|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : maxim@sinet.ru 2:5020/400 03 Jun 2005 09:51:22
To : All
Subject : frag. needed and DF set unreachable
--------------------------------------------------------------------------------
Hi All,
есть схема
office1(D-link-804)---IPSec----CentralOffice(Cisco2620)----IPSec-office2(D-link
-804)
Офисах IPsec настроен след. образом - Local subnet /24 - Remote Sunbet
(Central) /16, так как железка не умеет маршрутизировать в туннель.
Конфиг С2620
IOS (tm) C2600 Software (C2600-IK9S-M), Version 12.2(29), RELEASE SOFTWARE
(fc3)
ip subnet-zero
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 30000
crypto isakmp key 12345678 address 1.XXX.XXX.XXX
crypto isakmp key 12345678 address 2.XXX.XXX.XXX
crypto ipsec transform-set to_vpn esp-des esp-md5-hmac
mode transport
crypto map MAP1 10 ipsec-isakmp
set peer 1.XXX.XXX.XXX
set security-association lifetime seconds 30000
set transform-set to_vpn
set pfs group1
match address 101
crypto map MAP2 10 ipsec-isakmp
set peer 2.XXX.XXX.XXX
set security-association lifetime seconds 30000
set transform-set to_vpn
set pfs group1
match address 106
interface FastEthernet0/0
no ip address
no ip route-cache
no ip mroute-cache
speed auto
full-duplex
no cdp enable
interface FastEthernet0/0.1
description Local central office subnet
encapsulation dot1Q 1 native
ip address 192.64.2.254 255.255.255.0
ip nat inside
no ip route-cache
no ip mroute-cache
interface FastEthernet0/0.2
description ISP1 (default GW)
encapsulation dot1Q 121
ip address 1.1.XXX.XXX 255.255.255.192
ip nat outside
no ip route-cache
no ip mroute-cache
crypto map MAP1
interface FastEthernet0/0.3
description ISP2
encapsulation dot1Q 122
ip address 2.2.XXX.XXX 255.255.255.240
no ip route-cache
no ip mroute-cache
crypto map MAP2
ip local pool POOL1 192.64.2.249 192.64.2.250
ip nat inside source list 10 interface FastEthernet0/0.2 overload
ip nat inside source static tcp 192.64.2.31 25 2.2XXX.XXX.XXX 25 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 80.82.46.1
ip route XXXXXXX 255.255.255.240 XXXXXXX
ip route 192.64.3.0 255.255.255.0 FastEthernet0/0.3
no ip http server
access-list 10 permit 192.64.2.31
access-list 101 permit ip 192.64.0.0 0.0.255.255 192.64.3.0 0.0.0.255
access-list 106 permit ip 192.64.0.0 0.0.255.255 192.64.6.0 0.0.0.255
Пинги из Office 1 в Office2 ходят нормально, ftp сессии устанавливаются но как
только пытаемся скачать файл размером более 1кб - не работает, в смысле не
качается. Посомтрел сниффером приходят пакеты ICMP о невозможности
фрагментировать трафик-ICMP fragmentation nedded and don't fragment was set.
Сам запрос файла идет с установленным битом DF. В логах cisco следующее
03:08:01: IPSEC(crypto_ipsec_send_unreachable): send to 192.64.3.6:
next_hop_mtu 1442
03:08:06: ICMP: dst (192.64.50.1) frag. needed and DF set unreachable sent to
192.64.3.6
Пробовал уменьшать MTU на компах с обеих сторон, ставить route map кот
сбрасывает DF флаг- не помогает. Что можете посоветовать????
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
