vpn inter sites entre Cisco et Bewan - Windows & Software
MarshPosté le 25-01-2005 à 10:54:58
Bonjour,
J'ai quelques problèmes avec mon VPN entre 2 sites. Le VPN est mis en place entre un CISCO 831 et un BEWAN Lanbooster 6104.
Le VPN tient en place pendant toute la durée de vie du SA IPSec.
Par contre une fois tombé, il ne se remet pas en place tout seul. Si je génère du trafic côté Cisco, cas se remet en place.
A) Si j'active un ping du côté du Cisco, il se remet en place. Si j'active un ping du côté du BEWAN, il ne se remet pas en place.
J'ai fait quelques tests avec le Cisco:
B) J'ai remarqué que le test "VPN troubleshooting" côté Cisco me donne les indications suivantes: - VPN is up !
Par contre...
- FAILURE Reason(s): A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not Fragment' packets.
- Recommended Action(s): 1) Contact your ISP/Administrator to resolve the issue. 2) Issue the command 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation.
Le 1) c'est moi mais çà m'avance pas. Le 2), je l'ai fait au niveau du Cisco, çà ne résoud pas le problème. Par contre, j'ai vu que le MTU coté Cisco est de 1500 bits. Côté BEWAN il est de 1442 bits. On peut pas changer le MTU sur l'interface WAN-VPN côté Cisco, par contre j'ai réussi à le monter à 1500 côté Bewan, mais çà ne change rien là aussi.
C) Lorsque le VPN est en place, j'ai beaucoup de paquets reçus en erreurs sur le VPN. Par exemple à un instant t: Encapsulation packets: 54288 Decapsulation packets: 61382 Send Error Packets: 7 Receive Errors: 899
D) Info complémentaire: J'ai configuré un VPN d'accès distant sur le Cisco. Il se met bien en place et j'ai aucun paquet d'erreur émis ou reçu.
Marsh Posté le 25-01-2005 à 10:54:58
Bonjour,
J'ai quelques problèmes avec mon VPN entre 2 sites.
Le VPN est mis en place entre un CISCO 831 et un BEWAN Lanbooster 6104.
Le VPN tient en place pendant toute la durée de vie du SA IPSec.
Par contre une fois tombé, il ne se remet pas en place tout seul. Si je génère du trafic côté Cisco, cas se remet en place.
A) Si j'active un ping du côté du Cisco, il se remet en place.
Si j'active un ping du côté du BEWAN, il ne se remet pas en place.
J'ai fait quelques tests avec le Cisco:
B) J'ai remarqué que le test "VPN troubleshooting" côté Cisco me donne les indications suivantes:
- VPN is up !
Par contre...
- FAILURE Reason(s): A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not Fragment' packets.
- Recommended Action(s):
1) Contact your ISP/Administrator to resolve the issue.
2) Issue the command 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation.
Le 1) c'est moi mais çà m'avance pas. Le 2), je l'ai fait au niveau du Cisco, çà ne résoud pas le problème.
Par contre, j'ai vu que le MTU coté Cisco est de 1500 bits. Côté BEWAN il est de 1442 bits. On peut pas changer le MTU sur l'interface WAN-VPN côté Cisco, par contre j'ai réussi à le monter à 1500 côté Bewan, mais çà ne change rien là aussi.
C) Lorsque le VPN est en place, j'ai beaucoup de paquets reçus en erreurs sur le VPN.
Par exemple à un instant t:
Encapsulation packets: 54288
Decapsulation packets: 61382
Send Error Packets: 7
Receive Errors: 899
D) Info complémentaire: J'ai configuré un VPN d'accès distant sur le Cisco. Il se met bien en place et j'ai aucun paquet d'erreur émis ou reçu.
Quelqu'un peut m'aider ?