RN3DCX Опубликовано 30 августа, 2017 (изменено) · Жалоба Бывает же фантастика. Через маршрутизатор не открываются некоторые сайты: speedtest.net, microsoft.com, гугл почта и еще парочка менее известных сайтов. Если подключиться на прямую минуя маршрутизатор, то всё ок.... Инфа с компа находящегося за маршрутизатором: C:\Users>nslookup speedtest.net ╤хЁтхЁ: UnKnown Address: 10.168.100.254 Не заслуживающий доверия ответ: ╚ь : speedtest.net Addresses: 2a04:4e42::230 2a04:4e42:200::230 2a04:4e42:400::230 2a04:4e42:600::230 151.101.128.230 151.101.0.230 151.101.192.230 151.101.64.230 C:\User>tracert speedtest.net Трассировка маршрута к speedtest.net [151.101.128.230] с максимальным числом прыжков 30: 1 1 ms <1 мс <1 мс 10.168.100.254 2 1 ms 1 ms 1 ms 89.169.0.1 3 3 ms 3 ms 4 ms 194.85.144.49 4 40 ms 40 ms 40 ms mx01.Amsterdam.gldn.net [79.104.225.60] 5 41 ms 40 ms 41 ms 80.249.212.183 6 * * * Превышен интервал ожидания для запроса. 7 41 ms 41 ms 40 ms speedtest.net [151.101.128.230] Конфиг циски: Спойлер sh run Building configuration... Current configuration : 3585 bytes ! ! Last configuration change at 14:44:09 MSK Wed Aug 30 2017 version 15.1 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname Polyanka_14_Stock ! boot-start-marker boot-end-marker ! ! ! card type command needed for slot/vwic-slot 0/1 ! aaa new-model ! ! aaa authentication login default local ! ! ! ! ! aaa session-id common ! clock timezone MSK 3 0 clock calendar-valid ! dot11 syslog ip source-route ! ! ip cef ! ip dhcp excluded-address 10.168.100.200 10.168.100.254 ip dhcp excluded-address 10.168.100.1 10.168.100.20 ! ip dhcp pool DHCP_POOL import all network 10.168.100.0 255.255.255.0 domain-name Polyanka_14_Stock.local default-router 10.168.100.254 dns-server 10.168.100.254 lease 7 ! ! ip domain name Polyanka_14_Stock.local no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! voice-card 0 ! crypto pki token default removal timeout 0 ! ! ! ! ! redundancy ! ! ip tcp timestamp ip ssh version 2 ! ! crypto isakmp policy 1 authentication pre-share crypto isakmp key 12R3D45S address 213.141.135.178 ! ! crypto ipsec transform-set IPsec_Authentication ah-sha-hmac mode transport ! crypto ipsec profile DMVPN set transform-set IPsec_Authentication ! ! ! ! ! ! ! interface Tunnel1 ip address 10.255.255.2 255.255.255.0 no ip redirects ip nhrp map 10.255.255.1 213.141.135.178 ip nhrp map multicast 213.141.135.178 ip nhrp network-id 1 ip nhrp nhs 10.255.255.1 ip nhrp registration no-unique ip tcp adjust-mss 1360 ip ospf network broadcast ip ospf priority 0 tunnel source Dialer1 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ntp disable pppoe enable group global pppoe-client dial-pool-number 1 ! interface GigabitEthernet0/1 ip address 10.168.100.254 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/0/0 no ip address ! interface FastEthernet0/0/1 no ip address ! interface FastEthernet0/0/2 no ip address ! interface FastEthernet0/0/3 no ip address ! interface Vlan1 no ip address ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp authentication chap pap callin ppp eap refuse ppp chap hostname 357743 ppp chap password 7 055A575C73181751 ppp pap sent-username 357743 password 7 0257550859525679 ppp ipcp dns request ! router ospf 1 router-id 10.255.255.2 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 10.168.100.0 0.0.0.255 area 0 ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip dns server ip nat inside source list 10 interface Dialer1 overload ip route 0.0.0.0 0.0.0.0 Dialer1 ! access-list 10 permit 10.168.100.0 0.0.0.255 ! ! ! ! ! ! ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! ! line con 0 exec-timeout 60 0 logging synchronous line aux 0 no exec transport output none line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh ! scheduler allocate 20000 1000 ntp server 195.3.254.2 source Dialer1 ntp server 192.36.143.130 source Dialer1 ntp server 185.22.60.71 source Dialer1 end Изменено 30 августа, 2017 пользователем RN3DCX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 30 августа, 2017 · Жалоба MTU? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 30 августа, 2017 · Жалоба interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp authentication chap pap callin ppp eap refuse ppp chap hostname 357743 ppp chap password 7 055A575C73181751 ppp pap sent-username 357743 password 7 0257550859525679 ppp ipcp dns request куда уж больше, чем 1492 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 30 августа, 2017 · Жалоба 1492→1480 1480→1460 попробуйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 30 августа, 2017 · Жалоба Как то баловался с CCP с 871-ой(вроде) - pppoe через adsl: interface FastEthernet4 description ADSL$ETH-WAN$ no ip address no ip redirects no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 description HomeLAN$FW_INSIDE$ ip address 192.168.1.254 255.255.255.0 ip mask-reply ip nbar protocol-discovery ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone ip route-cache flow ip tcp adjust-mss 1412 ! interface Dialer0 description $FW_OUTSIDE$ bandwidth 1200 bandwidth receive 8000 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip nbar protocol-discovery ip flow ingress ip nat outside ip virtual-reassembly zone-member security out-zone encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 ppp authentication pap callin ppp pap sent-username username password 7 pass service-policy output CCP-QoS-Policy-1 ! Работало нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 30 августа, 2017 · Жалоба Да. действительно дело оказалось в MTU C:\User>ping speedtest.net -f -l 1425 Обмен пакетами с yandex.ru [77.88.55.66] с 1425 байтами данных: Ответ от 10.168.100.254: Требуется фрагментация пакета, но установлен запрещающ ий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Статистика Ping для 77.88.55.66: Пакетов: отправлено = 4, получено = 1, потеряно = 3 (75% потерь) C:\Users>ping speedtest.net -f -l 1424 Обмен пакетами с speedtest.net [151.101.128.230] с 1424 байтами данных: Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Ответ от 151.101.128.230: число байт=1424 время=42мс TTL=59 Нубовский вопрос!? Вроде на циске можно включить фрагментацию пакетов? Стоит ли оно того? или лучше ограничиться изменением MTU на интерфейсе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 30 августа, 2017 (изменено) · Жалоба дак поставьте 1452. 1428+28=1452 ip tcp adjust-mss 1412 наверно достаточно на Dialer1 повесить. Изменено 30 августа, 2017 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 30 августа, 2017 · Жалоба 50 минут назад, RN3DCX сказал: C:\Users>nslookup speedtest.net ╤хЁтхЁ: UnKnown Интересно, в какой версии винды поправят CP866 в строке Сервер в nslookup? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 30 августа, 2017 · Жалоба Поменял MTU на 1424 interface Dialer1 ip address negotiated ip mtu 1424 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp authentication chap pap callin ppp eap refuse ppp chap hostname 357743 ppp chap password 7 055A575C73181751 ppp pap sent-username 357743 password 7 0257550859525679 ppp ipcp dns request И даже на всякий пожарный перезагрузил циску. Но к моему удивлению после перезагрузки счастья не случилось, сайты по прежнему не открываются. Вообщем лыжи встали.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 30 августа, 2017 · Жалоба есть похожая ситуевина, на аср два одинаковых интерфейса с белыими ип, на "старых ип" все работает, а на "новых" некторые сайты не открываются, причем только у единиц пользлвателей, меняя ип на старый, проблема уходит,... поиграюсь с мту конечно, но не похоже ведь???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 30 августа, 2017 · Жалоба В моём случае оказалось, что дело было не в бабине. ip tcp adjust-mss 1412 на интерфейсе смотрящем в локалку с решил данную проблему. За сем, благодарю NikAlexAn и saaremaa. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...