bintec RS353jw - Hinweise zur ipsecPeerTrafficTable und zu deren Verwendung mit RADIUS
Aus bintec elmeg Support-Wiki / FAQ
bintec RS353jw - Hinweise zur ipsecPeerTrafficTable und zu deren Verwendung mit RADIUS
Vorbemerkungen:
- Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 7 verwendet, die Konfiguration erfolgt mittels GUI.
- Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren.
- Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Hinweise zur ipsecPeerTrafficTable und zu deren Verwendung mit RADIUS:
Im Zusammenhang mit IPSec-Peers kann es unter Umständen vorteilhaft sein, den initiierenden VPN-Traffic mit Hilfe der
Funktion "Zusätzlicher Filter des IPv4-Datenverkehrs" selektiv zu beschränken (vergleiche Online-Hilfe und Manual).
Die dafür zuständige MIB-Tabelle ist die ipsecPeerTrafficTable. Beispielanzeige der ipsecPeerTrafficTable:
rs353jw_ks:> ipsecPeerTrafficTable inx Ifindex(*rw) Description(rw) LocalAddress(*rw) LocalMask(rw) LocalPort(rw) LocalPortRange(rw) RemoteAddress(*rw) RemoteMask(rw) RemotePort(rw) RemotePortRange(rw) Protocol(rw) Policy(-rw) 0 38100001 "Zusatzfilter-1" 10.1.0.0 255.255.0.0 -1 1 10.2.0.0 255.255.0.0 -1 1 dont_verify role_initiator rs353jw_ks:ipsecPeerTrafficTable>
Als Policy ist hierbei nur "role_initiator" anwendbar - zur Filterung des die IPSec-Phase 2 der VPN-Verbindung initiierenden Traffics.
Im Beispielfall sieht das GUI-Menü eines IPSec-Peers mit obigem Eintrag bei "Zusätzlicher Filter des IPv4-Datenverkehrs" folgendermaßen aus:
Bild 1: GUI-Menü eines IPSec-Peers mit Eintrag bei "Zusätzlicher Filter des IPv4-Datenverkehrs"
Zur Verwendung mit RADIUS: Die Verwendung der ipsecPeerTrafficTable mit RADIUS ist leider nicht möglich!
Beim Anlegen von IPSec-Peers mit RADIUS könnte es in ganz speziellen Anwendungsfällen hilfreich sein, wenn man auch die
ipsecPeerTrafficTable mit RADIUS verwenden könnte. Das ist jedoch leider nicht möglich. Das zeigt auch ein Blick in das
RADIUS dictionary file "raddict.txt" auf dem bintec FTP-Server (im Verzeichnis bintec, dort unter radius). Im Abschnitt
"BinTec Extensions" sind die für RADIUS vorgesehenen Tabellen aufgeführt:
# BinTec Extensions # ATTRIBUTE BinTec-biboPPPTable 224 string ATTRIBUTE BinTec-biboDialTable 225 string ATTRIBUTE BinTec-ipExtIfTable 226 string ATTRIBUTE BinTec-ipRouteTable 227 string ATTRIBUTE BinTec-ipExtRtTable 228 string ATTRIBUTE BinTec-ipNatPresetTable 229 string ATTRIBUTE BinTec-ipxCircTable 230 string ATTRIBUTE BinTec-ripCircTable 231 string ATTRIBUTE BinTec-sapCircTable 232 string ATTRIBUTE BinTec-ipxStaticRouteTable 233 string ATTRIBUTE BinTec-ipxStaticServTable 234 string ATTRIBUTE BinTec-ospfIfTable 235 string ATTRIBUTE BinTec-pppExtIfTable 236 string ATTRIBUTE BinTec-ipFilterTable 237 string ATTRIBUTE BinTec-ipQoSTable 238 string ATTRIBUTE BinTec-qosIfTable 239 string ATTRIBUTE BinTec-qosPolicyTable 240 string ATTRIBUTE BinTec-ipsecPeerTable 241 string ATTRIBUTE BinTec-ipsecTrafficTable 242 string ATTRIBUTE BinTec-ipsecDialTable 243 string ATTRIBUTE BinTec-ipNatOutTable 244 string ATTRIBUTE BinTec-ikeProfileTable 245 string ATTRIBUTE BinTec-ipsecProfileTable 246 string
Die besagte "ipsecPeerTrafficTable" ist hier nicht dabei und demnach leider nicht für die Verwendung mit RADIUS vorgesehen.
Abschlußbemerkung:
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
Basis:
Erstellt: 23.5.2017
Produkt: RS353jw
Release: 10.1.21.107
KW: 21/2017
kst