не пролазит

1340 тоже не пролазит

1320 тоже нет

Ура пошло 1360

Попробуй 1400 ip mtu и ip tcp adjust-mss 1452

Дефолтные так сказать

1410 прошло

А 1420 нет

т.е. взлетело все?

ip tcp adjust-mss 1422 & ip mtu 1400 А так вообще можно

Чем меньше значение тем выше шанс, что пакет будет фрагментирован.

Смотри сам.

Ураа, вроде заработало.

https://learningnetwork.cisco.com/thread/40703

http://www.cisco.com/cisco/web/support/RU/9/92/92028_pmtud_ipfrag.html

бмен пакетами с srv-003.detskoselsky.local [192.168.1.3] с 1380 байтами данных: ребуется фрагментация пакета, но установлен запрещающий флаг.

Рано радовался

1. MSS = 1452 (+20 TCP + 20 IP + 8 PPoE = 1500)

Ну ищи оптимальное тогда)

Я ушёл, турник зовет сорян :)

1. MSS = 1452 (+20 TCP + 20 IP + 8 PPoE = 1500)

Спасибо. Заучу наизусть....

Рано радовался

Не самое лучшее решение, но, с помощью PBR, можно принудительно сбросить флаг, запрещающий фрагментацию.

interface Gi 0/1 ip policy route-map clear-df-bit route-map clear-df-bit permit 10 match ip address VPN set ip df 0

Это на центральном маршрутизаторе

бмен пакетами с srv-003.detskoselsky.local [192.168.1.3] с 1380 байтами данных: ребуется фрагментация пакета, но установлен запрещающий флаг.

А вот это за споком?

Да

Такой же PBR на LAN интерфейсе спока попробуй.

Такой же PBR на LAN интерфейсе спока попробуй.

Сейчас попробую

Требуется фрагментация пакета, но установлен запрещающий флаг.

Причем с циски всё работает

А с клиента нет

Ладно пойду домой. Огромное спасибо...Завтра продолжим

С джуном не работаю, но один domain ID поставил в оспф?

domain ID не помог, продолжаю ковыряться...

domain ID не помог, продолжаю ковыряться...

По дефолту, если домен не задан, то type 3 становится type 3, а 5 - 5

Покажи ospf database на самой СЕ и ближней РЕ

СЕ:

RI2#sh ip os database OSPF Router with ID (5.5.5.5) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 5.5.5.5 5.5.5.5 514 0x80000007 0x00B411 3 172.24.0.1 172.24.0.1 515 0x80000006 0x0040D3 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 172.24.0.1 172.24.0.1 515 0x80000001 0x00557F Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 1.1.1.1 172.24.0.1 26 0x80000002 0x000DE2 192.168.0.0 172.24.0.1 1364 0x80000001 0x00E59C Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 172.16.0.0 172.24.0.1 1364 0x80000001 0x009562 3489725928 RI2#

РЕ:

root# run show ospf database OSPF database, Area 0.0.0.0 Type ID Adv Rtr Seq Age Opt Cksum Len Router 2.2.2.2 2.2.2.2 0x80000009 883 0x22 0x2ebd 48 Router 3.3.3.3 3.3.3.3 0x80000005 2384 0x22 0x1e95 60 Router *4.4.4.4 4.4.4.4 0x80000009 886 0x22 0xa822 48 Network 10.0.0.2 3.3.3.3 0x80000002 2394 0x22 0x65aa 32 Network *10.0.0.6 4.4.4.4 0x80000003 1475 0x22 0x718d 32

и что из них на другой стороне становится экстерналом?

то, что между РЕ и СЕ - т.е 172.24.0.0/24

вон, на СЕ Type-5 LSA - 172.16.0.0/24 - от дальнего РЕ пришел

упс, от РЕ таблица не та

ospf database от routing-instance как посмотреть можно?

Run sh ospf darabase instance VPN

спасибо

тогда вот правильная таблица: OSPF database, Area 0.0.0.0 Type ID Adv Rtr Seq Age Opt Cksum Len Router 5.5.5.5 5.5.5.5 0x80000007 1105 0x22 0xb411 60 Router *172.24.0.1 172.24.0.1 0x80000006 1105 0x22 0x40d3 36 Network *172.24.0.1 172.24.0.1 0x80000001 1104 0x22 0x557f 32 Summary *1.1.1.1 172.24.0.1 0x80000002 618 0xa2 0xde2 28 Summary *192.168.0.0 172.24.0.1 0x80000001 1947 0xa2 0xe59c 28 OSPF AS SCOPE link state database Type ID Adv Rtr Seq Age Opt Cksum Len Extern *172.16.0.0 172.24.0.1 0x80000001 1947 0xa2 0x9562 36

вот этот 172.16.0.0 (сеть между дальними СЕ и РЕ) и на РЕ помечен как external. А сети за дальним СЕ тут нет вообще. А на СЕ - всплывает откуда-то. Чертовщина какая-то

Не охота думать)

А это принципиально?))

Ну экстернал, да и фиг с ней

Хотя, то что каких то сеток нет, то это проблемка

А это. Покажи риб vpn.inet.0 на РЕ

тут все есть: L3VPN.inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1.1.1.1/32 *[BGP/170] 00:40:35, MED 2, localpref 100, from 2.2.2.2 AS path: I > to 10.0.0.5 via em0.0, Push 16, Push 299776(top) 5.5.5.5/32 *[OSPF/10] 00:19:37, metric 2 > to 172.24.0.2 via em1.0 172.16.0.0/24 *[BGP/170] 00:41:46, localpref 100, from 2.2.2.2 AS path: I > to 10.0.0.5 via em0.0, Push 16, Push 299776(top) 172.24.0.0/24 *[Direct/0] 00:41:45 > via em1.0 172.24.0.1/32 *[Local/0] 00:41:45 Local via em1.0 192.168.0.0/24 *[BGP/170] 00:40:35, MED 11, localpref 100, from 2.2.2.2 AS path: I > to 10.0.0.5 via em0.0, Push 16, Push 299776(top) 192.168.1.0/24 *[OSPF/10] 00:19:37, metric 11 > to 172.24.0.2 via em1.0 224.0.0.5/32 *[OSPF/10] 00:38:30, metric 1 MultiRecv

вот эти два маршрута с [BGP/170] from 2.2.2.2 потом оказываются - один ia, а второй e2

о! у одного есть MED атрибут, у второго нет

Ладно, все равно - большое спасибо за помощь. Дело к ночи. До подъема осталось 7 часов...

ничего необычного. настрой шам линк

экстернал должен стать ia

Спасибо боьлшое. Пожалуй,завтра уже. Спокойной...

посмотри на bgp-маршрутах, которые прилетели с дальней СЕ, какие на них community ? И на external, и на ia

народ кто нибудь у себя использует такие вот решения? cisco ACI, ISE, ESA по ним вообще курс есть или man что нить вообще?

народ кто нибудь у себя использует такие вот решения? cisco ACI, ISE, ESA по ним вообще курс есть или man что нить вообще?

айс, еса да, есть много гайдов и видео по конфигурации

народ кто нибудь у себя использует такие вот решения? cisco ACI, ISE, ESA по ним вообще курс есть или man что нить вообще?

по ISE SISE SISAS есть

курсы

ERROR: S client not available

Ладно пойду домой. Огромное спасибо...Завтра продолжим

Ты на интерфесе который смотрит на юзера добавил команду?

ip tcp adjust-mss 1452

Ты на интерфесе который смотрит на юзера добавил команду?

Да но проблему не решило. Самое интернесное, что если в филиале ping 192.168.1.3 size 1380 so vlan 1 Всё ОК., но слюбой машины в филиале ping 192.168.1.3 -f -l 1380 Требуется фрагментация пакета, но установлен запрещающий флаг

Дык везде выстави данный функционал

На хабе и на споке стоит

Дампы снимал?

Интересный момент, интернет в филиале адски лагает

Половина сайтов не открывается

Дампы снимал?

Если не секрет WireSharkом?

А попробуй там уменьшить MTU, ну и позвонить друзьям в ISP

Мол что за дела

Если не секрет WireSharkом?

Чем удобнее хоть tcpdump

Тикет в isp

Интересный момент, интернет в филиале адски лагает

ну вот и ответ

А попробуй там уменьшить MTU, ну и позвонить друзьям в ISP

Это Ростелеком. Два года интернет работал нормально,а недели три назад, что то случилось и интернет перестал подниматься, помогло ppp packet throttle 30 1 30

Без ppp packet throttle 30 1 30 Интернет не поднимается

А попробуй там уменьшить MTU, ну и позвонить друзьям в ISP

А можно скинуть конфиг, может ячего не так делаю?

А можно скинуть конфиг, может ячего не так делаю?

Вчера. Там все так же

В айспи тикет

В айспи тикет

Был тикет, приезжали с модемом dlink dsl-2600 С их слов всё работает

Вчера. Там все так же

Если можно весь конфиг. Меня терзают смутные сомнения, что я где-то накосячил

За компом буду только вечером. Конфиг дефолтный, см. циско DMVPN.

За компом буду только вечером. Конфиг дефолтный, см. циско DMVPN.

Хорошо

Был тикет, приезжали с модемом dlink dsl-2600 С их слов всё работает

Им веры нет

https://cs7065.userapi.com/c637819/v637819773/456fb/raETgVamQ4I.jpg

Вроде у меня так же

Вроде у меня так же

PBR на dialer бесполезен: https://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/configuration/guide/fqos_c/qcfpbr.pdf All packets arriving on the specified interface matching the match clauses will be subject to PBR; ! interface Dialer1 ip policy route-map clear-df-bit ! Перевесь на int vlan1, и покажи ACL из этой route-map - может там какая-то проблема.

Модуль SFP+ Opticin SFP-Plus-SR.LC.03 - совсем УГ или не очень?