FDK
Junior Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору День добрый, настроен канал между двумя устройствами 2811+AIM-VPN/SSL-2 модуль и 1841, канал работает - идет пинг до удаленных хостов - но идут большие потери по каналу, вот что получил используя мастер в SDM: A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not fragment' packets. Так же в дебаге обнаружилось след: 8138: *Jul 13 13:14:47.757: crypto engine: updating MTU size of IPSec SA AIM-VPN/SSL-2:30 Т.е. я так понимаю размер MTU для IPSec выбирается модулем, как его можно поменять под стандартный или есть какие-нибудь другие способы поправить данную ситуацию, на всяк случай привожу конфиги устр-в. 2811: crypto isakmp policy 1 encr aes authentication pre-share group 2 ! crypto isakmp key test1234 address remoteip ! ! crypto ipsec transform-set testset esp-3des esp-sha-hmac crypto map SDM_CMAP_1 1 ipsec-isakmp set peer remoteip set security-association lifetime seconds 86400 set transform-set testset match address 100 interface FastEthernet0/1/0 ip address external.ip netmask duplex auto speed auto crypto map SDM_CMAP_1 access-list 100 permit ip internal.net mask remote.net mask log 1841: crypto isakmp policy 2 encr aes authentication pre-share group 2 crypto isakmp key test1234 address remote.ipcrypto ipsec transform-set testset esp-3des esp-sha-hmac crypto map SDM_CMAP_1 3 ipsec-isakmp set peer remote.ip set security-association lifetime seconds 86400 set transform-set testset match address 106 access-list 106 permit ip internal.net mask remote.net mask log interface FastEthernet0/1 ip address external.ip 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly ip route-cache flow duplex auto speed auto no mop enabled crypto map SDM_CMAP_1 |