Le ecureuil
-
Постов
11 324 -
Зарегистрирован
-
Посещение
-
Победитель дней
665
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент Le ecureuil
-
Команда > interface <iface> ipsec ignore добавлена в 2.10. -
И правильно делают. Использовать SMB или NFS в WAN-сетях без VPN - жуткий моветон и дырища, за такое надо по рукам бить.
-
Да, c IKEv2 все должно быть куда лучше.
-
Если используется IKEv1 для соединения с ASA5505, то скорее всего нет.
-
Просто перейдите на IKEv2, это проще, чем решать проблемы, "встроенные" в протокол IKEv1.
-
Так сделано, потому что проще управляющая логика.
-
Все правильно. С Android подключаетесь? Android пишет, что подключено, но реально устанавливает соединение и запрашивает адрес только если по нему идет трафик. До прохождения трафика соединения как такового нет. Потому так и отображается. Именно эта ситуация у вас и в логе.
-
Да, все нормально. У нас роутер не умеет принимать/отсылать кадры более 1536 байт, потому при пинге с внешнего устройства в LAN пролезет максимум 1536 - L2 - L3. А вот с устройства на устройство хоть десять тысяч, значит работает.
-
Довольно сложно в реализации, потому пока врядли. Как минимум не раньше IKEv2 для автотуннелей.
-
А dump пакетов на WAN показывает, что создаются фрагменты, или нет?
-
Ну что, как там с фрагментацией? Оно хоть работает (у кого-то кроме меня)?
-
Вам по DSL-линии, или сколько позволит процессор в Keenetic DSL для PPTP/MPPE? По поводу DSL-линий ничего не менялось с середины 2000-х.
-
Для PPTP с шифрованием это предел. Да, для большей скорости стоит взять Ultra II - мегабит 50...70 легко.
-
В случае автотуннеля MSS просто меньше сильно получается, вот все и работает. А PMTU для MSS выставляется и там, и там, если явно его не задавать в виде числа в консоли.
-
В дефолтной настройке и так идут PMTU, просто идиоты-администраторы некоторых сайтов запрещают ICMP Fragmentation Needed, вот и выходит, что часть не работает.
-
В 2.08 / 2.09 уже полгода как есть расписания на все искаропки.
-
Да, думаем над этим.
-
Ожидаемо, Giga2 слабее по шине памяти и скорости работы CPU, потому она просто не успевает полностью обеспечить работой crypto engine. Двухядерный 7621A с DDR3 успевает
-
То, что разное с обоих концов - это нормально, где-то WAN на IPoE, а где-то на PPTP. Естественно, будет разный MTU. Перезагружать не надо, после появления сообщения в логе все должно начать работать. Еще проверьте, умеет ли сеть (провайдер/магистраль) правильно передавать фрагментированные пакеты. Это очень важно, поскольку IP-пакеты уже фрагментированы, и сеть их фрагментировать еще раз в случае "непролезания" не сможет. Возможно на WAN у обоих устройств придется снизить MTU до одинаково низкого значения, которое устроит обе стороны (начните с 1400 и по убывающей). На каком размере пакета перестает пролезать?
-
Я делал только реагирование для EoIP, линк на порту свитча по идее не должен трогаться.
-
@vst
-
@m__a__l попрбуйте отключить ping-check вообще, похоже это он вам рвет соединение. Если поможет - потом попрбуем настроить правильно.
-
Там передергивание занимает сотню миллисекунд, скорее всего не заметите даже
-
Такова жизнь - IKEv1 сервер очень недружелюбен ко множественным конфигурациям.
-
Переходите на IKEv2 везде для site-to-site туннелей, оставляйте IKEv1 только для Virtual IP. И все будет хорошо
