[Probleme CISCO] VPN & MTU

VPN & MTU [Probleme CISCO] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 10-09-2008 à 11:03:22    

Bonjour, débutant en la matière (CISCO) j'ai eu pour mission de mettre en place 3 routeur cisco:  
 
1 à paris : 2811  
1 à Toulouse: 1801  
1 à Aix : 1801  
 
Ces 3 routeurs cisco doivent être en VPN "Site à Site". J'utilise SDM afin de paramétrer mon routeur, tout se passe bien au niveau de la création du vpn et de l'interconnexion. Seulement voila une fois le VPN monté j'ai des difficultés à utiliser Terminal Serveur à travers le VPN vers un serveur situé à Aix. Après quelques recherches sur internet je m'aperçois que cela peut venir du MTU. On me dit de manipuler ces options:  
 
conf t => ip tcp mss 1400  
 
et  
 
interface Wan => ip tcp adjust-mss 1400  
 
J'applique donc ces deux modifications sur mes deux routeurs, ça ne change rien à mon problème mais depuis lorsque je "test" le VPN j'ai un message qui m'avertis qu'il y'a un problème de MTU. Concentré sur mon problème de TSE je met ca de coté , j'arrive à résoudre mon problème TSE sans touché plus au MTU , le problème venait d'ailleurs.  
Je pensais donc avoir résolu l'ensemble des problèmes lié à l'interconnexion malgré ce "problème" de MTU qui n'avait pas l'air d'avoir d'incidence. Jusqu'au moment ou je m'aperçoit que les utilisateurs de Toulouse ne peuvent pas récupérer de fichier >1 Mo sur les serveurs de paris.... La encore après quelques recherche je me rend compte que ce serait certainement lié au problèmes de MTU.  
Ca fait donc 2 heures que j'essaie de tourné et de jouer avec ces commandes:  
 
Sur l'interface VPN : Crypto ipsec df-.... Clear.  
et sur les interfaces wan : ip tcp adjust-mss XXXX  
et enfin directement en "conf t" : Ip tcp mss XXXX  
 
Ce qui est étonnant c'est que lorsque j'avais paramétré pour la première fois les VPN , je n'avais pas eu de message d'erreur MTU, c'est en voulant résoudre le problème TSE que j'ai crée cette erreure. J'ai essayé bien évidemment de faire machine arrière , toujours cette erreur, même en comparant les deux configurations....  
 
Quelqu'un aurait-il une piste à suivre afin de résoudre ce problème?  
 
 
PS : Je post ici mes deux conf de routeur.

Reply

Marsh Posté le 10-09-2008 à 11:03:22   

Reply

Marsh Posté le 10-09-2008 à 11:03:50    

Routeur PARIS:
 
Building configuration...
 
Current configuration : 33483 bytes
!
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname *********
!
boot-start-marker
boot-end-marker
!
security ******************
security **********************
logging buffered 52000 debugging
enable*******************
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec local_author local  
aaa authorization network sdm_vpn_group_ml_1 local  
!
aaa session-id common
!
resource policy
!
ip subnet-zero
no ip source-route
ip tcp synwait-time 10
!
!
ip cef
ip port-map *****************
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
ip inspect name appfw_100 smtp
ip inspect name dmzinspect tcp
ip inspect name dmzinspect udp
!
!
ip ips sdf location flash://128MB.sdf
ip ips notify SDEE
ip ips name sdm_ips_rule
no ip bootp server
ip domain name yourdomain.com
ip name-server **********
ip name-server **************
ip name-server **************
!
!
!
crypto pki trustpoint TP-self-signed-**********
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-************
 revocation-check none
 rsakeypair TP-self-signed-**************
!
!
crypto pki certificate chain TP-self-signed-**************
 certificate self-signed 01
  3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030  
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274  
  69666963 6174652D 32323137 32393339 3936301E 170D3037 31323037 31353035  
  30385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649  
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 32313732  
  39333939 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281  
  8100E474 7E7CC649 A1C6B5F9 0EE92AE1 EE87CA28 95D61FE8 2D54F619 7BA05E25  
  B075505D 96E58C0B 34B4EA65 919ACF02 40320D3D 0F0BCBE0 D7AC96A4 9E318059  
  726B8E36 41BE0EB1 4F5E46AF 7F9FF914 9EED892A 82D14269 446B3F2C 69FA6A64  
  16AD43F9 0F81CD0E F5AF2AE0 9B797DFA A902E19A 31467B04 316174E5 FDE37FE9  
  6E5F0203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603  
  551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D  
  301F0603 551D2304 18301680 14867B30 5FCBE311 C1D857A2 97153CFE E318C8F8  
  F5301D06 03551D0E 04160414 867B305F CBE311C1 D857A297 153CFEE3 18C8F8F5  
  300D0609 2A864886 F70D0101 04050003 81810040 A875CC19 3EF29060 707600D8  
  40003925 99641BF3 754BA3C4 265907EF 43E0030D BACB0AFC 9DB403F9 718AE6D0  
  959B7341 DD0BB829 B6F1C890 51A9A2D9 4409D351 F9C9C3FE 9895EBDD 306D9461  
  906B631F 68610D10 F802D7CE E838A039 1DBFAC0A 656160BA CC6B4701 09B56148  
  4F2C3F01 27512A1E EFCEBBE3 18B796EA C855AE
  quit
username administrat*********
username test view*************
!
!  
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key ******* address ********
crypto isakmp *******address *************
crypto isakmp *******address **********
crypto isakmp *******address ***********
crypto isakmp *******address ***************
crypto isakmp xauth timeout 15
 
!
crypto isakmp client configuration group test
 key ***********
 pool SDM_POOL_1
 max-users 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac  
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac  
crypto ipsec transform-set ESP-3DES-SHA3 esp-3des esp-sha-hmac  
crypto ipsec transform-set ESP-3DES-SHA4 esp-3des esp-sha-hmac  
crypto ipsec df-bit clear
!
crypto map SDM_CMAP_1 2 ipsec-isakmp  
 description Tunnel **********
 set peer ************
 set transform-set ESP-3DES-SHA  
 match address 136
crypto map SDM_CMAP_1 3 ipsec-isakmp  
 description Tunnel **********
 set peer *************
 set transform-set ESP-3DES-SHA  
 match address 140
crypto map SDM_CMAP_1 4 ipsec-isakmp  
 description Tunnel ***********
 set peer ***************
 set transform-set ESP-3DES-SHA  
 match address 147
crypto map SDM_CMAP_1 5 ipsec-isakmp  
 description Tunnel ************
 set peer **********
 set transform-set ESP-3DES-SHA  
 match address 148
crypto map SDM_CMAP_1 6 ipsec-isakmp  
 description Tunnel ************
 set peer ************
 set transform-set ESP-3DES-SHA  
 match address 149
crypto map SDM_CMAP_1 7 ipsec-isakmp  
 description Tunnel ***********
 set peer ************
 set transform-set ESP-3DES-SHA  
 match address 150
!
!
!
interface Null0
 no ip unreachables
!
interface FastEthernet0/0
 description $ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$$ETH-WAN$$FW_OUTSIDE$
 ip address ********** 255.*************
 ip access-group 146 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect SDM_LOW out
 ip ips sdm_ips_rule in
 ip ips sdm_ips_rule out
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
 no mop enabled
 crypto map SDM_CMAP_1
 crypto ipsec df-bit clear
!
interface FastEthernet0/1
 description $FW_INSIDE$
 no ip address
 ip verify unicast reverse-path
 ip ips sdm_ips_rule in
 ip ips sdm_ips_rule out
 ip virtual-reassembly
 shutdown
 duplex auto
 speed auto
 no mop enabled
!
interface FastEthernet0/3/0
!
interface FastEthernet0/3/1
 switchport access vlan 2
 switchport trunk native vlan 2
!
interface FastEthernet0/3/2
 switchport access vlan 3
!
interface FastEthernet0/3/3
 switchport access vlan 3
!
interface FastEthernet0/3/4
!
interface FastEthernet0/3/5
!
interface FastEthernet0/3/6
!
interface FastEthernet0/3/7
!
interface FastEthernet0/3/8
!
interface IDS-Sensor1/0
 ip address ************
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 hold-queue 60 out
!
interface Vlan1
 ip address *************
 ip nat inside
 ip virtual-reassembly
 crypto ipsec df-bit clear
!
interface Vlan2
 ip address **************.0
 ip access-group 143 in
 ip nat inside
 ip virtual-reassembly
!
interface Vlan3
 description $FW_INSIDE$
 ip address *********************0
 ip access-group 144 in
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
!
interface Vlan4
 no ip address
!
router rip
 passive-interface FastEthernet0/0
 network *******
 network **********
 network ******
 network *******0
 network *******0
 no auto-summary
!
ip local pool SDM_POOL_1 *************
ip classless
ip route 0.0.0.0 0.0.0.0 ********* permanent
!
ip http server
ip http access-class 20
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source static tcp ****** 25 interface FastEthernet0/0 25
!
ip access-list extended sdm_vlan1_in
 remark SDM_ACL Category=1
 remark test
 permit ip any any
ip access-list extended sdm_vlan2_in
 remark SDM_ACL Category=1
 remark all
 permit ip any any
ip access-list extended sdm_vlan3_in
 remark SDM_ACL Category=1
 remark all
 permit ip any any
ip access-list extended sdm_vlan4_in
 remark SDM_ACL Category=1
 remark all
 permit ip any any
ip access-list extended test
 remark test
 remark SDM_ACL Category=1
 permit ip any any
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit ******
access-list 1 permit ***********255
access-list 1 permit *******.0.0.255
access-list 1 permit 192. *******0.0.0.255
access-list 2 permit 192. *******.0
access-list 3 remark SDM_ACL Category=2
access-list 3 permit 192. *******0 0.0.0.255
access-list 4 remark SDM_ACL Category=2
access-list 4 permit 192. *******0.0.255
access-list 5 remark SDM_ACL Category=2
access-list 5 permit 192. *******0.0.0.255
access-list 5 permit 192. *******0.0.255
access-list 5 permit 192. *******0.0.255
access-list 5 permit 192.168. *******0.0.255
access-list 6 remark SDM_ACL Category=2
access-list 6 permit 192.168*******0.0.255
access-list 7 remark SDM_ACL Category=2
access-list 7 permit 192. *******0.0.0.255
access-list 7 permit 192.168. *******.0.255
access-list 7 permit 192. *******0.0.0.255
access-list 7 permit 192. *******0 0.0.0.255
access-list 8 remark SDM_ACL Category=1
access-list 8 permit 192. *******
access-list 20 remark SDM_ACL Category=16
access-list 150 permit ip 192.168.23.0 0.0.0.255 192.168.0.0 0.0.0.255
no cdp run
route-map SDM_RMAP_1 permit 1
 match ip address 120
!
!
!
control-plane
!
!
-----------------------------------------------------------------------
^C
!
line con 0
 login authentication local_authen
 transport output telnet
line aux 0
 login authentication local_authen
 transport output telnet
line 66
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output all
line vty 0 4
 access-class 107 in
 authorization exec local_author
 login authentication local_authen
 transport input telnet ssh
line vty 5 14
 access-class 107 in
 authorization exec local_author
 login authentication local_authen
 transport input telnet ssh
line vty 15
 access-class 107 in
 authorization exec local_author
 login authentication local_authen
 transport input telnet ssh
 transport output telnet ssh
parser view SDM_EasyVPN_Remote
 secret 5 $1$GYAW$fqPbJgfg15hKLGrSqc9dv/
 commands interface include all crypto
 commands interface include all no crypto
 commands interface include no
 commands configure include end
 commands configure include all radius-server
 commands configure include all access-list
 commands configure include ip radius source-interface
 commands configure include ip radius
 commands configure include all interface
 commands configure include all identity policy
 commands configure include identity profile
 commands configure include identity
 commands configure include all dot1x
 commands configure include all crypto
 commands configure include ip
 commands configure include all aaa
 commands configure include no end
 commands configure include all no radius-server
 commands configure include all no access-list
 commands configure include no ip radius source-interface
 commands configure include no ip radius
 commands configure include all no interface
 commands configure include all no identity policy
 commands configure include no identity profile
 commands configure include no identity
 commands configure include all no dot1x
 commands configure include all no crypto
 commands configure include no ip
 commands configure include all no aaa
 commands configure include no
 commands exec include dir all-filesystems
 commands exec include dir
 commands exec include crypto ipsec client ezvpn connect
 commands exec include crypto ipsec client ezvpn xauth
 commands exec include crypto ipsec client ezvpn
 commands exec include crypto ipsec client
 commands exec include crypto ipsec
 commands exec include crypto
 commands exec include write memory
 commands exec include write
 commands exec include all ping ip
 commands exec include ping
 commands exec include configure terminal
 commands exec include configure
 commands exec include all show
 commands exec include no
 commands exec include all debug appfw
 commands exec include all debug ip inspect
 commands exec include debug ip
 commands exec include debug
 commands exec include all clear
!
!
scheduler allocate 20000 1000
!
end
 
 
 
 
J'ai viré une partie des ACL ca fesait beaucoup trop long et je ne pense pas que ce utile.

Reply

Marsh Posté le 10-09-2008 à 11:04:12    

Routeur TOULOUSE :
 
 
Building configuration...
 
Current configuration : 16717 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ********
!
boot-start-marker
boot-end-marker
!
logging buffered 52000
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local  
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-4132902937
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4132902937
 revocation-check none
 rsakeypair TP-self-signed-4132902937
!
!
crypto pki certificate chain TP-self-signed-4132902937
 certificate self-signed 01
  3082024F 3*1B8 A0030201 **********6 F70D0101 04050030  
  31312F30 2D0*5 0*132*494F53* 53*C66 2D536967 6E65642D 43657274  
  69666963 6174652D 34313332 39*
***************2A6562CA FAAE235F  
  D0FE311A 46472692 F65B52*****9D300D31 FE305546 DEF56C0F 3B42F4AC  
  054********80 1459AF9D 40BECBEA 67D9*D6A9 6*C75 E2A2BD06  
  68301D06 03551D0E 04*1F 256D5CEC *FD6CA*31BBDA  
  E12FE80**********06 AF70FF
   quit
!  
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key ********
crypto isakmp key ********!
!
crypto ipsec transform-set test esp-des esp-md5-hmac  
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac  
!
crypto map SDM_CMAP_1 3 ipsec-isakmp  
 description Tunnel to86. ********
 set transform-set ESP-3DES-SHA  
 match address 117
crypto map SDM_CMAP_1 4 ipsec-isakmp  
 description Tunnel ********
 set peer ********
 set transform-set ESP-3DES-SHA  
 match address 119
crypto map SDM_CMAP_1 5 ipsec-isakmp  
 description Tunnel ********
 set peer ********
 set transform-set ESP-3DES-SHA  
 match address 121
!
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address ********
!
ip dhcp pool sdm-pool
   import all
   network 10. ********
   default-router ********
   lease 0 2
!
!
ip domain name yourdomain.com
ip name-server ********
ip name-server ********2
!
multilink bundle-name authenticated
!
!
username administrateur ********
archive
 log config
  hidekeys
!
!
!
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
 match access-group 107
class-map type inspect match-all sdm-cls-VPNOutsideToInside-3
 match access-group 113
class-map type inspect match-all sdm-cls-VPNOutsideToInside-2
 match access-group 112
class-map type inspect match-all sdm-cls-VPNOutsideToInside-5
 match access-group 118
class-map type inspect match-all sdm-cls-VPNOutsideToInside-4
 match access-group 116
class-map type inspect match-all sdm-cls-VPNOutsideToInside-7
 match access-group 122
class-map type inspect match-all sdm-cls-VPNOutsideToInside-6
 match access-group 120
class-map type inspect match-any SDM_AH
 match access-group name SDM_AH
class-map type inspect match-any ICMPTCPUDP
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-any sdm-cls-insp-traffic
 match protocol cuseeme
 match protocol dns
 match protocol ftp
 match protocol h323
 match protocol https
 match protocol icmp
 match protocol imap
 match protocol pop3
 match protocol netshow
 match protocol shell
 match protocol realmedia
 match protocol rtsp
 match protocol smtp extended
 match protocol sql-net
 match protocol streamworks
 match protocol tftp
 match protocol vdolive
 match protocol tcp
 match protocol udp
class-map type inspect match-all sdm-insp-traffic
 match class-map sdm-cls-insp-traffic
class-map type inspect match-any pingandall
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-all sdm-cls-sdm-pol-VPNOutsideToInside-1-1
 match class-map pingandall
 match access-group ********
class-map type inspect match-any SDM_ESP
 match access-group name SDM_ESP
class-map type inspect match-any SDM_VPN_TRAFFIC
 match protocol isakmp
 match protocol ipsec-msft
 match class-map SDM_AH
 match class-map SDM_ESP
class-map type inspect match-all SDM_VPN_PT
 match access-group 104
 match class-map SDM_VPN_TRAFFIC
class-map type inspect match-all SDM_VPN_PT0
 match access-group 115
 match class-map SDM_VPN_TRAFFIC
class-map type inspect match-any sdm-cls-icmp-access
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-all sdm-cls-sdm-inspect-1
 match access-group name zawaxcv
class-map type inspect match-any zerrzrzerze
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-all sdm-cls-sdm-permit-3
 match class-map zerrzrzerze
 match access-group name fdsfdq
class-map type inspect match-all sdm-cls-sdm-permit-2
 match class-map ICMPTCPUDP
 match access-group name pitch
class-map type inspect match-any dfsqfqg
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-all sdm-cls-sdm-permit-1
 match class-map dfsqfqg
 match access-group name Pitchandall
class-map type inspect match-all sdm-icmp-access
 match class-map sdm-cls-icmp-access
class-map type inspect match-all sdm-invalid-src
 match access-group 103
class-map type inspect match-all sdm-protocol-http
 match protocol http
class-map type inspect match-any zawax
 match protocol tcp
 match protocol udp
!
!
policy-map type inspect sdm-permit-icmpreply
 class type inspect sdm-icmp-access
  inspect
 class class-default
  pass
policy-map type inspect sdm-pol-VPNOutsideToInside-1
 class type inspect sdm-cls-sdm-pol-VPNOutsideToInside-1-1
  inspect
 class type inspect sdm-cls-VPNOutsideToInside-1
  pass
 class type inspect sdm-cls-VPNOutsideToInside-2
  pass
 class type inspect sdm-cls-VPNOutsideToInside-3
  pass
 class type inspect sdm-cls-VPNOutsideToInside-4
  pass
 class type inspect sdm-cls-VPNOutsideToInside-5
  pass
 class type inspect sdm-cls-VPNOutsideToInside-6
  pass
 class type inspect sdm-cls-VPNOutsideToInside-7
  pass
 class class-default
policy-map type inspect sdm-inspect
 class type inspect sdm-cls-sdm-inspect-1
  inspect
 class type inspect sdm-invalid-src
  drop
 class type inspect sdm-insp-traffic
  inspect
 class type inspect sdm-protocol-http
  inspect
 class class-default
  drop
policy-map type inspect sdm-permit
 class type inspect SDM_VPN_PT0
  pass
 class type inspect sdm-cls-sdm-permit-3
  inspect
 class class-default
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
 service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-VPNOutsideToInside-1 source out-zone destination in-zone
 service-policy type inspect sdm-pol-VPNOutsideToInside-1
zone-pair security sdm-zp-out-self source out-zone destination self
 service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
 service-policy type inspect sdm-inspect
!
!
!
interface FastEthernet0
 description $ETH-LAN$$FW_INSIDE$
 ip address ********
 zone-member security in-zone
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
 
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto  
!
interface ATM0.2 point-to-point
 no snmp trap link-status
 pvc 8/35  
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 crypto ipsec df-bit clear
!
interface Vlan1
 description $********
 ip address ********
 ip access-group 100 in
 ip access-group 4 out
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
 crypto ipsec df-bit clear
!
interface Dialer1
 description $FW_OUTSIDE$
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 zone-member security out-zone
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap ********
 ppp chap password ********
 ppp pap sent-********
 crypto map SDM_CMAP_1
 crypto ipsec df-bit clear
!
router rip
 passive-interface ATM0.2
 network ********
 network ********  
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
!
ip access-list extended ********
 remark SDM_ACL Category=128
 permit ip ********any
 permit ip ********any
 permit ip 192. ********any
ip access-list extended SDM_AH
 remark SDM_ACL Category=1
 permit ahp any any
ip access-list extended SDM_ESP
 remark SDM_ACL Category=1
 permit esp any any
ip access-list extended fdsfdq
 remark SDM_ACL Category=128
 
 
++++++++++++++++++++++++++++++++++++++++
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 105
!
!
!
!
control-plane
!
banner login ^C
line con 0
line aux 0
line vty 0 4
 transport input telnet ssh
line vty 5 15
 transport input telnet ssh
!
 
!
webvpn cef
end
 
 
J'ai viré les ACL si vous en avez besoin pour résoudre mon probleme faites moi signe.
 
Dans l'attente de vos réponses MERCI

Reply

Marsh Posté le 10-09-2008 à 11:17:21    

tu veux pas qu'on fasse le boulot a ta place des fois ???
3 solutions : soit tu prends un intégrateur.
soit tu es intégrateur, auquel cas tu prends des cours
ou alors tu dis à ton chefs que tu sais pas le faire

Reply

Marsh Posté le 10-09-2008 à 11:30:28    

Heu trictrac elle est un peu abusée cette réponse. Ce forum est là pour dénouer des problèmes, si on répond RTFM à ce genre de posts je vois pas à quoi ça sert... Bref, si t'es aigri tu réponds pas pis voilà...
 
De mémoire zawax il y a 2 paramètres pour modifier le MTU
 
ip mtu 1492     par exemple
et
ip tcp adjust-mss 1452
 
dans l'interface elle même
Sachant que la deuxième valeur = 1ère valeur -40
Ensuite tu dois descendre progressivement jusqu'à ce que tu ne rencontres plus de problèmes. Le réglage est à trouver à tâtons, dépendant de la liaison


Message édité par CK Ze CaRiBoO le 10-09-2008 à 11:30:48

---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 10-09-2008 à 11:33:22    

Merci pour cette réponse.
 
Ces deux paramètres doivent etre appliquer sur quelle interface?  
 
Sur paris je suppose que je l'applique à la F0/0 mais sur mes sites distants? Sur le dialer? sur l' ATM?

Reply

Marsh Posté le 10-09-2008 à 11:34:38    

Sur l'interface dialer (enfin celle qui part vers ton vpn)


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 10-09-2008 à 11:40:20    

oui, mais la question est abusée aussi:
je sais pas comment faire, j'y connais rien, alors comme j'ai pas envie de payer un vrai support, je vous poste un  
'sh tech' (remarque, il connait pas la commande, parce que sinon, on y aurait eu droit)
il a le droit d'esayer quand meme un peu.

Reply

Marsh Posté le 10-09-2008 à 12:04:44    

Disons qu'il a quand même réussi à faire marcher son VPN tout seul à l'exception d'un problème de MTU ce qui est complètement différent de quelqu'un qui n'y connait rien.
De plus les soucis de MTU sont quelque chose de récurrent qui ne vont pas de soi lorsque rencontrés pour la première fois. Pour arrêter le HS, je répète que si tu ne désires pas répondre c'est ton droit mais épargne nous tes remarques acides... Il faut bien commencer un jour !


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 10-09-2008 à 17:25:43    

Pour connaitre la bonne valeur de MTU, fais des pings avec le bit DF à 1 en faisant varier le MTU. Pour information, la fragmentation peut amener TCP à freezer. Tu peux donc aussi essayer de mettre à jour les postes et les serveurs, des fois que ça mette à jour la version de TCP.
 
Pour analyser les causes réelles du problème de performances, le mieux est de coller un sniffer sur les LAN.
 
En ce qui concerne le petit débat, c'est vrai que c'est gonflant de voir des gens qui croient qu'on va leur donner des cours. --> RTFM et reviens avec des questions. Mais là, je trouve que le sujet était bien cadré, surtout pour un débutant et sachant qu'IPsec est plutôt complexe.

Reply

Marsh Posté le 10-09-2008 à 17:25:43   

Reply

Marsh Posté le 10-09-2008 à 18:31:36    

conclusion de mes différents test de la journée.
 
Sur mon router à paris la modification des MTU  avec ces 2 commandes ne semble pas modifié la taille des paquets envoyés alors que sur mon router distant la modification de la MTU entraine une changement de la taille du paquet que l'on peut envoyer .
 
Je fais mes test avec la commande "ping" en modifiant la taille du pacquet envoyé afin de determiné et de synchro la taille MTU des 2 cotés.  
Comme je vous le disais ce qui est étonnant c'est que sur paris quoi que je mette au niveau de mon interface vpn dans "Ip mtu... et ip tcp adjust..." je pourrais envoyer des pings de 1472 ( pas plus.) vers mon réseau à Aix. Bizarement lorsque je fais la meme manipulation sur mon router à aix les modifications affectent la taille des paquets envoyé exemple si je met le mtu à 1340 et le tcp adjust à 1300 je ne pourrais pas envoyer un ping supérieur à 1255 ( Soit une difference de 85 avec la taille mtu autorisée.). Le soucis c'est que le maximum que je puisse atteindre avec le routeur à AIX c'est des paquets de 1415 alors que sur paris ils sont bloqués à 1472, donc forcément ca ne match pas...
 
J'ai donc tout de suite pensée que je n'appliquais pas ces commandes sur la bonne interface (Puisque rien ne change) j'ai donc essayé avec l'ensemble des autres interfaces rien ne change.
J'ai vu qu'il etait possible d'éxecuter la commande sans forcément etre en configuration d'interface.
A quoi sert donc cette commande ip MTU xxx si elle n'est pas appliquée sur une interface? Cela signifierait t-il que cette restriction est appliquée à l'ensemble des interfaces?
Quelqu'un aurait une autre piste à explorer afin que je puisse modifier les MTU sur mon router de paris?

Reply

Marsh Posté le 24-09-2008 à 17:17:58    

bonjour
 
j'ai deja eu des problemes de MTU, 1500 est le defaut sur un lan et 1472 est parfois le maxi qui est accepté pour des paquets sur l'adsl
la mecanique TCP est censée reguler cela de facon dynamique et donc on ne se preoccupe pas de tout ca la plupart du temps
tu doit utiliser sans doute des liens xdsl au travers d'un modem donné par ton operateur
et c'est plutot la qu il faudrait regarder car dans ton cas, c est du VPN IPsec et ca change un peu la donne
 
si tu mettais tes routeurs face a face tout marcherais sans doute tres bien
nous avons du VPN entre ici, paris et Bruxelles ( 1841, 2800 et 3800 ) sans aucun soucis, c est des SDSL Colt et une ADSL Orange Pro
 
le parametre  
crypto ipsec df-bit clear
permet de jouer sur la framentation au niveau d'IPSec c est peut etre a ce niveau que cela coince
bon courage

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed