Если браузер не открывает Web-страницы или не передаются файлы по протоколу FTP, то возможно вы столкнулись с проблемой фрагментации пакетов.
C:\>ping mail.ru -l 1500 -f Pinging mail.ru [94.100.191.204] with 1500 bytes of data: Packet needs to be fragmented but DF set. ...
C:\>ping mail.ru -l 1500 -f Обмен пакетами с mail.ru [94.100.191.204] по 1500 байт: Требуется фрагментация пакета, но установлен запрещающий флаг. ...
Одним из решений этой проблемы (проблема DF бита) является использование полиси роутинга (PBR), для сброса бита DF в IP пакетах.
Флаг DF ("don't fragment"). Назначение флага - запретить разбивку пакета на фрагменты
! interface fa0 !Это интерфейс, который смотрит нам в локальную сеть ip address 192.168.0.0 255.255.255.0 ip policy route-map clear-df ! route-map clear-df permit 10 match ip address 113 set ip df 0 ! access-list 113 remark clear_df access-list 113 permit tcp 192.168.0.0 0.0.0.255 any !
Подробнее читаем на сиськи ком Resolve IP Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPSEC Document ID: 25885 http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml Why Can’t I Browse the Internet when Using a GRE Tunnel? Document ID: 13725 http://cisco.com/en/US/tech/tk827/tk369/technologies_tech_note09186a0080093f1f.shtml такая проблема решается только так (на цисках): на исходящем интерфейсе (outside) ip tcp adjust-mss 1436 всё остальное хрень и будет грузить проц 5, vzhik, 14:24, 05/08/2011 [ответить] [смотреть все] +/– Если использовать ВПН-тунели для прохода через «вражескую» сеть, то можно эту проблему решать так: crypto ipsec df-bit clear проверено занусси — работает так уже лет 10 на разных рутерах.