Problema con un tunnel GRE

[Wizard]

Oggi è il giorno dei problemi...
Ho un tunnel GRE tra un Cisco 2811 (sede centrale) e un Cisco 1841 (sede remota).
Da quanto abbiamo sostituito la WIC 1-T dal router della sede remota (era bruciata) a volte, circa una volta al giorno, si bloccano le sessioni AS400 con il Client Access IBM.
Normalmente il risultato del comando dal router:

ping 192.168.1.3 source fastEthernet 0/0 repeat 10000
è Success rate is 99 percent (9995/10000), round-trip min/avg/max = 16/22/224 ms cioè a posto ma in certi momenti fa così:
Sending 5, 100-byte ICMP Echos to 192.168.2.5, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.254
!.!.!
Success rate is 60 percent (3/5), round-trip min/avg/max = 16/17/20 ms

Se avete qualche suggerimento è molto ben accetto! Entrambi i router hanno la ultima versione di IOS.
Se mi confermate che la configurazione è corretta proverò a sostituire il router nella sede remota
Di seguito le config del tunnel
Grazie mille!

interface Tunnel0 (router centro stella)
description TUNNEL GRE VERSO ***
ip address 192.168.254.5 255.255.255.252
ip mtu 1436
ip tcp adjust-mss 1436
tunnel source 217.58.9.233
tunnel destination 85.45.99.153
tunnel key 8111965
tunnel path-mtu-discovery

interface Tunnel0 (router periferico)
description TUNNEL GRE VERSO ***
ip address 192.168.254.6 255.255.255.252
ip mtu 1437
tunnel source 85.45.99.153
tunnel destination 217.58.9.233
tunnel key 8111965

[Wizard]

Ho dovuto cambiare le impostazioni:
Ora è così:

interface Tunnel0
description TUNNEL GRE VERSO SEDE REMOTA
ip address 192.168.254.5 255.255.255.252
ip mtu 1500
ip tcp adjust-mss 1436
tunnel source 217.58.9.233
tunnel destination 85.45.99.153
tunnel key 8111965
tunnel path-mtu-discovery

interface Tunnel0
description TUNNEL GRE VERSO SEDE CENTRALE
ip address 192.168.254.6 255.255.255.252
ip mtu 1500
tunnel source 85.45.99.153
tunnel destination 217.58.9.233
tunnel key 8111965
tunnel path-mtu-discovery

Con le impostazioni di prima quando pare a lui fa sto scherzo:

ping 192.168.2.5 source fastEthernet 0/0 repeat 10000

Type escape sequence to abort.
Sending 10000, 100-byte ICMP Echos to 192.168.2.5, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.254
!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.
!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!..!.!
.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!
.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!
.!.!.!.!.!.!.!.!..!.!.!.!.!.!.!.!.!..!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

In certi momenti perde un pacchetto su due poi dopo un po' riprende ad andare...
Speriamo che con le nuove impostazioni non lo faccia più anche se non sono troppo fiducioso...
Se avete consigli sono molto ben accetti!
Grazie

[MaiO]

Il ping verso altre destinazioni va bene o te lo fa solo nel caso i pachetti passino per il tunnel?

Ciao

[Wizard]

Purtroppo me lo fa solo verso IP che passano dal tunnel...
Ora la configurazione è così e sembra abbastanza stabile:

interface Tunnel0
description TUNNEL GRE VERSO SEDE CENTRALE
ip address 192.168.254.6 255.255.255.252
ip mtu 1500
ip tcp adjust-mss 1436
tunnel source 85.45.99.153
tunnel destination 217.58.9.233
tunnel key 8111965
tunnel path-mtu-discovery
end

interface Tunnel0
description TUNNEL GRE VERSO GLOBAL SEDE REMOTA
ip address 192.168.254.5 255.255.255.252
ip mtu 1500
ip tcp adjust-mss 1436
tunnel source 217.58.9.233
tunnel destination 85.45.99.153
tunnel key 8111965
tunnel path-mtu-discovery
end

Che ne dite?

[MaiO]

Ehh io lo fatto una volta soltanto un discorso del genere (ero costretto a farlo) (e mi riccordo che c'era pochi parametri:

interface Tunnel0
description Tunnel vs Santa Lucia
ip address 10.1.1.2 255.255.255.252
tunnel source ATM0.1
tunnel destination 82.34.15.1

(ancora funzionano )


Ma una VPN no???

[djdylan78]

Ma una VPN no???

In teoria GRE fa parte delle VPN...

[robyf70]

Io ho la stessa configurazione ma con due 2610.
Tutto funziona alla perfezione eccetto che se da una sede
remota accedo ad un server linux via telnet da due macchine win98se,
la sessione non prosegue. Mentre un'altra macchina con un client DOS ... si proprio DOS tutto funzione perfettamente.
Il tcpdump lato server mostra questo:

17:37:24.764971 IP (tos 0x0, ttl 126, id 43777, offset 0, flags [DF], proto 6, length: 40) 192.168.1.100.1028 > 192.168.0.100.telnet: F [tcp sum ok] 14935088:14935088(0) ack 2855187200 win 8389
17:37:24.765041 IP (tos 0x0, ttl 64, id 226, offset 0, flags [DF], proto 6, length: 40) 192.168.0.100.telnet > 192.168.1.100.1028: R [tcp sum ok] 2855187200:2855187200(0) win 0
17:37:27.602179 IP (tos 0x0, ttl 126, id 44033, offset 0, flags [DF], proto 6, length: 48) 192.168.1.100.1029 > 192.168.0.100.telnet: S [tcp sum ok] 16517552:16517552(0) win 8192 <mss 1436,nop,nop,sackOK>
17:37:27.602237 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto 6, length: 48) 192.168.0.100.telnet > 192.168.1.100.1029: S [tcp sum ok] 241123287:241123287(0) ack 16517553 win 5840 <mss 1460,nop,nop,sackOK>
17:37:27.733991 IP (tos 0x0, ttl 126, id 44289, offset 0, flags [DF], proto 6, length: 40) 192.168.1.100.1029 > 192.168.0.100.telnet: . [tcp sum ok] ack 1 win 8616
17:37:27.737936 IP (tos 0x10, ttl 64, id 26444, offset 0, flags [DF], proto 6, length: 52) 192.168.0.100.telnet > 192.168.1.100.1029: P [tcp sum ok] 1:13(12) ack 1 win 5840 [telnet DO TERMINAL TYPE, DO TSPEED, DO XDISPLOC, DO NEW-ENVIRON]
17:37:27.744256 IP (tos 0x0, ttl 126, id 44545, offset 0, flags [DF], proto 6, length: 61) 192.168.1.100.1029 > 192.168.0.100.telnet: P [tcp sum ok] 1:22(21) ack 1 win 8616 [telnet WILL NAWS, WILL TSPEED, WILL TERMINAL TYPE, WILL NEW-ENVIRON, DO ECHO, WILL SUPPRESS GO AHEAD, DO SUPPRESS GO AHEAD]
17:37:27.744448 IP (tos 0x10, ttl 64, id 26446, offset 0, flags [DF], proto 6, length: 40) 192.168.0.100.telnet > 192.168.1.100.1029: . [tcp sum ok] ack 22 win 5840

la sessione sembra instaurata correttamente ma poco dopo ecco che
si blocca tutto:

17:37:40.072212 IP (tos 0x10, ttl 64, id 26518, offset 0, flags [DF], proto 6, length: 42) 192.168.0.100.telnet > 192.168.1.100.1029: P [tcp sum ok] 192:194(2) ack 108 win 5840
17:37:40.380255 IP (tos 0x0, ttl 126, id 55041, offset 0, flags [DF], proto 6, length: 40) 192.168.1.100.1029 > 192.168.0.100.telnet: . [tcp sum ok] ack 194 win 8423
17:37:40.380308 IP (tos 0x10, ttl 64, id 26520, offset 0, flags [DF], proto 6, length: 85) 192.168.0.100.telnet > 192.168.1.100.1029: P 194:239(45) ack 108 win 5840
17:37:40.686101 IP (tos 0x0, ttl 126, id 55297, offset 0, flags [DF], proto 6, length: 40) 192.168.1.100.1029 > 192.168.0.100.telnet: . [tcp sum ok] ack 239 win 8378
17:37:41.375672 IP (tos 0x10, ttl 64, id 26522, offset 0, flags [DF], proto 6, length: 66) 192.168.0.100.telnet > 192.168.1.100.1029: P [tcp sum ok] 239:265(26) ack 108 win 5840
17:37:41.386907 IP (tos 0x10, ttl 64, id 26524, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840
17:37:41.569831 IP (tos 0x0, ttl 126, id 55553, offset 0, flags [DF], proto 6, length: 40) 192.168.1.100.1029 > 192.168.0.100.telnet: . [tcp sum ok] ack 265 win 8352
17:37:41.569876 IP (tos 0x10, ttl 64, id 26526, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 1701:3137(1436) ack 108 win 5840
17:37:41.569885 IP (tos 0x10, ttl 64, id 26528, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 3137:4573(1436) ack 108 win 5840
17:37:42.036350 IP (tos 0x10, ttl 64, id 26530, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840
17:37:42.970265 IP (tos 0x10, ttl 64, id 26532, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840
17:37:44.838122 IP (tos 0x10, ttl 64, id 26534, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840
17:37:48.573812 IP (tos 0x10, ttl 64, id 26536, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840
17:37:56.045153 IP (tos 0x10, ttl 64, id 26538, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840
17:38:10.987909 IP (tos 0x10, ttl 64, id 26540, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840

La configurazione dei 2610 è la seguente:

interface Tunnel0
description Tunnel verso il Centro
bandwidth 1544
ip address 192.168.254.1 255.255.255.252
tunnel source Serial0/0.1
tunnel destination x.x.x.x
tunnel key 45678192
tunnel checksum
!

interface Tunnel0
description Tunnel verso la Sede1
bandwidth 1544
ip address 192.168.254.2 255.255.255.252
tunnel source Serial0/0.1
tunnel destination y.y.y.y
tunnel key 45678192
tunnel checksum

Ho provato diverse cose da qui:

http://www.cisco.com/warp/public/105/56.html
http://www.cisco.com/en/US/tech/tk827/t ... 6979.shtml

ma nulla! Qualche idea su come risolverlo?

[robyf70]

Io ho la stessa configurazione ma con due 2610.
Tutto funziona alla perfezione eccetto che se da una sede
remota accedo ad un server linux via telnet da due macchine win98se,
la sessione non prosegue. Mentre un'altra macchina con un client DOS ... si proprio DOS tutto funzione perfettamente.
Il tcpdump lato server mostra questo:

17:37:24.764971 IP (tos 0x0, ttl 126, id 43777, offset 0, flags [DF], proto 6, length: 40) 192.168.1.100.1028 > 192.168.0.100.telnet: F [tcp sum ok] 14935088:14935088(0) ack 2855187200 win 8389
[...]
17:37:56.045153 IP (tos 0x10, ttl 64, id 26538, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840
17:38:10.987909 IP (tos 0x10, ttl 64, id 26540, offset 0, flags [DF], proto 6, length: 1476) 192.168.0.100.telnet > 192.168.1.100.1029: . 265:1701(1436) ack 108 win 5840

La configurazione dei 2610 è la seguente:

interface Tunnel0
description Tunnel verso il Centro
bandwidth 1544
ip address 192.168.254.1 255.255.255.252
tunnel source Serial0/0.1
tunnel destination x.x.x.x
tunnel key 45678192
tunnel checksum
!

interface Tunnel0
description Tunnel verso la Sede1
bandwidth 1544
ip address 192.168.254.2 255.255.255.252
tunnel source Serial0/0.1
tunnel destination y.y.y.y
tunnel key 45678192
tunnel checksum

Ho provato diverse cose da qui:

http://www.cisco.com/warp/public/105/56.html
http://www.cisco.com/en/US/tech/tk827/t ... 6979.shtml

ma nulla! Qualche idea su come risolverlo?

Ok! Ho trovato la soluzione, praticamente sia con il GRE che anche con IPSEC basta impostare "ip tcp adjust-mss 1400" o comunque un valore di mss che sia soddisfacente alle vostre esigenze sull'interfaccia ethernet che tutto dovrebbe andare a posto.

[Wizard]

Ci avevo provato anche io ma alla fine il problema nel mio caso era la linea hdsl

[robyf70]

Ci avevo provato anche io ma alla fine il problema nel mio caso era la linea hdsl

Intendi che non funzionava bene?

[Wizard]

Funzionava ma si scollegavano le sessioni as400...
Se hai la line ok non avrai problemi