Я предполагаю, что проблема моя решается путем,
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_tech_note09186a0080093f1f.shtml но не могу подобрать эти mtu и mss
C:\Documents and Settings\alex.d>ping google.com -f -l 1273 -t
Обмен пакетами с google.com [64.233.187.99] по 1273 байт:
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
C:\Documents and Settings\alex.d>ping google.com -f -l 1272 -t
Обмен пакетами с google.com [64.233.187.99] по 1272 байт:
Ответ от 64.233.187.99: число байт=56 (отправка 1272) время=193мс TTL=237
Ответ от 64.233.187.99: число байт=56 (отправка 1272) время=193мс TTL=237
Ответ от 64.233.187.99: число байт=56 (отправка 1272) время=193мс TTL=237
То есть получается mtu 1272 мне нужно прописать на интерфейсе смотрящем в локальную сеть?
Прописывал, не помогло.
Может быть дело в том что на этом физическом интерфейсе, сделаны сабинтерфейсы: один в локальную сеть, второй внешний, через который squid выходит в интернет.
Сейчас такая картина:
interface GigabitEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/0.100
description interface DMZ$FW_OUTSIDE$
encapsulation dot1Q 100
ip address 217.x.x.97 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip virtual-reassembly
ip tcp adjust-mss 1360
no cdp enable
!
interface GigabitEthernet0/0.150
description interface to LAN
encapsulation dot1Q 150
ip address 192.168.1.248 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
no cdp enable
!
interface GigabitEthernet0/1
description WAN
ip address 89.x.x.226 255.255.255.224
ip access-group 104 in
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
duplex full
speed 100
no mop enabled
crypto map vpnmap