|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Проблемы с трафиком в VPN тунеле
Автор |
Сообщение |
phant
Зарегистрирован: 15 июл 2017, 21:08 Сообщения: 70
|
Добрый день, Коллеги!
Проблема. есть центральный офис и несколько региональных. На региональном потребовалось поднять впн. Поставили ASA 5505 . Поднял VPN на 1 провайдере. Все работает замечательно. Вчера выяснилось, что данный провайдер закончился, подвели второго Быдлайн. Начал настраивать по аналогии. VPN поднялся , НО через sh crypto isa sa вижу что работает .... на виртуалки по удаленке захожу (RDP) , но пинг не идет , smb не работает (т.е по шаре зайти на центральный сервер нельзя. почему такое происходит не понятно..... VMware vsphare подключается и опять падает через минуту или 2 . Аксес личты не правил , они завязанны на группы обозначенные. маршрутизация и нат работают если я правильно понимаю (иначе RDP не работал бы ). Где искать решение не знаю.... packet-tracer input alpha icmp 10.1.3.1 0 0 10.2.18.2 все 9 фаз allow. Куда рыть, кто-нить подскажите. заранее благодарен.
|
27 июл 2017, 18:13 |
|
|
Akhmetov
Зарегистрирован: 16 дек 2008, 08:44 Сообщения: 604
|
phant писал(а): Добрый день, Коллеги!
Проблема. есть центральный офис и несколько региональных. На региональном потребовалось поднять впн. Поставили ASA 5505 . Поднял VPN на 1 провайдере. Все работает замечательно. Вчера выяснилось, что данный провайдер закончился, подвели второго Быдлайн. Начал настраивать по аналогии. VPN поднялся , НО через sh crypto isa sa вижу что работает .... на виртуалки по удаленке захожу (RDP) , но пинг не идет , smb не работает (т.е по шаре зайти на центральный сервер нельзя. почему такое происходит не понятно..... VMware vsphare подключается и опять падает через минуту или 2 . Аксес личты не правил , они завязанны на группы обозначенные. маршрутизация и нат работают если я правильно понимаю (иначе RDP не работал бы ). Где искать решение не знаю.... packet-tracer input alpha icmp 10.1.3.1 0 0 10.2.18.2 все 9 фаз allow. Куда рыть, кто-нить подскажите. заранее благодарен. MTU?
|
28 июл 2017, 07:53 |
|
|
phant
Зарегистрирован: 15 июл 2017, 21:08 Сообщения: 70
|
Благодарю .... буду проверять....Буду рад новым идеям....
|
28 июл 2017, 08:11 |
|
|
phant
Зарегистрирован: 15 июл 2017, 21:08 Сообщения: 70
|
Проверил на всех интерфейcах MTU 1500 , как на удаленной циске, так и на центральной.... Это может быть связанно с тем что для разных провайдеров надо выставлять разные MTU
Последний раз редактировалось phant 28 июл 2017, 08:49, всего редактировалось 1 раз.
|
28 июл 2017, 08:40 |
|
|
Akhmetov
Зарегистрирован: 16 дек 2008, 08:44 Сообщения: 604
|
phant писал(а): Проверил на всех интерфейcах MTU 1500 , как на удаленной циске, так и на центральной Таки надо уменьшать.
|
28 июл 2017, 08:44 |
|
|
phant
Зарегистрирован: 15 июл 2017, 21:08 Сообщения: 70
|
не помогло уменьшение MTU вернул к 1500... что еще может быть?
|
28 июл 2017, 17:37 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Я бы таймеры проверил SA. Походу VPN просто умирает ???? Если бы с MTU была бы трабла, то пинг должен был бы проходить(насколько я понимаю) А че за нат в VPN? С роутингом могут быть проблемы кстати. Если сначала RDP работает, а потом падает.
|
29 июл 2017, 11:21 |
|
|
phant
Зарегистрирован: 15 июл 2017, 21:08 Сообщения: 70
|
Я может не корректно выразился подает не RDP, а соединение клиента вмваре с хостом удаленным. Пинг вообще не проходит.... Я вот вообще думаю , как продиагностировать , что проходит через тунель а что нет....пакет трессерт на асе показывает что icmp пакеты ходят, но я с сервера на сервер не вижу прохождения команды ping xx.xx.xx.xx -t и шары не открываются... (файрвол на обоих серверах потушен, от слова вообще )т.е такое ощущение , что только RDP работает.
У меня 2 предположения либо аккесс листы либо NAT. Постараюсь добавить 2 конфига , центральной и удаленной ASA
|
29 июл 2017, 20:00 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
1. Убрать все ACL (для выяснения причин) 2. Выставить параметры ip mtu, и ip tcp adjust-mss Как подбирать, есть много описаний в инете и на этом форуме. У меня на туннели стоят такие: ip mtu 1400 ip tcp adjust-mss 1360
|
30 июл 2017, 07:44 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 98 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|