problema VPN pix + Tunnel GRE (timeout connessioni TCP)

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
lemon
n00b
Messaggi: 4
Iscritto il: sab 25 giu , 2005 10:05 am

Salve a tutti,

sto avendo il seguente problema su una VPN site to site: facendo controlli con icmp il tunnel non perde un pacchetto ma sembra che, a momenti alterni, le connessioni TCP vadano in timeout (questo sempre senza che rilevi alcun errore sulle varie interfacce coinvolte nella VPN né senza rilevare alcuna perdita di pacchetti). Ho provato anche facendo ping con paccheti > 1500 bytes ma il risultato è lo stesso (perdita pacchetti un po' più alta ma sotto lo 0,1 per mille...)

Sopra al tunnel ipsec tra i due pix c'è un tunnel GRE (non criptato) tra due Cisco 2600, ovvero

Codice: Seleziona tutto

 Cisco 2600 ----- PIX515 ==== PSEC ===== PIX515 ------- Cisco 2600
        |                                                  |
          ------------------ Tunnel GRE -------------------
Tunnel 0 10.254.1.1                                             Tunnel0 10.254.1.2
Sulle due interfacce tunnel è attivo un processo EIGRP che sembra funzionare perfettamente (la soluzione sembra aver funzionato bene per mesi).

Ho provato a far scendere l'mtu delle due interfacce tunnel a 1400 per tenere conto oltre che dell'incapsulamento GRE anche dell'incapsulamento IPSEC del pix (ESP ecc.) ma il problema non cambia. Poi è possibile che un problema di frammentazione possa causare un problema come questo? a quello che ne so la comunicazione o dovrebbe avvenire o non dovrebbe avvenire per MTU sbagliati, ICMP bloccato e cose simili... no?


Insomma, tutto quello che avviene è che ogni tanto (non spessissimo ma con una frequenza che rende difficile il lavoro) le connessioni TCP vanno in timeout.

veramente non so cosa pensare, avete suggerimenti?
luca
n00b
Messaggi: 7
Iscritto il: lun 27 giu , 2005 11:33 pm

Ciao,

so che è una risposta alquanto banale, ma io avevo un problema analogo al tuo (su un tunnel gre over ipsec) e ho rispolto semplicemente mettendo un keepalive sul tunnel gre.
lemon
n00b
Messaggi: 4
Iscritto il: sab 25 giu , 2005 10:05 am

prutroppo le versioni ios che ho sui router non supportano il comando keepalive.

Del resto non credo sia quello il problema. Al limite mi sembra che possa essere un problema di PMTU.
luca
n00b
Messaggi: 7
Iscritto il: lun 27 giu , 2005 11:33 pm

Hai provato a togliere il flag DF dai pacchetti in transito nel tunnel?

Se è un problema di MTU dovresti risolvere.
Rispondi