Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 17:53



Ответить на тему  [ Сообщений: 9 ] 
Проблемы с трафиком в VPN тунеле 
Автор Сообщение

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 70
Добрый день, Коллеги!

Проблема. есть центральный офис и несколько региональных. На региональном потребовалось поднять впн. Поставили ASA 5505 . Поднял VPN на 1 провайдере. Все работает замечательно. Вчера выяснилось, что данный провайдер закончился, подвели второго Быдлайн. Начал настраивать по аналогии. VPN поднялся , НО через sh crypto isa sa вижу что работает .... на виртуалки по удаленке захожу (RDP) , но пинг не идет , smb не работает (т.е по шаре зайти на центральный сервер нельзя. почему такое происходит не понятно..... VMware vsphare подключается и опять падает через минуту или 2 . Аксес личты не правил , они завязанны на группы обозначенные. маршрутизация и нат работают если я правильно понимаю (иначе RDP не работал бы ). Где искать решение не знаю.... packet-tracer input alpha icmp 10.1.3.1 0 0 10.2.18.2 все 9 фаз allow.
Куда рыть, кто-нить подскажите. заранее благодарен.


27 июл 2017, 18:13
Профиль

Зарегистрирован: 16 дек 2008, 08:44
Сообщения: 604
phant писал(а):
Добрый день, Коллеги!

Проблема. есть центральный офис и несколько региональных. На региональном потребовалось поднять впн. Поставили ASA 5505 . Поднял VPN на 1 провайдере. Все работает замечательно. Вчера выяснилось, что данный провайдер закончился, подвели второго Быдлайн. Начал настраивать по аналогии. VPN поднялся , НО через sh crypto isa sa вижу что работает .... на виртуалки по удаленке захожу (RDP) , но пинг не идет , smb не работает (т.е по шаре зайти на центральный сервер нельзя. почему такое происходит не понятно..... VMware vsphare подключается и опять падает через минуту или 2 . Аксес личты не правил , они завязанны на группы обозначенные. маршрутизация и нат работают если я правильно понимаю (иначе RDP не работал бы ). Где искать решение не знаю.... packet-tracer input alpha icmp 10.1.3.1 0 0 10.2.18.2 все 9 фаз allow.
Куда рыть, кто-нить подскажите. заранее благодарен.
MTU?


28 июл 2017, 07:53
Профиль

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 70
Благодарю .... буду проверять....Буду рад новым идеям....


28 июл 2017, 08:11
Профиль

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 70
Проверил на всех интерфейcах MTU 1500 , как на удаленной циске, так и на центральной.... Это может быть связанно с тем что для разных провайдеров надо выставлять разные MTU


Последний раз редактировалось phant 28 июл 2017, 08:49, всего редактировалось 1 раз.



28 июл 2017, 08:40
Профиль

Зарегистрирован: 16 дек 2008, 08:44
Сообщения: 604
phant писал(а):
Проверил на всех интерфейcах MTU 1500 , как на удаленной циске, так и на центральной
Таки надо уменьшать.


28 июл 2017, 08:44
Профиль

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 70
не помогло уменьшение MTU вернул к 1500... что еще может быть?


28 июл 2017, 17:37
Профиль

Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
Я бы таймеры проверил SA. Походу VPN просто умирает ????
Если бы с MTU была бы трабла, то пинг должен был бы проходить(насколько я понимаю)
А че за нат в VPN?
С роутингом могут быть проблемы кстати. Если сначала RDP работает, а потом падает.


29 июл 2017, 11:21
Профиль

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 70
Я может не корректно выразился подает не RDP, а соединение клиента вмваре с хостом удаленным. Пинг вообще не проходит....
Я вот вообще думаю , как продиагностировать , что проходит через тунель а что нет....пакет трессерт на асе показывает что icmp пакеты ходят, но я с сервера на сервер не вижу прохождения команды ping xx.xx.xx.xx -t и шары не открываются... (файрвол на обоих серверах потушен, от слова вообще )т.е такое ощущение , что только RDP работает.

У меня 2 предположения либо аккесс листы либо NAT.
Постараюсь добавить 2 конфига , центральной и удаленной ASA


29 июл 2017, 20:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
1. Убрать все ACL (для выяснения причин)
2. Выставить параметры ip mtu, и ip tcp adjust-mss Как подбирать, есть много описаний в инете и на этом форуме.
У меня на туннели стоят такие:
ip mtu 1400
ip tcp adjust-mss 1360


30 июл 2017, 07:44
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 98


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB