hegl 10 Geschrieben 14. Oktober 2014 Melden Teilen Geschrieben 14. Oktober 2014 Wir haben zur Zeit einige VPN´s zu anderen Locations (Partner, aber auch eigene). Bei einem neuen VPN verlangt der Partner nun eine MTU von max 1380. Bei uns läuft noch alles auf Standard, sprich 1500.Was passiert, wenn ich nun auf dem interface die MTU auf diese 1380 begrenze? Okay, bei den manchen, eigenen Remote-Standorten könnte ich das auch entsprechend anpassen, bei anderen eigenen Standorten habe ich bei der eingesetzten HW nur die Möglichkeit Path MTU Discovery zu aktivieren. Würde dies ausreichen? Problematisch wird es natürlich mit den Partnern, wie die dazu stehen. Auch müssten wir doch wohl alle VPN-Clients anpassen und dort in den MTU Options von Default auf auf Custom umstellen?Wäre also die sinnvollere Lösung, eine separate HW für dieses neue VPN bereitzustellen? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 14. Oktober 2014 Melden Teilen Geschrieben 14. Oktober 2014 Gibt es eine technische Begründung dafür? Mit den default Werten hatte ich bisher keine Probleme auch wenn man verschiedene Hersteller miteinander verbunden hat. Generell holt Ihr euch damit eine Sonderlocke ins Haus die Ihr dann überall hin mitschleppt. Im Zweifelsfall wurde ich (falls vorhanden) ein extra Interface für das VPN benutzen Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 14. Oktober 2014 Autor Melden Teilen Geschrieben 14. Oktober 2014 Na ja, die techn. Begründung ist, dass dies eine Optimierung des Tunnels darstellt und man so möglichen Problemen aus dem Weg geht.Ist aber auch müßig darüber zu diskutieren; wenn dies die Vorgaben des Partners sind, muss ich wohl oder übel in den sauren Apfel beißen und von unserem Standard weggehen.Auf unsere ASA habe ich noch das ein oder andere physikalische interface frei. Kann ich einem dieser interface dann auch einfach eine freie IP-Adresse aus dem outside-LAN geben und den Tunnel darüber realisieren? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 16. Oktober 2014 Autor Melden Teilen Geschrieben 16. Oktober 2014 Okay, Frage selbst beantwortet: Ich kann keinem anderen physikalischen Interface eine IP-Adresse aus einem bereits genutzten Netz geben.Aber noch einmal zur eigentlichen Frage: Was passiert, wenn ich die beiden Sites mit unterschiedlicher MTU konfiguriere? Bekomme ich da beim Aufbau bzw. dann nachher bei der Stabilität des Tunnels schon Probleme? Könnte ich dies dann mit einer entsprechenden Wahl der DF-Bit Parmater begegnen? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 16. Oktober 2014 Melden Teilen Geschrieben 16. Oktober 2014 Okay, Frage selbst beantwortet: Ich kann keinem anderen physikalischen Interface eine IP-Adresse aus einem bereits genutzten Netz geben. Da musst du dann mit kleineren Subnetten arbeiten bzw. das Subnetz aufteilen. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 21. Oktober 2014 Autor Melden Teilen Geschrieben 21. Oktober 2014 Da musst du dann mit kleineren Subnetten arbeiten bzw. das Subnetz aufteilen. Da bin ich gerade dabei... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.