FDK
Junior Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
День добрый, настроен канал между двумя устройствами 2811+AIM-VPN/SSL-2 модуль и 1841, канал работает - идет пинг до удаленных хостов - но идут большие потери по каналу, вот что получил используя мастер в SDM:
A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not fragment' packets.
Так же в дебаге обнаружилось след:
8138: *Jul 13 13:14:47.757: crypto engine: updating MTU size of IPSec SA AIM-VPN/SSL-2:30
Т.е. я так понимаю размер MTU для IPSec выбирается модулем, как его можно поменять под стандартный или есть какие-нибудь другие способы поправить данную ситуацию, на всяк случай привожу конфиги устр-в.
2811:
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
!
crypto isakmp key test1234 address remoteip
!
!
crypto ipsec transform-set testset esp-3des esp-sha-hmac
crypto map SDM_CMAP_1 1 ipsec-isakmp
set peer remoteip
set security-association lifetime seconds 86400
set transform-set testset
match address 100
interface FastEthernet0/1/0
ip address external.ip netmask
duplex auto
speed auto
crypto map SDM_CMAP_1
access-list 100 permit ip internal.net mask remote.net mask log
1841:
crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key test1234 address remote.ipcrypto ipsec transform-set testset esp-3des esp-sha-hmac
crypto map SDM_CMAP_1 3 ipsec-isakmp
set peer remote.ip
set security-association lifetime seconds 86400
set transform-set testset
match address 106
access-list 106 permit ip internal.net mask remote.net mask log
interface FastEthernet0/1
ip address external.ip 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
crypto map SDM_CMAP_1 |
