Hauptmenü öffnen

bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces

Version vom 31. März 2017, 09:31 Uhr von Klaus Stavemann (Diskussion | Beiträge)

Version vom 31. März 2017, 09:31 Uhr von Klaus Stavemann (Diskussion | Beiträge)

Titel bintec RS353jw - Manuelle Einstellung des MTU-Wertes für IPSec-Interfaces

Vorbemerkungen:

  • Im Gegensatz zu Ethernet-Interfaces läßt sich der standardmäßig verwendete MTU-Wert für IPSec-Interfaces auf einen anderen (üblicherweise kleineren) Wert umstellen.
  • Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 patch 1 verwendet, die Konfiguration erfolgt mittels Konsole und GUI.
  • Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Vorgehensweise:

Der MTU-Wert von IPSec-Interfaces läßt sich (jedenfalls für IPv4) in der ikeprofiletable mit der Variable "MtuMax" beeinflussen.

Die HTML-MIB-Reference sagt zu dieser Variablen: "MtuMax The maximum MTU value allowed for ipsecPeerStatMtu. This variable affects only peers with ipsecPeerStatIpVersion 'ipv4'.
Zero means use value from global profile, if this is the global profile, 1418 is assumed. Nonzero values smaller than 214
are reset to the minimum of 214. Range: 0 to 65535"


Vorgehensweise auf der Kommmandozeile der Telnet-Konsole, SSH-Konsole oder seriellen Konsole zur Umstellung von "MtuMax"
auf den Beispielwert 1250 Byte im Phase-1-Profil mit der Datensatznummer 0, hier bezeichnet als "Multi-Proposal": 

rs353jw_ks:> ikeprofiletable

inx Index(ro)                Description(rw)          AuthMethod(-rw)
    Mode(rw)                 Proposal(*rw)            Group(rw)
    Cert(rw)                 LocalId(rw)              CaCerts(rw)
    LifeTime(ro)             PfsIdentity(rw)          Heartbeats(rw)
    BlockTime(rw)            NatT(rw)                 MtuMax(rw)
    LifeSeconds(rw)          LifeKBytes(rw)           LifePolicy(rw)
    Ip6MtuMax(rw)

  0 1                        "Multi-Proposal"         pre_sh_key
    aggressive               7                        5
    0                        "rs353jw_ks"
    -1                       default                  auto
    30                       enabled                  0
    14400                    0                        loose
    0

rs353jw_ks:ikeProfileTable> MtuMax:0=1250
  0: ikePrfMtuMax.7( rw):        1250
rs353jw_ks:ikeProfileTable>

Alle IPSec-Verbindungen mit diesem Phase-1-Profil sollten von nun an beim Neuaufbau diesen neuen MTU-Wert verwenden können.


Alternative Vorgehensweise in der SNMP-Browser-Ansicht der GUI, in der Hauptmenüspalte unter IPSec, ikeProfileTable, edit (Ausschnitt):

GUI-SNMP-Browser, ikeProfileTable, Eingabebeispiel für ikePrfMtuMax = 1250

Bild 1: GUI-SNMP-Browser, ikeProfileTable, Eingabebeispiel für ikePrfMtuMax = 1250 (danach den abschließenden Klick auf "OK" nicht vergessen!)

Abschlußbemerkung:

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save")
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis:

Erstellt: 30.03.2017
Produkt: RS353jw
Release: 10.1.21.101
KW: 06/2017
kst

Abgerufen von „http://faq.bintec-elmeg.com/index.php?title=bintec_RS353jw_-_Manuelle_Einstellung_des_MTU-Wertes_für_IPSec-Interfaces&oldid=1713
Zuletzt bearbeitet am 10. Juli 2019 um 08:41