bintec RS353jw - Hinweise zur ipsecPeerTrafficTable und zu deren Verwendung mit RADIUS

bintec RS353jw - Hinweise zur ipsecPeerTrafficTable und zu deren Verwendung mit RADIUS

Vorbemerkungen:

• Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 7 verwendet, die Konfiguration erfolgt mittels GUI.
  
• Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren.
  
• Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
  

Hinweise zur ipsecPeerTrafficTable und zu deren Verwendung mit RADIUS:

Im Zusammenhang mit IPSec-Peers kann es unter Umständen vorteilhaft sein, den initiierenden VPN-Traffic mit Hilfe der
Funktion "Zusätzlicher Filter des IPv4-Datenverkehrs" selektiv zu beschränken (vergleiche Online-Hilfe und Manual).
Die dafür zuständige MIB-Tabelle ist die ipsecPeerTrafficTable. Beispielanzeige der ipsecPeerTrafficTable:

rs353jw_ks:> ipsecPeerTrafficTable

inx Ifindex(*rw)             Description(rw)          LocalAddress(*rw)
    LocalMask(rw)            LocalPort(rw)            LocalPortRange(rw)
    RemoteAddress(*rw)       RemoteMask(rw)           RemotePort(rw)
    RemotePortRange(rw)      Protocol(rw)             Policy(-rw)

  0 38100001                 "Zusatzfilter-1"         10.1.0.0
    255.255.0.0              -1                       1
    10.2.0.0                 255.255.0.0              -1
    1                        dont_verify              role_initiator

rs353jw_ks:ipsecPeerTrafficTable>

Als Policy ist hierbei nur "role_initiator" anwendbar - zur Filterung des die IPSec-Phase 2 der VPN-Verbindung initiierenden Traffics.

Im Beispielfall sieht das GUI-Menü eines IPSec-Peers mit obigem Eintrag bei "Zusätzlicher Filter des IPv4-Datenverkehrs" folgendermaßen aus:

Bild 1: GUI-Menü eines IPSec-Peers mit Eintrag bei "Zusätzlicher Filter des IPv4-Datenverkehrs"

Zur Verwendung mit RADIUS: Die Verwendung der ipsecPeerTrafficTable mit RADIUS ist leider nicht möglich!

Beim Anlegen von IPSec-Peers mit RADIUS könnte es in ganz speziellen Anwendungsfällen hilfreich sein, wenn man auch die
ipsecPeerTrafficTable mit RADIUS verwenden könnte. Das ist jedoch leider nicht möglich. Das zeigt auch ein Blick in das
RADIUS dictionary file "raddict.txt" auf dem bintec FTP-Server (im Verzeichnis bintec, dort unter radius). Im Abschnitt
"BinTec Extensions" sind die für RADIUS vorgesehenen Tabellen aufgeführt:

# BinTec Extensions
#
ATTRIBUTE BinTec-biboPPPTable		224	string
ATTRIBUTE BinTec-biboDialTable		225	string
ATTRIBUTE BinTec-ipExtIfTable		226	string
ATTRIBUTE BinTec-ipRouteTable		227	string
ATTRIBUTE BinTec-ipExtRtTable		228	string
ATTRIBUTE BinTec-ipNatPresetTable	229	string
ATTRIBUTE BinTec-ipxCircTable		230	string
ATTRIBUTE BinTec-ripCircTable		231	string
ATTRIBUTE BinTec-sapCircTable		232	string
ATTRIBUTE BinTec-ipxStaticRouteTable	233	string
ATTRIBUTE BinTec-ipxStaticServTable	234	string
ATTRIBUTE BinTec-ospfIfTable		235	string
ATTRIBUTE BinTec-pppExtIfTable		236	string
ATTRIBUTE BinTec-ipFilterTable		237	string
ATTRIBUTE BinTec-ipQoSTable		238	string
ATTRIBUTE BinTec-qosIfTable		239	string
ATTRIBUTE BinTec-qosPolicyTable		240	string
ATTRIBUTE BinTec-ipsecPeerTable		241	string
ATTRIBUTE BinTec-ipsecTrafficTable	242	string
ATTRIBUTE BinTec-ipsecDialTable		243	string
ATTRIBUTE BinTec-ipNatOutTable		244	string
ATTRIBUTE BinTec-ikeProfileTable	245	string
ATTRIBUTE BinTec-ipsecProfileTable	246	string

Die besagte "ipsecPeerTrafficTable" ist hier nicht dabei und demnach leider nicht für die Verwendung mit RADIUS vorgesehen.

Abschlußbemerkung:

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis:

Erstellt: 23.5.2017
Produkt: RS353jw
Release: 10.1.21.107
KW: 21/2017
kst