problema tunnel GRE + IPSEC + tunnel GRE e PMTU (probabile c

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
lemon
n00b
Messaggi: 4
Iscritto il: sab 25 giu , 2005 10:05 am

Salve a tutti,

scusate la ripetizione ma forse più sotto non mi sono spiegato bene...

sto avendo il seguente problema su una VPN site to site: facendo controlli con icmp il tunnel non perde un pacchetto ma sembra che, a momenti alterni, le connessioni TCP vadano in timeout (questo sempre senza che rilevi alcun errore sulle varie interfacce coinvolte nella VPN né senza rilevare alcuna perdita di pacchetti). Ho provato anche facendo ping con paccheti > 1500 bytes ma il risultato è lo stesso (perdita pacchetti un po' più alta ma sotto lo 0,1 per mille...)

Sopra al tunnel ipsec tra i due pix c'è un tunnel GRE (non criptato) tra due Cisco 2600, ovvero

Codice: Seleziona tutto

 Cisco 2600 ----- PIX515 ==== IPSEC ===== PIX515 ------- Cisco 2600
        |                                                  |
          ------------------ Tunnel GRE -------------------
Tunnel 0 10.254.1.1                                  Tunnel0 10.254.1.2

In realtà (tralasciato per diffocoltà di rappresentazione) tra i due pix ci sono altri due Cisco 2600 che incapsulano il traffico in un ulteriore tunnel GRE.

Sulle due interfacce tunnel "esterne" è attivo un processo EIGRP che sembra funzionare perfettamente (la soluzione sembra aver funzionato bene per mesi).

Lo so è complicato (perlomeno l'ultimo tunnel GRE si potrebbe risparmiare) ma fa funzionato per mesi senza problemi. Poi ultimamente questi problemi di timout nelle connessioni TCP.

Uno dei primi indiziati è stato il PMTU Discovery e i segmenti TCP / pacchetti IP che cercano di scoprire l'MTU massimo mandando pacchetti con il DF settato e aspettando l'ICMP unreacheble and DF set di ritorno nel caso la dimensione non vada bene.

Solo che: mi sembra che icmp passi tra tutte le interfacce tra cui questo dovrebbe avvenire:
1) le interfacce dei pix raggiungono con icmp i rispettivi endpoint dei tunnel
2) tutta la rete raggiunge gli IP delle interfacce tunnel
3) tutta la rete raggiunge gli IP dei router coinvolti
4) i router esterni (quelli non raffigurati) raggiungono tramite icmp le interfacce del pix
(non mi sembra ci sia altro no?)



Ho provato a far scendere l'mtu delle due interfacce tunnel esterne (e anche le ethernet...) fino a 1200 bytes per tagliare la testa al toro e tenere conto oltre che dell'incapsulamento GRE anche dell'incapsulamento IPSEC del pix (ESP ecc.) e dell'ulteriore incapsulamento GRE ma il problema non cambia.

Facendo del debug ogni tanto vedo degli apparati che tentano comunque di mandare del pacchetti di 1500, a volte ricevono dei messaggi ICMP che chiedono la frammentazione, a volte no, comunque mi sembra che non frammentino mai...

qualche suggerimento?
Top
Rispondi

Torna a “VPN”