910
Bearbeitungen
Änderungen
Aus bintec elmeg Support-Wiki / FAQ
Die Seite wurde neu angelegt: „==Titel bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces == __NOTOC__ ===Vorbemerkungen:=== * Im Gegensatz zu Ethernet-Interfaces l…“
==Titel bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces ==
__NOTOC__
===Vorbemerkungen:===
* Im Gegensatz zu Ethernet-Interfaces läßt sich der standardmäßig verwendete MTU-Wert für IPSec-Interfaces auf einen anderen (üblicherweise kleineren) Wert umstellen. <br />
* Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 patch 1 verwendet, die Konfiguration erfolgt mittels Konsole und GUI. <br />
* Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren. <br />
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen. <br />
===Vorgehensweise:===
Der MTU-Wert von IPSec-Interfaces läßt sich (jedenfalls für IPv4) in der ikeprofiletable mit der Variable "MtuMax" beeinflussen. <br />
Die HTML-MIB-Reference sagt zu dieser Variablen:
"MtuMax
The maximum MTU value allowed for ipsecPeerStatMtu. This variable affects only peers with ipsecPeerStatIpVersion 'ipv4'. <br />
Zero means use value from global profile, if this is the global profile, 1418 is assumed. Nonzero values smaller than 214 <br />
are reset to the minimum of 214. Range: 0 to 65535" <br />
Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole zur Umstellung von "MtuMax" <br />
auf den Beispielwert 1250 Byte im Phase-1-Profil mit der Datensatznummer 0, hier bezeichnet als "Multi-Proposal":
<PRE>
rs353jw_ks:> ikeprofiletable
inx Index(ro) Description(rw) AuthMethod(-rw)
Mode(rw) Proposal(*rw) Group(rw)
Cert(rw) LocalId(rw) CaCerts(rw)
LifeTime(ro) PfsIdentity(rw) Heartbeats(rw)
BlockTime(rw) NatT(rw) MtuMax(rw)
LifeSeconds(rw) LifeKBytes(rw) LifePolicy(rw)
Ip6MtuMax(rw)
0 1 "Multi-Proposal" pre_sh_key
aggressive 7 5
0 "rs353jw_ks"
-1 default auto
30 enabled 0
14400 0 loose
0
rs353jw_ks:ikeProfileTable> MtuMax:0=1250
0: ikePrfMtuMax.7( rw): 1250
rs353jw_ks:ikeProfileTable>
</PRE>
Alle IPSec-Verbindungen mit diesem Phase-1-Profil sollten von nun an beim Neuaufbau diesen neuen MTU-Wert verwenden können. <br />
Alternative Vorgehensweise in der SNMP-Browser-Ansicht der GUI, in der Hauptmenüspalte unter IPSec, ikeProfileTable, edit: <br />
[[Bild:IPSec_Interface_MTU_manuell_setzen01.png|none|GUI-SNMP-Browser, ikeProfileTable, Eingabe für ikePrfMtuMax = 1250]] <br />
Bild 1: GUI-SNMP-Browser, ikeProfileTable, Eingabe für ikePrfMtuMax = 1250 (hier den abschließenden Klick auf "OK" nicht vergessen!) <br />
===Abschlußbemerkung:===
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") <br />
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis:===
Erstellt: 30.03.2017 <br />
Produkt: RS353jw <br />
Release: 10.1.21.101 <br />
KW: 06/2017 <br />
kst <br />
[[Kategorie:VPN]]
<!-- RS-Serie, RSxx3-Serie, IPSec-Interface, MTU-Wert, ikeProfileTable, MtuMax, ikePrfMtuMax -->
__NOTOC__
===Vorbemerkungen:===
* Im Gegensatz zu Ethernet-Interfaces läßt sich der standardmäßig verwendete MTU-Wert für IPSec-Interfaces auf einen anderen (üblicherweise kleineren) Wert umstellen. <br />
* Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 patch 1 verwendet, die Konfiguration erfolgt mittels Konsole und GUI. <br />
* Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren. <br />
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen. <br />
===Vorgehensweise:===
Der MTU-Wert von IPSec-Interfaces läßt sich (jedenfalls für IPv4) in der ikeprofiletable mit der Variable "MtuMax" beeinflussen. <br />
Die HTML-MIB-Reference sagt zu dieser Variablen:
"MtuMax
The maximum MTU value allowed for ipsecPeerStatMtu. This variable affects only peers with ipsecPeerStatIpVersion 'ipv4'. <br />
Zero means use value from global profile, if this is the global profile, 1418 is assumed. Nonzero values smaller than 214 <br />
are reset to the minimum of 214. Range: 0 to 65535" <br />
Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole zur Umstellung von "MtuMax" <br />
auf den Beispielwert 1250 Byte im Phase-1-Profil mit der Datensatznummer 0, hier bezeichnet als "Multi-Proposal":
<PRE>
rs353jw_ks:> ikeprofiletable
inx Index(ro) Description(rw) AuthMethod(-rw)
Mode(rw) Proposal(*rw) Group(rw)
Cert(rw) LocalId(rw) CaCerts(rw)
LifeTime(ro) PfsIdentity(rw) Heartbeats(rw)
BlockTime(rw) NatT(rw) MtuMax(rw)
LifeSeconds(rw) LifeKBytes(rw) LifePolicy(rw)
Ip6MtuMax(rw)
0 1 "Multi-Proposal" pre_sh_key
aggressive 7 5
0 "rs353jw_ks"
-1 default auto
30 enabled 0
14400 0 loose
0
rs353jw_ks:ikeProfileTable> MtuMax:0=1250
0: ikePrfMtuMax.7( rw): 1250
rs353jw_ks:ikeProfileTable>
</PRE>
Alle IPSec-Verbindungen mit diesem Phase-1-Profil sollten von nun an beim Neuaufbau diesen neuen MTU-Wert verwenden können. <br />
Alternative Vorgehensweise in der SNMP-Browser-Ansicht der GUI, in der Hauptmenüspalte unter IPSec, ikeProfileTable, edit: <br />
[[Bild:IPSec_Interface_MTU_manuell_setzen01.png|none|GUI-SNMP-Browser, ikeProfileTable, Eingabe für ikePrfMtuMax = 1250]] <br />
Bild 1: GUI-SNMP-Browser, ikeProfileTable, Eingabe für ikePrfMtuMax = 1250 (hier den abschließenden Klick auf "OK" nicht vergessen!) <br />
===Abschlußbemerkung:===
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") <br />
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis:===
Erstellt: 30.03.2017 <br />
Produkt: RS353jw <br />
Release: 10.1.21.101 <br />
KW: 06/2017 <br />
kst <br />
[[Kategorie:VPN]]
<!-- RS-Serie, RSxx3-Serie, IPSec-Interface, MTU-Wert, ikeProfileTable, MtuMax, ikePrfMtuMax -->