Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:08



Ответить на тему  [ Сообщений: 7 ] 
Avaya IP Phone через site-to-site VPN на ASA 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 9
Есть схемка сети, Avaya/PC/Phone - asa 5510 - интернет - asa 5505 - PC/Phone
Налажен site-to-site VPN между асами. Все работает, все пашет, кроме одного. При звонке из одного офиса в другой, ровно через 2 минуты пропадает голос. В трубках тишина. Такое ощущение rtp поток рубится. Телефоны не обрываются.
У авайи протокол 323 по всей видимости.
На асе трафик между офисами заворачивается в ВПН простой одной строчкой в ACL - весь IP от офиса к офису.
Таймауты вроде в норме.

Версия софта на обоих 8.2(4).

В чем может быть проблема? Может MTU MSS каким то образом?

Конфиг одной из Ас, на второй все зеркально.

interface Ethernet0/0
description -= Internet =-
switchport access vlan 10
!
interface Ethernet0/1
description -= LAN =-
!
interface Vlan1
nameif Inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan10
nameif Outside
security-level 0
ip address 1.1.1.1 255.255.255.252
!
access-list ACCESSINTERNET extended permit ip 192.168.1.0 255.255.255.0 any
access-list OUTSIDEIN extended permit ip host 2.1.1.1 any
access-list OUTSIDEIN extended permit icmp any any
access-list NONAT extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list new extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
mtu Inside 1500
mtu Outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (Outside) 1 interface
nat (Inside) 0 access-list NONAT
nat (Inside) 1 access-list ACCESSINTERNET
access-group OUTSIDEIN in interface Outside
route Outside 0.0.0.0 0.0.0.0 1.1.1.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:10:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:10:00 sip-invite 0:03:00 sip-disconnect 0:10:00
timeout sip-provisional-media 0:10:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 30 match address new
crypto map outside_map 30 set peer 2.1.1.1
crypto map outside_map 30 set transform-set ESP-AES-256-SHA
crypto map outside_map interface Outside
crypto isakmp identity address
crypto isakmp enable Outside
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl encryption des-sha1
webvpn

tunnel-group 2.1.1.1 type ipsec-l2l
tunnel-group 2.1.1.1 ipsec-attributes
pre-shared-key KEY
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect http
!
service-policy global_policy global


18 янв 2011, 19:08
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
У тебя точно 5510? Откуда интерфейс vlan? На 5510 сабинтерфейсы создаются и непосредственно в них прописываются vlan.


19 янв 2011, 09:09
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Это очевидно конфиг 5505 - он же написал, что "одной из ASA"

Может поковырять настройки inspect rtsp - посмотреть какие там тайм-ауты по умолчанию.


19 янв 2011, 09:24
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Так таймауты вроде тут?
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:10:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:10:00 sip-invite 0:03:00 sip-disconnect 0:10:00
timeout sip-provisional-media 0:10:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00


19 янв 2011, 09:41
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 9
Да, это 5505 конфиг. На 5510 зеркальный. Конфиг по сути базовый, ничего не накручивал. Изменил только таймауты udp и sip с 2 минут до 10. Не помогло как видите.


19 янв 2011, 12:03
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 9
Ну как и полагалось, оказался Баг софта 8.2.4. Поставил 8.3.2 все пашет.
Баг возможно этот http://tools.cisco.com/squish/d6c74, но написано что он пофиксен в 8.2.4...
Тему можно переносить в решенные. Всем спасибо.


19 янв 2011, 17:32
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Я обычно рекомендую исключать трафик туннельный из инспектирования
h323

Незачем оно в туннеле, из которого трафик весь пропускается.

Спасибо за ссылку на баг-фикс


19 янв 2011, 18:39
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB