RN3DCX Posted August 30, 2017 (edited) Бывает же фантастика. Через маршрутизатор не открываются некоторые сайты: speedtest.net, microsoft.com, гугл почта и еще парочка менее известных сайтов. Если подключиться на прямую минуя маршрутизатор, то всё ок.... Инфа с компа находящегося за маршрутизатором: C:\Users>nslookup speedtest.net ╤хЁтхЁ: UnKnown Address: 10.168.100.254 Не заслуживающий доверия ответ: ╚ь : speedtest.net Addresses: 2a04:4e42::230 2a04:4e42:200::230 2a04:4e42:400::230 2a04:4e42:600::230 151.101.128.230 151.101.0.230 151.101.192.230 151.101.64.230 C:\User>tracert speedtest.net Трассировка маршрута к speedtest.net [151.101.128.230] с максимальным числом прыжков 30: 1 1 ms <1 мс <1 мс 10.168.100.254 2 1 ms 1 ms 1 ms 89.169.0.1 3 3 ms 3 ms 4 ms 194.85.144.49 4 40 ms 40 ms 40 ms mx01.Amsterdam.gldn.net [79.104.225.60] 5 41 ms 40 ms 41 ms 80.249.212.183 6 * * * Превышен интервал ожидания для запроса. 7 41 ms 41 ms 40 ms speedtest.net [151.101.128.230] Конфиг циски: Спойлер sh run Building configuration... Current configuration : 3585 bytes ! ! Last configuration change at 14:44:09 MSK Wed Aug 30 2017 version 15.1 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname Polyanka_14_Stock ! boot-start-marker boot-end-marker ! ! ! card type command needed for slot/vwic-slot 0/1 ! aaa new-model ! ! aaa authentication login default local ! ! ! ! ! aaa session-id common ! clock timezone MSK 3 0 clock calendar-valid ! dot11 syslog ip source-route ! ! ip cef ! ip dhcp excluded-address 10.168.100.200 10.168.100.254 ip dhcp excluded-address 10.168.100.1 10.168.100.20 ! ip dhcp pool DHCP_POOL import all network 10.168.100.0 255.255.255.0 domain-name Polyanka_14_Stock.local default-router 10.168.100.254 dns-server 10.168.100.254 lease 7 ! ! ip domain name Polyanka_14_Stock.local no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! voice-card 0 ! crypto pki token default removal timeout 0 ! ! ! ! ! redundancy ! ! ip tcp timestamp ip ssh version 2 ! ! crypto isakmp policy 1 authentication pre-share crypto isakmp key 12R3D45S address 213.141.135.178 ! ! crypto ipsec transform-set IPsec_Authentication ah-sha-hmac mode transport ! crypto ipsec profile DMVPN set transform-set IPsec_Authentication ! ! ! ! ! ! ! interface Tunnel1 ip address 10.255.255.2 255.255.255.0 no ip redirects ip nhrp map 10.255.255.1 213.141.135.178 ip nhrp map multicast 213.141.135.178 ip nhrp network-id 1 ip nhrp nhs 10.255.255.1 ip nhrp registration no-unique ip tcp adjust-mss 1360 ip ospf network broadcast ip ospf priority 0 tunnel source Dialer1 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ntp disable pppoe enable group global pppoe-client dial-pool-number 1 ! interface GigabitEthernet0/1 ip address 10.168.100.254 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/0/0 no ip address ! interface FastEthernet0/0/1 no ip address ! interface FastEthernet0/0/2 no ip address ! interface FastEthernet0/0/3 no ip address ! interface Vlan1 no ip address ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp authentication chap pap callin ppp eap refuse ppp chap hostname 357743 ppp chap password 7 055A575C73181751 ppp pap sent-username 357743 password 7 0257550859525679 ppp ipcp dns request ! router ospf 1 router-id 10.255.255.2 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 10.168.100.0 0.0.0.255 area 0 ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip dns server ip nat inside source list 10 interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 ! access-list 10 permit 10.168.100.0 0.0.0.255 ! ! ! ! ! ! ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! ! line con 0 exec-timeout 60 0 logging synchronous line aux 0 no exec transport output none line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh ! scheduler allocate 20000 1000 ntp server 195.3.254.2 source Dialer1 ntp server 192.36.143.130 source Dialer1 ntp server 185.22.60.71 source Dialer1 end Edited August 30, 2017 by RN3DCX Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted August 30, 2017 MTU? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 30, 2017 interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp authentication chap pap callin ppp eap refuse ppp chap hostname 357743 ppp chap password 7 055A575C73181751 ppp pap sent-username 357743 password 7 0257550859525679 ppp ipcp dns request куда уж больше, чем 1492 ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted August 30, 2017 1492→1480 1480→1460 попробуйте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted August 30, 2017 Как то баловался с CCP с 871-ой(вроде) - pppoe через adsl: interface FastEthernet4 description ADSL$ETH-WAN$ no ip address no ip redirects no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 description HomeLAN$FW_INSIDE$ ip address 192.168.1.254 255.255.255.0 ip mask-reply ip nbar protocol-discovery ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone ip route-cache flow ip tcp adjust-mss 1412 ! interface Dialer0 description $FW_OUTSIDE$ bandwidth 1200 bandwidth receive 8000 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip nbar protocol-discovery ip flow ingress ip nat outside ip virtual-reassembly zone-member security out-zone encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 ppp authentication pap callin ppp pap sent-username username password 7 pass service-policy output CCP-QoS-Policy-1 ! Работало нормально. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 30, 2017 Да. действительно дело оказалось в MTU C:\User>ping speedtest.net -f -l 1425 Обмен пакетами с yandex.ru [77.88.55.66] с 1425 байтами данных: Ответ от 10.168.100.254: Требуется фрагментация пакета, но установлен запрещающ ий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Статистика Ping для 77.88.55.66: Пакетов: отправлено = 4, получено = 1, потеряно = 3 (75% потерь) C:\Users>ping speedtest.net -f -l 1424 Обмен пакетами с speedtest.net [151.101.128.230] с 1424 байтами данных: Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Нубовский вопрос!? Вроде на циске можно включить фрагментацию пакетов? Стоит ли оно того? или лучше ограничиться изменением MTU на интерфейсе? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted August 30, 2017 (edited) дак поставьте 1452. 1428+28=1452 ip tcp adjust-mss 1412 наверно достаточно на Dialer1 повесить. Edited August 30, 2017 by NikAlexAn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted August 30, 2017 50 минут назад, RN3DCX сказал: C:\Users>nslookup speedtest.net ╤хЁтхЁ: UnKnown Интересно, в какой версии винды поправят CP866 в строке Сервер в nslookup? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 30, 2017 Поменял MTU на 1424 interface Dialer1 ip address negotiated ip mtu 1424 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp authentication chap pap callin ppp eap refuse ppp chap hostname 357743 ppp chap password 7 055A575C73181751 ppp pap sent-username 357743 password 7 0257550859525679 ppp ipcp dns request И даже на всякий пожарный перезагрузил циску. Но к моему удивлению после перезагрузки счастья не случилось, сайты по прежнему не открываются. Вообщем лыжи встали.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diman_xxxx Posted August 30, 2017 есть похожая ситуевина, на аср два одинаковых интерфейса с белыими ип, на "старых ип" все работает, а на "новых" некторые сайты не открываются, причем только у единиц пользлвателей, меняя ип на старый, проблема уходит,... поиграюсь с мту конечно, но не похоже ведь???? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 30, 2017 В моём случае оказалось, что дело было не в бабине. ip tcp adjust-mss 1412 на интерфейсе смотрящем в локалку с решил данную проблему. За сем, благодарю NikAlexAn и saaremaa. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
