IPSec

Manuelle Einstellung des MTU-Wertes für ein IPSec-Interface

Vorbemerkungen

• MTU = Maximum Transmission Unit
• Im Gegensatz zu Ethernet-Interfaces läßt sich für ein IPSec-Interface der zu verwendende MTU-Wert manuell auf einen bestimmten Wert einstellen.
• Im vorliegenden Beispiel wird ein bintec RS353jw mit Software-Version 10.2.6 Patch 2 verwendet, die Konfiguration erfolgt mittels GUI bzw. Telnet-Konsole.
• Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
• Im Zuge der technischen Weiterentwicklung der Systemsoftware können sich Änderungen ergeben.
• Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Vorgehensweise auf der Kommandozeile der Konsole

Für ein IPSec-Interface läßt sich im zugeordneten Phase-1-Profil in der MIB-Tabelle “ikeProfileTable” der Wert der MTU für IPv4-Traffic durch Setzen der MIB-Variablen “MtuMax” manuell vorgeben.

Die HTML-MIB-Reference sagt zur Variablen “MtuMax”:
“The maximum MTU value allowed for ipsecPeerStatMtu. This variable affects only peers with ipsecPeerStatIpVersion ‘ipv4’. Zero means use value from global profile, if this is the global profile, 1418 is assumed. Nonzero values smaller than 214 are reset to the minimum of 214.”

Vorgehensweise auf der Kommandozeile der Konsole (Telnet-, SSH- oder seriell) zur Umstellung der Variablen “MtuMax” auf den Beispielwert 1250 Byte, in der “ikeProfileTable” z.B. im Datensatz mit inx “0” und der Bezeichnung “wz_ike_1”:

rs353jw_ks:> ikeProfileTable
inx Index(ro)                Description(rw)          AuthMethod(-rw)
    Mode(rw)                 Proposal(*rw)            Group(rw)
    Cert(rw)                 LocalId(rw)              CaCerts(rw)
    LifeTime(ro)             PfsIdentity(rw)          Heartbeats(rw)
    BlockTime(rw)            NatT(rw)                 MtuMax(rw)
    LifeSeconds(rw)          LifeKBytes(rw)           LifePolicy(rw)
    Ip6MtuMax(rw)

  0 1                        "wz_ike_1"               pre_sh_key
    aggressive               5                        5
    0                        "[rs353jw_ks]"
    -1                       default                  dpd_idle
    30                       enabled                  0
    28800                    0                        loose
    0
...
rs353jw_ks:ikeProfileTable> MtuMax:0=1250
  0: ikePrfMtuMax.5( rw):        1250
rs353jw_ks:ikeProfileTable>

Alle IPSec-Verbindungen mit zugeordnetem Phase-1-Profil “wz_ike_1” sollten beim Neuaufbau von nun an diesen neuen MTU-Wert verwenden können.

Vorgehensweise in der GUI-Ansicht “SNMP-Browser”

In der “SNMP-Browser”-Ansicht der GUI erfolgt die Umstellung der “MTU” unter IPSec, ikeProfileTable, Edit mittels der Variablen “ikePrfMtuMax”.

Beispiel in der GUI-Ansicht “SNMP-Browser” unter IPSec, ikeProfileTable mit Editieren des Eintrags für Phase-1-Profil “wz_ike_1” (Ausschnitt):

Bild 1: GUI-SNMP-Browser, ikeProfileTable, Eingabebeispiel für ikePrfMtuMax = 1250 Byte (danach den abschließenden Klick auf “OK” nicht vergessen!)

Auch hier gilt: Alle IPSec-Verbindungen mit zugeordnetem Phase-1-Profil “wz_ike_1” sollten beim Neuaufbau diesen neuen MTU-Wert verwenden können.

Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. mit “cmd=save” auf der Konsole)
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt: 10.7.2019
Stand: 12.7.2019
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.6 Patch 2
kst24/2019