Comportamento strano vpn ipsec

[mgaggia]

Quello che vi chiedo è se vi è mai successa questa cosa e se dipende da cisco o dal systema operativo. Causa lontananza dei server e organizzazione tra troppe persone è un casino fare delle prove e quindi mi piacerebbe poter restringere il campo di ricerca.

Su due cisco vpn 857W uno in italia uno in svizzera, c'è attiva una vpn ipsec. i due router si allineano. Le due reti locali sono su classi di rete differenti.
I server da entrambe le parti sono win2003
Se dal server ITA mappo un disco sul server CH remoto con il classico

net use z: \\ip\nomerisorsa .....

la connessione va su. Anche se faccio l'inverso (da ch a ita) tutto ok.

Posso sfogliare la rete e fare tutto quello che ho l'accesso di fare.

Nel momento in cui copio un file circa sul mega da un sever all'altro, la copia da un errore e il file arrivato è corrotto. L'errore restituito è "path is
too long"

Se da CH copio un file da ITA a CH tutto OK. Se da CH copio un file da CH a ITA esce l'errore. Questa operazione si comporta in questo modo il 100% delle volte sia se si fa dal server CH che da un qualunque client CH tranne da uno. Da un client CH se si copia su ITA o da ITA a quel client CH tutto OK. Sembra che quel pc sia miracolato, altrimenti la copia funziona solo in un senso.

Dai computer ITA non funziona mai la copia verso CH invece l'inverso si.

Sembra che ci siano problemi ad uscire da ITA verso CH a parte da un PC in CH dove funziona tutto..... questo mi ha fatto pensare che le configurazioni dei due cisco sono ok e che il problema stia sulla configurazione di rete, più precisamente sulla scheda di rete del client e che quella del "PC fortunato" abbia qualche settaggio che le altre non hanno. Ho fatto confrontare tutta la configurazione con quella di un pc non funzionante.

Ho trovato questo articolo, ma non vi so dire se gli accessi sono settati correttamente.... ho fatto verificare (i server non sono sotto la mia supervisione)

http://support.microsoft.com/kb/q157069/

Ho fatto provare da un pc non funzionante in ch a connettersi a ita con l'account del pc client funzionante in ch... magari il problema è solo d'accessi sul FS.

Vi è mai successa una cosa simile?
Secondo voi dipende dalla rete locale o dalla configurazione pessima del cisco (per nostra inesperienza chiaramente, non per colpa di cisco)

Grazie

[Wizard]

Fai questo test inizialmente (su entrambi i router):

Codice: Seleziona tutto

int atm0
ip mtu 1500
mtu 1500

int atm0.1
ip mtu 1500
mtu 1500

int dialerX
ip mtu 1500
mtu 1500

interface Vlan X
ip tcp-adjust mms 1452

[mgaggia]

Fai questo test inizialmente (su entrambi i router):

Codice: Seleziona tutto

int atm0
ip mtu 1500
mtu 1500

int atm0.1
ip mtu 1500
mtu 1500

int dialerX
ip mtu 1500
mtu 1500

interface Vlan X
ip tcp-adjust mms 1452

Come già detto di cisco ci capisco poco/niente...
Siccome ho paura di fare qualche casino a mettere mano alla configurazione...
Se lancio questi comandi ricevo solo info (tipo fare il sh run) oppure modifico qualcosa della configurazione? Immagino siano solamente delle modifiche. Possono in qualche modo causare problemi? Cosa servono questi comandi?
Il test lo posso fare su uno e qualche giorno dopo sull'altro o devono essere eseguiti contemporaneamente?

Grazie

[Wizard]

Falli pure, non ci sarà nessuna conseguenza negativa!
Solo una cosa: il cambio del valore di mtu potrebbe fare cadere x 1 secondo la connettività verso internet quindi, magari fai le modifiche o in pausa pranzo oppure alla sera.
In tutti i casi tranquillo, non puoi che migliorare la situazione!
L'ho giàscritto 200 volte ma lo ribadisco: fai un upgrade di ios se puoi perchè la tua è vecchiotta...

[mgaggia]

Falli pure, non ci sarà nessuna conseguenza negativa!
Solo una cosa: il cambio del valore di mtu potrebbe fare cadere x 1 secondo la connettività verso internet quindi, magari fai le modifiche o in pausa pranzo oppure alla sera.
In tutti i casi tranquillo, non puoi che migliorare la situazione!

Perfetto 1000 grazie!

L'ho giàscritto 200 volte ma lo ribadisco: fai un upgrade di ios se puoi perchè la tua è vecchiotta...

come fai a saperlo? sei andato a vedere i vecchi post? kaspita che mostro che sei (in lato positivo chiaramente)
L'aggiornamento del ios se non erro è a pagamento vero? Altrimenti da dove lo posso scaricare? Aggiornando lo ios, la configurazione rimane tutta intatta o deve essere rifatta?

1000 grazie

[mgaggia]

In tutti i casi tranquillo, non puoi che migliorare la situazione!

Allora.... ho potuto aggiornare uno solo dei due router. Aggiornandone uno solo i problemi dai client connessi al router aggiornato copiando da li verso l'altro ci sono ancora. Eccoti la configurazione attuale. Il Dialer 0 non c'era... mmm.. che dipenda da quello?

Current configuration : 4903 bytes
!
! Last configuration change at 12:06:26 CET Tue Nov 27 2007 by pippo
! NVRAM config last updated at 19:41:43 CEST Wed Aug 22 2007 by pippo
!
version 12.4
no service pad
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
service password-encryption
!
hostname Trento
!
boot-start-marker
boot-end-marker
!
logging buffered 5120 informational
enable secret 5 $1$g/yY$nRMVhZyhSN2wqblzwVmgy/
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
!
aaa session-id common
!
resource policy
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
!
!
ip cef
no ip bootp server
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
crypto pki trustpoint TP-self-signed-752872781
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-752872781
revocation-check none
rsakeypair TP-self-signed-752872781
!
!
crypto pki certificate chain TP-self-signed-752872781
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 37353238 37323738 31301E17 0D303230 33303130 30303832
395A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3735 32383732
37383130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
AC9F52DB CE380AC1 7E9F4955 C5DB54F9 5D0C34C0 586E37B5 58BCBF59 14F086C8
CAA7B2E6 3C489452 78627136 F4A6A76F 37EB02E6 E9C5F97B BA60E995 98C69ED3
EA5F2A19 683D3AE6 87340444 A5F0B789 62265159 761BA6EB 84445C32 46161DE5
0A1DA279 FE249388 958389C2 F2862A50 BD1E019C 59F6E501 C9B7AF59 0C75B857
02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D
11040A30 08820652 6F757465 72301F06 03551D23 04183016 801436CA 80438646
A4755B68 F3BB1A3A EAD4E15F FD6F301D 0603551D 0E041604 1436CA80 438646A4
755B68F3 BB1A3AEA D4E15FFD 6F300D06 092A8648 86F70D01 01040500 03818100
720B3096 408FA9A6 11699E64 5F38790E E9626546 FAD9070C 0FDF99B6 6288EA1B
94F0E4A1 F9A05688 348C79AD 58DFF047 3A8BDB67 DEB4DDD3 7F2A3930 42FCCAF0
7DBFFCC7 36F57CA5 357A5B48 A2B87B79 82A65EC2 353FAFFC 4CCCD62E 3886DC79
0F1B0D54 18230A94 5E61938C BD734D19 7EBC374C FF906975 D9952279 4ECAB465
quit
username name password 7 00071A15075459
username pippo privilege 15 secret 5 $1$cMCJ$xVm7CzCkCPT5UBB3o2.hf1
!
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
crypto isakmp key kiave address ip
!
!
crypto ipsec transform-set ts1 esp-aes 256 esp-sha-hmac
!
crypto map 1 10 ipsec-isakmp
set peer ip
set transform-set ts1
match address 105
!
!
!
interface ATM0
description Link to altro router
mtu 1500
bandwidth 128
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
mtu 1500
ip address ip2 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
protocol ip ip3 broadcast
encapsulation aal5snap
!
crypto map 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Vlan1
ip address 192.168.5.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
no ip address
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source route-map NONAT interface ATM0.1 overload
ip nat inside source static tcp 192.168.5.2 1723 ip2 1723 extendable
!
access-list 100 remark NAT
access-list 100 deny ip 192.168.5.0 0.0.0.255 192.168.12.0 0.0.0.255
access-list 100 permit ip 192.168.5.0 0.0.0.255 any
access-list 105 remark VPN IPSEC
access-list 105 permit ip 192.168.5.0 0.0.0.255 192.168.12.0 0.0.0.255
access-list 199 permit udp any any eq isakmp
access-list 199 permit icmp any any
route-map NONAT permit 10
match ip address 100
!
!
control-plane
!
banner motd ^C DISCONNECT WHEN YOU ARE AN AUTHORIZED^C
!
line con 0
password 7 06080622434208
logging synchronous
no modem enable
line aux 0
password 7 130B1E11040005
logging synchronous
line vty 0 4
privilege level 15
password 7 000A1A050B570A
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
sntp server ip4
end

[Wizard]

X la dialer non ti preoccupare, non è quello il problema.
Fai la modifica che ti ho detto anche sul altro router appena puoi.