов через VPN"

Сообщение от wellfitting (ok) on 27-Июл-07, 17:49

>[оверквотинг удален]
>любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на
>эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если
>же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах,
>где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто
>наподобие такого:
>
> crypto ipsec df-bit clear
> crypto ipsec fragmentation before-encryption
>
>А MTU и MSS - они сами зааджастятся на WAN-линках.
Сделал так. Crypto map есть только на WAN интерфейсах обоих роутерах. Вроде работает. Еще вечером доберусь до другого конца VPN, оттуда проверю. Спасибо огромное!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Проблема с работой протоколов через VPN"

Сообщение от wellfitting (ok) on 27-Июл-07, 18:58

>[оверквотинг удален]
>любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на
>эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если
>же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах,
>где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто
>наподобие такого:
>
> crypto ipsec df-bit clear
> crypto ipsec fragmentation before-encryption
>
>А MTU и MSS - они сами зааджастятся на WAN-линках.
Сделал так. Crypto map есть только на WAN интерфейсах обоих роутеров. Вроде работает. Вечером добурусь до роутера на другом конце VPN, проверю оттуда.
Спасибо огромное!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проблема с работой протоколов через VPN"
Сообщение от fantom (ok) on 26-Июл-07, 13:54
>Всем доброго! Возникла проблема с работой протоколов HTTP, SMB, FTP через VPN. >Маршрутизаторы 871 и 1841. В сети 10.0.0.0 на одном конце VPN >находится сервер. При подключении к нему из сети 10.0.0.0 все в >порядке, можно свободно скачать инфу, закачать и т.д. Если подключаться по >VPN из сети 10.0.1.0, то при попытке скопировать или закачать на >него или на любое другое устройство сети 10.0.0.0, все виснет на >первых 30 кбайтах. Причем telnet, icmp, h.323 работают нормально. Проблема в скорее всего в mtu. поставьте на сервере mtu поменьше.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Проблема с работой протоколов через VPN"
	Сообщение от wellfitting (??) on 26-Июл-07, 14:27
	> >Проблема в скорее всего в mtu. >поставьте на сервере mtu поменьше. На обоих маршрутизаторах, в туннеле и на сервере mtu=1500. Подскажите, плз, на сколько нужно уменьшить mtu на серевере, почему и что тогда делать с остальными устройствами сети 10.0.0.0, с которыми та же проблема?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Проблема с работой протоколов через VPN"
	Сообщение от sivenych on 27-Июл-07, 14:00
	> >> >>Проблема в скорее всего в mtu. >>поставьте на сервере mtu поменьше. > > На обоих маршрутизаторах, в туннеле и на сервере mtu=1500. Подскажите, плз, >на сколько нужно уменьшить mtu на серевере, почему и что тогда >делать с остальными устройствами сети 10.0.0.0, с которыми та же проблема? Проблема не столько в MTU, сколько в том, что некие приложения очень любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах, где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто наподобие такого: crypto ipsec df-bit clear crypto ipsec fragmentation before-encryption А MTU и MSS - они сами зааджастятся на WAN-линках.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Проблема с работой протоколов через VPN"
	Сообщение от alchie (??) on 27-Июл-07, 14:55
	>[оверквотинг удален] >любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на >эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если >же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах, >где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто >наподобие такого: > > crypto ipsec df-bit clear > crypto ipsec fragmentation before-encryption > >А MTU и MSS - они сами зааджастятся на WAN-линках. проблема как правило не в "неких приложениях", а в головах и паранойе тех людей, которые фильтруют ICMP, не давая таким образом работать механизму PMTUD. а вообще, много ли программистов принудительно выставляют DF на пакетах от своих прилад? имхо, это дефолтное поведение стэков TCP/IP различных ОС.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Проблема с работой протоколов через VPN"
	Сообщение от wellfitting (ok) on 27-Июл-07, 17:46
	> >проблема как правило не в "неких приложениях", а в головах и паранойе >тех людей, которые фильтруют ICMP, не давая таким образом работать механизму >PMTUD. >а вообще, много ли программистов принудительно выставляют DF на пакетах от своих >прилад? имхо, это дефолтное поведение стэков TCP/IP различных ОС. ICMP не фильтруется на обоих роутерах и свободно проходят в обе стороны любым размером.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Проблема с работой протоколов через VPN"
	Сообщение от wellfitting (ok) on 27-Июл-07, 17:49
	>[оверквотинг удален] >любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на >эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если >же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах, >где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто >наподобие такого: > > crypto ipsec df-bit clear > crypto ipsec fragmentation before-encryption > >А MTU и MSS - они сами зааджастятся на WAN-линках. Сделал так. Crypto map есть только на WAN интерфейсах обоих роутерах. Вроде работает. Еще вечером доберусь до другого конца VPN, оттуда проверю. Спасибо огромное!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Проблема с работой протоколов через VPN"
	Сообщение от wellfitting (ok) on 27-Июл-07, 18:58
	>[оверквотинг удален] >любят ставить флаг DF (do not fragment) на пакеты. Поэтому, на >эзерах обоих рутеров надо приделать route-map, в котором чистить DF. Если >же VPN у вас IPSec, тогда ещё проше. На тех интерфейсах, >где применены crypto map'ы (на обоих рутерах, естественно), надо сказать нечто >наподобие такого: > > crypto ipsec df-bit clear > crypto ipsec fragmentation before-encryption > >А MTU и MSS - они сами зааджастятся на WAN-линках. Сделал так. Crypto map есть только на WAN интерфейсах обоих роутеров. Вроде работает. Вечером добурусь до роутера на другом конце VPN, проверю оттуда. Спасибо огромное!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]