#sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.0.2.13 10.0.2.14 QM_IDLE 1047 ACTIVE
с обеих сторон одинаковый. всего одна строка
Это исакмп
Vladimir
Vladimir
Смотри ипсек
Vladimir
sh crypto session
Vladimir
sh crypto ipsec sa
Vladimir
Ну и дебаг. В дебаге норм видно, где проблема
Anton
ну это явно перебор уже, разбираться как коннекшен организовать, если человеку однострочник нужен с pssh и рабочий ftp сервер
меня только большой таймаут смущает. остальное понятно, что в питоне что в ансибле.
Михаил
sh crypto ipsec sa
Interface: Tunnel237
Session status: UP-ACTIVE
Peer: 10.0.2.14 port 500
Session ID: 0
IKEv1 SA: local 10.0.2.13/500 remote 10.0.2.14/500 Active
IPSEC FLOW: permit 47 host 10.0.2.13 host 10.0.2.14
Active SAs: 2, origin: crypto map
Михаил
на второй стороне - зеркально.
Vladimir
Тогда туннель работает
Max
меня только большой таймаут смущает. остальное понятно, что в питоне что в ансибле.
таймаут при подключении?
Vladimir
Ой
Vladimir
Промахнулся
Anton
а жаль
Max
при ожидании промпта при скачивании
если качать по ftp должно быстрее залить, хотя зависит от образа
vitex
не?
Михаил
Ну и дебаг. В дебаге норм видно, где проблема
ну вот, смущает, что на одной стороне после New State = IKE_QM_PHASE2_COMPLETE
идет еще 5 строк
IPSEC(key_engine): got a queue event with 1 KMI message(s)
IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
crypto engine: updating MTU size of IPSec SA 206 to 1500 (overhead=42)
crypto_engine: Set IPSec MTU
IPSEC: Expand action denied, notify RP
Vladimir
А покажи конфиг интерфейса
Михаил
interface Vlan237
bandwidth 1000
ip address 10.0.2.13 255.255.255.252
end
!
interface Tunnel237
bandwidth 1000
ip address 10.172.7.141 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source Vlan237
tunnel destination 10.0.2.14
tunnel path-mtu-discovery
tunnel protection ipsec profile IPSEC_GRE
!
Михаил
на другой стороне то же самое, только адреса 10.0.2.14 и 10.172.7.142, а tunnel destination 10.0.2.13
Yury
tunnel path-mtu-discovery убирал?
Михаил
изначально его и не было. не влияет
Константин
> 10.172.7.141вот эти ip между собой пинаются?
Yury
и sh ip prot
Vladimir
изначально его и не было. не влияет
Ещё посмотри счётчики для туннеля, sh crypto ipsec ca. Не помню точно
vitex
мы выше такого
Vladimir
Вот жена попросит туннель починить дома, чё делать будешь?
vitex
это как судоку решать
Stanislav
Гре уже настройте обычный и усе )
Vladimir
Того
Vladimir
Как я погляжу
Михаил
Ещё посмотри счётчики для туннеля, sh crypto ipsec ca. Не помню точно
поднимается, sh cry sa счетчики тикают
#pkts encaps: 502, #pkts encrypt: 502, #pkts digest: 502
#pkts decaps: 1029, #pkts decrypt: 1029, #pkts verify: 1029
Vladimir
поднимается, sh cry sa счетчики тикают
#pkts encaps: 502, #pkts encrypt: 502, #pkts digest: 502
#pkts decaps: 1029, #pkts decrypt: 1029, #pkts verify: 1029
Ну вообще пакеты ходят через туннель. А с другой стороны тоже ненулевые счётчики?
Radist
котаны, много каналов форсят за проксю, кто какой пользует в итоге?
Михаил
Radist
обхода планируемой блокировочки
Anonymous
так. аеспи есть в чате?
Anonymous
мне нужно странное
Vladimir
Anonymous
какое процентное отношение по экстремумам на порту с трафиком вы считаете важными настолько, чтобы обратить на это внимание?
Konstantin
вопрос расплывчатый какой-то
Stanislav
Смотря на каком
vitex
какое процентное отношение по экстремумам на порту с трафиком вы считаете важными настолько, чтобы обратить на это внимание?
ну гмм
экстремум это точка изменения знака производной
Stanislav
Точнее смотря какой сервис
Radist
65% warning, 85% alarm
vitex
Anonymous
ну гмм
экстремум это точка изменения знака производной
Витя, насколько в проценте от предыдущей должно ебануть, чтобы считать что всё, пизда пришла, cушите весла и привет
Stanislav
В данном случае наверное
Anonymous
так доступней?
Anonymous
отлично.
Radist
95% TT
Anonymous
90% от предыдущего значения вверх или вниз?
Anonymous
вы серьёзно?