Un po' lungo, ma almeno leggetelo perchè è strano

[cuccio]

Ho un problema apparentemente assurdo con un CIsco837.
Ci sono tre reti remote, tutte e tre in internet tramite ADSL, la sede
centrale condivide un applicativo su Terminal services client
e altre cosine residenti su un server che ha come indirizzo 10.185.158.25.
Tralasciando il fatto che ancora non ho configurato le VPN (male) mi sono
bloccato su un problema assurdo.
Nella sede centrale su 2 pc gira un applicativo che viaggia su una VPN
Netscreen (quindi con il suo client Netscreen Remote).
L'applicativo è di una società che non può e non vuole cambiare niente del
suo sistema, però si limita a dare una
lista di router che dichiara "compatibili" con la sua applicazione.
In questa lista c'è il 827h e varie amenità da Zyxel ad Alcatel a Ahetra ecc
ecc.
Quindi mi sono detto l'837 va di sicuro, e invece sorgono 2 problemi.

Il primo:
Le macchine client su cui è installato il Netscreen Remote sono Win2000.
Quando apro il tunnel VPN dal client tutto ok, quando uso un emulatore di
terminale dentro il tunnel tutto ok,
Ma quando apro un'apllicazione che genera pacchetti più grossi di 576k non
si vede niente, nemmeno le pagine HTML della intranet.
Per risolvere il problema i simpaticoni della società fornitrice
dell'applicativo mi ha impostato con Dr.TCP la TCP Receive Windows a 500
Bytes.
Il risultato è che ora il PC va lentissimo in rete, per trasferire un file
di 5 MB ci vogliono 20 minuti.
Però la loro apllicazione funziona, lenta, ma funziona. La loro spiegazione
è che così facendo costringono Win2000 a frammentare e ricomporre
anche i pacchetti più grandi di 500 Bytes (praticamente tutti) ricostruendo
correttamente le informazioni del tunnel VPN.
La cosa forse più assurda è che se monto l'alcatel SpeedTouch pro tutto
funziona a meraviglia. Come si spiega ??
Inoltre mi hanno spedito una conf di un 827H che va a meraviglia per il loro
software, lo carico sull'837 e non succede niente, tutto come prima.
Esiste un sistema, o un comando per far transitare nel 837 i pacchetti
composti correttamente??
Io ho provato i vari IP MTU ecc ecc ma niente da fare, sto cominciando a
pensare ad un baco dell'IOS del 837.

Il secondo:
Le macchine su cui è installato il Netscreen Remote (porta UDP 500) sono 2,
ma con 2 ip della VPN ovviamente diversi.
Se uso i due PC contemporaneamente, non si riesce ad autenticarsi sul server
VPN, è sicuramente un problema di NAT/PAT,(anche se la comunicazione sono io
ad instaurarla, quindi non capisco cosa centri) ma come al solito
installo l'Alcatel, senza configurare nessun NAT/PAT tutti e due i PC con il
VPN Client magicamente funzionano a meraviglia.

Sto letteralmente impazzendo aiutatemi !!!!!!!!!!!

In allegato la conf attuale (ridotta all'osso)

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname pippo
!
enable secret 5 $1$PFxxxxxxxxxxxxxxxx
!
username pluto password 7 xxxxxxxxxx
ip subnet-zero
ip tcp path-mtu-discovery
ip name-server 151.99.125.2
ip name-server 151.99.250.2
!
ip audit notify log
ip audit po max-events 100
!
!
!
!
interface Loopback0
ip address xxx.xxx.xxx.185 255.255.255.248
ip nat outside
!
interface Ethernet0
ip address 10.185.158.4 255.255.255.192
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
atm ilmi-keepalive
dsl operating-mode auto
dsl power-cutback 0
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address xxx.xxx.xxx.146 255.255.255.252
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!
ip nat inside source list 102 interface Loopback0 overload
ip nat inside source static tcp 10.185.158.25 3389 xxx.xxx.xxx.185 3389
extendable
ip nat inside source static tcp 10.185.158.25 5400 xxx.xxx.xxx.185 5400
extendable
ip nat inside source static udp 10.185.158.25 5400 xxx.xxx.xxx.185 5400
extendable
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.145
ip http server
!
!
access-list 102 permit ip 10.185.158.0 0.0.0.63 any
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end

--
Saluti e grazie
Cuccio

Posted from X-Privat Free NNTP server - www.x-privat.org

[Macs]

Ciao

cuccio ha scritto:
>
> Ma quando apro un'apllicazione che genera pacchetti piů grossi di 576k

> non si vede niente, nemmeno le pagine HTML della intranet.

E' un problema a livello di MTU/BlackHole Discovery = devi impostare
adeguatamente i valori sui sistemi coinvolti nella VPN, e puoi farlo
p.es. usando le indicazioni del seguente articolo :
==
- http://www.realvnc.com/pipermail/vnc-list/2001-November/026610.html

Per il secondo problema (legato al NAT/PAT) fammi leggere la config.
dopo cena e ti rispondo piu' tardi (sempre che non lo facciano altri
prima ;) ).

--
|Ż \/Ż | /Ż\ /Ż__/Ż__|-<|> http://planynet.hypermart.net/fastweb <|
|Ż|\/|Ż|/Ż_Ż\|(__\__ \-<|> * FAQ 1.5 ITGF it.tlc.gestori.fastweb <|
|_| |_/_/ \_\___|___/-<|> * SITO: http://planynet.hypermart.net <|
|>Togli/Remove .INVALID<|> * NEWS: free.it.ingegneria.meccanica _<|

[Cuccio]

Macs <maxs...@despammed.com.INVALID> wrote:
>Ciao
>
>cuccio ha scritto:
>>

>> Ma quando apro un'apllicazione che genera pacchetti più grossi di 576k

>> non si vede niente, nemmeno le pagine HTML della intranet.
>
>E' un problema a livello di MTU/BlackHole Discovery = devi impostare
>adeguatamente i valori sui sistemi coinvolti nella VPN, e puoi farlo
>p.es. usando le indicazioni del seguente articolo :
>==
>- http://www.realvnc.com/pipermail/vnc-list/2001-November/026610.html
>

Ma l'ho fatto, ci ho perso un giorno, con Dr.TCP ho usato tutte le conbinazioni,
ma io della catena della VPN posso solo controllare il client e il router lato
CLient, infatti se guardi la conf ho usato Path_MTU_Discovery anche nel Cisco.
Lo strano è che se uso l'Alcatel SpeedTouch Pro la VPN funziona senza usare
impostazioni particolari nel registry, sono quasi sicuro che è il router che
frammenta male questi pacchetti (ho non li ricompone).

>Per il secondo problema (legato al NAT/PAT) fammi leggere la config.
>dopo cena e ti rispondo piu' tardi (sempre che non lo facciano altri
>prima ;) ).
>

Confido in un aiuto, altrimenti mi tocca metterci un 827H con IOS 12.1 (che
secondo loro funziona).

Saluti

[Macs]

Ciao

Cuccio ha scritto:
>
> sono quasi sicuro che č il router che frammenta male questi pacchetti
> (ho non li ricompone).

Dipende dalla versione di IOS = la release 12.2(13)ZG supporta il
Performance Pre-fragmentation before encryption che evita proprio i
problemi del tuo caso. Analogo discorso per il supporto NAT-T -> altre
info su :
==
- http://www.cisco.com/warp/public/cc/pd/rt/800/prodlit/2117_pp.htm

Fammi sapere = sono appena rientrato e resto sveglio parecchio ;).

[cuccio]

> Cuccio ha scritto:
> >
> > sono quasi sicuro che è il router che frammenta male questi pacchetti

> > (ho non li ricompone).
>
> Dipende dalla versione di IOS = la release 12.2(13)ZG supporta il
> Performance Pre-fragmentation before encryption che evita proprio i
> problemi del tuo caso. Analogo discorso per il supporto NAT-T -> altre
> info su :
> ==
> - http://www.cisco.com/warp/public/cc/pd/rt/800/prodlit/2117_pp.htm
>
> Fammi sapere = sono appena rientrato e resto sveglio parecchio ;).
>

Eccoti servito, leggiti lo show ver e illuminami:
Saluti Cuccio

Cisco Internetwork Operating System Software
IOS (tm) C837 Software (C837-K9O3Y6-M), Version 12.2(8)YN, EARLY DEPLOYMENT
RELE
ASE SOFTWARE (fc1)
Synched to technology version 12.2(11.2u)T
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Wed 30-Oct-02 15:35 by ealyon
Image text-base: 0x800131D8, data-base: 0x8091FE68

ROM: System Bootstrap, Version 12.2(8r)YN, RELEASE SOFTWARE (fc1)
ROM: C837 Software (C837-K9O3Y6-M), Version 12.2(8)YN, EARLY DEPLOYMENT
RELEASE
SOFTWARE (fc1)

pippo uptime is 1 day, 4 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:c837-k9o3y6-mz.122-8.YN.bin"

CISCO C837 (MPC857DSL) processor (revision 0x200) with 29492K/3276K bytes of
mem
ory.
Processor board ID AMB070608T1 (4254034138), with hardware revision 0000
CPU rev number 7
Bridging software.
1 Ethernet/IEEE 802.3 interface(s)
1 ATM network interface(s)
128K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
2048K bytes of processor board Web flash (Read/Write)

Configuration register is 0x2102

[Macs]

Ciao

cuccio ha scritto:

>
> Cisco Internetwork Operating System Software
> IOS (tm) C837 Software (C837-K9O3Y6-M), Version 12.2(8)YN, EARLY

> DEPLOYMENT RELEASE SOFTWARE (fc1)

> Synched to technology version 12.2(11.2u)T

Come supponevo = la versione e' precedente alla 12.2(13)ZG, che supporta
le feature che ti ho indicato -> prova cmq, prima di aggiornare lo IOS,
a verificare cosa cambia imponendo un MTU pari a 1400 = non risolve la
questione NAT ma potrebbe aiutare per il primo punto.

[cuccio]

> cuccio ha scritto:
> >
> > Cisco Internetwork Operating System Software
> > IOS (tm) C837 Software (C837-K9O3Y6-M), Version 12.2(8)YN, EARLY
> > DEPLOYMENT RELEASE SOFTWARE (fc1)
> > Synched to technology version 12.2(11.2u)T
>
> Come supponevo = la versione e' precedente alla 12.2(13)ZG, che supporta
> le feature che ti ho indicato

OK, non è un problema sostituire lo IOS (a patto che ci sia per l'837).
Ma mi spieghi perchè un 827h con la 12.1 funziona, pur essendo più vecchio
(di parecchio).

-> prova cmq, prima di aggiornare lo IOS,
> a verificare cosa cambia imponendo un MTU pari a 1400 =

Avevo provato 1492, ma posso provare anche 1400.

> non risolve la
> questione NAT ma potrebbe aiutare per il primo punto.

Non capisco perchè il NAT non va, tu cosa pensi che sia.

Saluti
Cuccio

[cuccio]

> > Come supponevo = la versione e' precedente alla 12.2(13)ZG, che supporta
> > le feature che ti ho indicato
> OK, non è un problema sostituire lo IOS (a patto che ci sia per l'837).
> Ma mi spieghi perchè un 827h con la 12.1 funziona, pur essendo più vecchio
> (di parecchio).
>

Scusami, non avevo letto l'articolo della Cisco, il Bug affligge solo le
serie 83x e SOHO 9x.
Provvederò a rimediarmelo, anche se non ho un account Cisco (spero in
qualche anima pia).
Comunque penso che la Cisco per almeno un anno dovrebbe darli gli
aggiornamenti, cavolo non funziona ed è colpa loro !!!

[Macs]

Ciao

cuccio ha scritto:
>
> OK, non č un problema sostituire lo IOS (a patto che ci sia per
> l'837). Ma mi spieghi perchč un 827h con la 12.1 funziona, pur essendo
> piů vecchio (di parecchio).

Se non erro, la pre-frammentazione e il NAT-T sono stati introdotti nel
12.2(2)T = nel 12.1 non erano presenti da quanto mi risulta secondo
bulletins/release-notes Cisco.

> Non capisco perchč il NAT non va, tu cosa pensi che sia.

Supporto NAT-T e non lato client, ma proprio lato router.

[Macs]

Ciao

cuccio ha scritto:
>
> OK, non č un problema sostituire lo IOS (a patto che ci sia per
> l'837). Ma mi spieghi perchč un 827h con la 12.1 funziona, pur essendo
> piů vecchio (di parecchio).

Se non erro, l'analogo supporto di pre-frammentazione e NAT-T e' stato
introdotto definitivamente solo nel 12.2(2)T da quanto mi risulta da
bulletins/release-notes Cisco.

> Non capisco perchč il NAT non va, tu cosa pensi che sia.

Supporto NAT-T e non lato client, ma proprio lato router.

--