Проблема DF бита и фрагментации в IPsec / GRE туннелях ( clear df bit dlink )

Если браузер не открывает Web-страницы или не передаются файлы по протоколу FTP, то возможно вы столкнулись с проблемой фрагментации пакетов.

C:\>ping mail.ru -l 1500 -f
Pinging mail.ru [94.100.191.204] with 1500 bytes of data:
Packet needs to be fragmented but DF set.
...
C:\>ping mail.ru -l 1500 -f
Обмен пакетами с mail.ru [94.100.191.204] по 1500 байт:
Требуется фрагментация пакета, но установлен запрещающий флаг.
...

Одним из решений этой проблемы (проблема DF бита) является использование полиси роутинга (PBR), для сброса бита DF в IP пакетах.

Флаг DF ("don't fragment").  Назначение флага - запретить разбивку пакета на фрагменты
!
interface fa0
	!Это интерфейс, который смотрит нам в локальную сеть
	ip address 192.168.0.0 255.255.255.0
	ip policy route-map clear-df
!
route-map clear-df permit 10
	match ip address 113
	set ip df 0
!
access-list 113 remark clear_df
access-list 113 permit tcp 192.168.0.0 0.0.0.255 any
!

Подробнее читаем на сиськи ком Resolve IP Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPSEC Document ID: 25885 http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml Why Can't I Browse the Internet when Using a GRE Tunnel? Document ID: 13725 http://cisco.com/en/US/tech/tk827/tk369/technologies_tech_note09186a0080093f1f.shtml такая проблема решается только так (на цисках): на исходящем интерфейсе (outside) ip tcp adjust-mss 1436 всё остальное хрень и будет грузить проц 5, vzhik, 14:24, 05/08/2011 [ответить] [смотреть все] +/– Если использовать ВПН-тунели для прохода через "вражескую" сеть, то можно эту проблему решать так: crypto ipsec df-bit clear проверено занусси - работает так уже лет 10 на разных рутерах.

It анекдот

Крупной фирме требуется программист. Знание компьютера приветствуется.