https://opennet.dev/openforum/vsluhforumID6/750.html Есть 3 циски, использую тунель gre+ipsec<br><br>Пробовал уже и transport mode,, c VTI и без, результат одни. пока с ip address 10.9.0.1 не начнёшь пиноговать 10.9.0.2 тунель не поднимаеться,причём как то с паузой.... ,3 й роутер работает с 1 работает без проблем через VTI.<br><br><br>1 роутер System Bootstrap, Version 12.3(8r)YI4,<br><br>crypto isakmp policy 10<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>crypto isakmp key 4444 address ........218.12<br>crypto isakmp key 5555 address .........164.11<br>crypto isakmp keepalive 30 10<br>!<br>!<br>crypto ipsec transform-set VTI esp-aes esp-sha-hmac<br>!<br>crypto ipsec profile prof-gre<br> set transform-set VTI<br>!<br>!<br>archive<br> log config<br> hidekeys<br>!<br>!<br>!<br>!<br>!<br>interface Tunnel0<br> ip address 10.9.0.1 255.255.255.0<br> keepalive 5 4<br> tunnel source FastEthernet4<br> tunnel destination .......164.11<br> tunnel mode ipsec ipv4<br> tunnel protection ipsec profile prof-gre<br>!<br>interface Tunnel1<br> ip address 10.10.0.1 255.255.255.0<br> tunnel source FastEthernet4<br> tunnel destination https://opennet.dev/openforum/vsluhforumID6/750.html#10 Mon, 20 May 2013 13:28:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 3) 851 <br>&gt;&gt;&gt; Такое ощущение складывается что какой первый интерфейс поднялся, то второй начинает мозг <br>&gt;&gt;&gt; е... , ipsec профиль убираю с интерфейсов работает нормально,, понятно что <br>&gt;&gt;&gt; с шифрованием чёт,,, пробовал на отдельные профиля садить такая же ерунда,,,, <br>&gt;&gt;&gt; куда рыть ????<br>&gt;&gt; Профиля могут одинаковые быть. Поменяй ios. 5 минут дела, но точно <br>&gt;&gt; исключишь вероятность.<br>&gt;&gt; Убери кипэлайв с интерфейса <br>&gt; keeplife скажи чем может навредить,,, просто некоторые пишут что лучше добавить,,, <br>&gt; хотя я одно время тоже глюки наблюдал .....<br><br>Если keepalive умирает, то интерфейс принудительно ложиться в down. Соответственно, умирают его маршруты. Если канал сильно не стабильный (напр. gprs), то туннель будет колбасить и после каждого down заново придется проходить Phase I и II, что требует времени и ресурсов. Если же канал стабильный - то keepalive помогает быстрее реагировать на недоступность соседа и, например, быстрее переключаться на резервный линк.<br> https://opennet.dev/openforum/vsluhforumID6/750.html#9 Sun, 19 May 2013 07:41:53 GMT &gt;&gt; Центр :c2801-advipservicesk9-mz.124-24.T3.bin <br>&gt;&gt; 2) flash:c1841-advipservicesk9-mz.124-3j.bin <br>&gt;&gt; 3) 851 <br>&gt;&gt; Такое ощущение складывается что какой первый интерфейс поднялся, то второй начинает мозг <br>&gt;&gt; е... , ipsec профиль убираю с интерфейсов работает нормально,, понятно что <br>&gt;&gt; с шифрованием чёт,,, пробовал на отдельные профиля садить такая же ерунда,,,, <br>&gt;&gt; куда рыть ????<br>&gt; Профиля могут одинаковые быть. Поменяй ios. 5 минут дела, но точно <br>&gt; исключишь вероятность.<br>&gt; Убери кипэлайв с интерфейса<br><br>keeplife скажи чем может навредить,,, просто некоторые пишут что лучше добавить,,, хотя я одно время тоже глюки наблюдал ..... <br><br> https://opennet.dev/openforum/vsluhforumID6/750.html#8 Thu, 16 May 2013 13:25:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Такое ощущение складывается что какой первый интерфейс поднялся, то второй начинает мозг <br>&gt;&gt;&gt; е... , ipsec профиль убираю с интерфейсов работает нормально,, понятно что <br>&gt;&gt;&gt; с шифрованием чёт,,, пробовал на отдельные профиля садить такая же ерунда,,,, <br>&gt;&gt;&gt; куда рыть ????<br>&gt;&gt;&gt;&gt; что за циски??<br>&gt;&gt; Есть ли NAT по пути между маршрутизаторами?<br>&gt;&gt; Нужен deb cry isa и deb cry ips <br>&gt;&gt; На двух туннелях с одинакого source interface одинаковый профиль. Скорее все в <br>&gt;&gt; этом проблема.<br>&gt;&gt; Попробуйте tunnel protection ipsec profile prof-gre shared <br><br>Для esp-aes максимум overhead 73 байта. (источник: http://www.cisco.com/en/US/docs/interfaces_modules/services_modules/vspa/configuration/guide/ivmvpnb.html#wp2055802)<br><br>Соответственно <br>ip mtu 1427<br>ip tcp adj 1387<br><br>Я обычно делаю с запасом, так как гоняю это дело внутри GRE.<br>1400 и 1360 соответсвенно<br> https://opennet.dev/openforum/vsluhforumID6/750.html#7 Thu, 16 May 2013 05:04:37 GMT Да спасибо огромное !!! Сколько примеров видел многие тоже на одном профиле делают,,, мож разные интерфейсы были,,,<br><br> alecx подскажи в догонку. Как более проще, чем методов проб и глюков выставить MTU sh debag icmp ничего не показывает !!! <br><br><br>&gt;[оверквотинг удален]<br>&gt;&gt; Такое ощущение складывается что какой первый интерфейс поднялся, то второй начинает мозг <br>&gt;&gt; е... , ipsec профиль убираю с интерфейсов работает нормально,, понятно что <br>&gt;&gt; с шифрованием чёт,,, пробовал на отдельные профиля садить такая же ерунда,,,, <br>&gt;&gt; куда рыть ????<br>&gt;&gt;&gt; что за циски??<br>&gt; Есть ли NAT по пути между маршрутизаторами?<br>&gt; Нужен deb cry isa и deb cry ips <br>&gt; На двух туннелях с одинакого source interface одинаковый профиль. Скорее все в <br>&gt; этом проблема.<br>&gt; Попробуйте tunnel protection ipsec profile prof-gre shared <br><br> https://opennet.dev/openforum/vsluhforumID6/750.html#6 Wed, 15 May 2013 11:42:18 GMT &gt; Центр :c2801-advipservicesk9-mz.124-24.T3.bin <br>&gt; 2) flash:c1841-advipservicesk9-mz.124-3j.bin <br>&gt; 3) 851 <br>&gt; Такое ощущение складывается что какой первый интерфейс поднялся, то второй начинает мозг <br>&gt; е... , ipsec профиль убираю с интерфейсов работает нормально,, понятно что <br>&gt; с шифрованием чёт,,, пробовал на отдельные профиля садить такая же ерунда,,,, <br>&gt; куда рыть ????<br><br>Профиля могут одинаковые быть. Поменяй ios. 5 минут дела, но точно исключишь вероятность.<br>Убери кипэлайв с интерфейса.<br><br> https://opennet.dev/openforum/vsluhforumID6/750.html#5 Wed, 15 May 2013 10:27:41 GMT &gt; Центр :c2801-advipservicesk9-mz.124-24.T3.bin <br>&gt; 2) flash:c1841-advipservicesk9-mz.124-3j.bin <br>&gt; 3) 851 <br>&gt; Такое ощущение складывается что какой первый интерфейс поднялся, то второй начинает мозг <br>&gt; е... , ipsec профиль убираю с интерфейсов работает нормально,, понятно что <br>&gt; с шифрованием чёт,,, пробовал на отдельные профиля садить такая же ерунда,,,, <br>&gt; куда рыть ????<br>&gt;&gt; что за циски??<br><br>Есть ли NAT по пути между маршрутизаторами?<br>Нужен deb cry isa и deb cry ips<br><br>На двух туннелях с одинакого source interface одинаковый профиль. Скорее все в этом проблема.<br><br>Попробуйте tunnel protection ipsec profile prof-gre shared<br> https://opennet.dev/openforum/vsluhforumID6/750.html#4 Wed, 15 May 2013 09:24:02 GMT &gt; ip route 0.0.0.0 0.0.0.0 94.230.115.34 <br>&gt; ip route 0.0.0.0 255.255.255.252 .......GATE.....<br>&gt; это что за полет фантазии?<br><br>Это я адрес шлюза убирал )))))<br> https://opennet.dev/openforum/vsluhforumID6/750.html#3 Wed, 15 May 2013 09:17:22 GMT Центр :c2801-advipservicesk9-mz.124-24.T3.bin <br>2) flash:c1841-advipservicesk9-mz.124-3j.bin<br><br>3) 851<br><br>Такое ощущение складывается что какой первый интерфейс поднялся, то второй начинает мозг е... , ipsec профиль убираю с интерфейсов работает нормально,, понятно что с шифрованием чёт,,, пробовал на отдельные профиля садить такая же ерунда,,,, куда рыть ???? <br><br>&gt; что за циски?? https://opennet.dev/openforum/vsluhforumID6/750.html#2 Wed, 15 May 2013 08:14:03 GMT что за циски??<br>