Nessero

Спасибо за совет. Закинул и туда тоже.

Всем доброго времени суток коллеги ! Настроил на 2911 2 ezvpn подключения. Первая фаза отрабатывает хорошо у обоих, впн поднимается. Но во втором случае нет доступа внутрь сети. Конфиг во вложении. По моим предположениям проблема в нате портов внутрь с фильтрацией через acl. Потому что при permit ip src dst работает, а при попытке фильтровать по портам уже нет. Прошу помочь понять что я не так настроил. Полный конфиг впна во вложении. ACL ``` ip access-list extended buh-admin-access permit tcp host 192.168.170.5 10.10.13.8 0.0.0.7 eq 139 445 domain permit udp host 192.168.170.5 10.10.13.8 0.0.0.7 eq domain permit tcp host 192.168.170.6 10.10.13.8 0.0.0.7 eq 139 445 1433 3389 permit tcp host 192.168.170.6 10.10.13.8 0.0.0.7 range 1540 1591 permit tcp host 192.168.170.11 10.10.13.8 0.0.0.7 eq domain 135 137 138 139 445 389 636 3268 permit tcp host 192.168.170.11 10.10.13.8 0.0.0.7 eq 3269 88 1512 42 permit udp host 192.168.170.11 10.10.13.8 0.0.0.7 eq 135 netbios-ns netbios-dgm 445 389 88 domain 1512 nameserver ``` VPN.txt

Да, добавил ip adjust-mss 1452 и заработало. Спасибо !

от прова получаю pppoe

Доброго дня! Заменяю старую cisco 2901 на новую isr 4351. После замены появилась проблема. По http трафик на тестовый хост ходит хорошо а по https частично. Часть пользователей может получить доступ а часть нет. При проверке повисает на фазе ``` * TCP_NODELAY set * Connected to ####тестовый сайт######(###белая айпи####) port 443 (#0) * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1): ``` ОС: ios-xe 16.06.4

Согласно rfc 3046 vlan храниться в Agent Circuit ID Sub-option Это первая опция sub{1}={0006021C01000010} Практичиским путем выяснил что влан тут в 3 и 4 байтах, то есть 21C = 540 vlan. Думаю мои рассуждения верны, но возможно кто то еще задавался подобным вопросом ...

Вот запрос от клиента к серверу на получение ip идет через snr2960, dhcp snooping и прочее включено: Message type: BOOT_REQUEST Dhcp message type: DHCP Inform{8} htype: 1, hlen: 6, hops: 1 xid: -2107340714, secs: 768, flags: -32768 Client IP: x.x.x.x Your IP: 0.0.0.0 Server IP: 0.0.0.0 Relay IP: y.y.y.y Client MAC: {3085A97ABE04} {61}={013085A97ABE04} Host name{12}={ASUS-��} {60}={4D53465420352E30} Parameter request list{55}={1, 15, 3, 6, 44, 46, 47, 31, 33, 121, -7, 43, -4} Agent information{82}= sub{1}={0006021C01000010} sub{2}={F8F08210A428} конфигурация dhcp на коммутаторе: service dhcp ! ip forward-protocol udp bootps ip dhcp relay information option ! ip dhcp snooping enable ip dhcp snooping binding enable ! ip dhcp snooping information enable ip dhcp snooping information option subscriber-id format hex

Присоединюсь, внедрил и пользуюсь. Проблемы были но решались в течении 5 минут и тех. поддержка адекватно работает.