sto avendo il seguente problema su una VPN site to site: facendo controlli con icmp il tunnel non perde un pacchetto ma sembra che, a momenti alterni, le connessioni TCP vadano in timeout (questo sempre senza che rilevi alcun errore sulle varie interfacce coinvolte nella VPN né senza rilevare alcuna perdita di pacchetti). Ho provato anche facendo ping con paccheti > 1500 bytes ma il risultato è lo stesso (perdita pacchetti un po' più alta ma sotto lo 0,1 per mille...)
Sopra al tunnel ipsec tra i due pix c'è un tunnel GRE (non criptato) tra due Cisco 2600, ovvero
Codice: Seleziona tutto
Cisco 2600 ----- PIX515 ==== PSEC ===== PIX515 ------- Cisco 2600
| |
------------------ Tunnel GRE -------------------
Tunnel 0 10.254.1.1 Tunnel0 10.254.1.2
Ho provato a far scendere l'mtu delle due interfacce tunnel a 1400 per tenere conto oltre che dell'incapsulamento GRE anche dell'incapsulamento IPSEC del pix (ESP ecc.) ma il problema non cambia. Poi è possibile che un problema di frammentazione possa causare un problema come questo? a quello che ne so la comunicazione o dovrebbe avvenire o non dovrebbe avvenire per MTU sbagliati, ICMP bloccato e cose simili... no?
Insomma, tutto quello che avviene è che ogni tanto (non spessissimo ma con una frequenza che rende difficile il lavoro) le connessioni TCP vanno in timeout.
veramente non so cosa pensare, avete suggerimenti?