Gelöst IPSec zwingend mehrere Phase1 Profile?

Dieses Thema im Forum "Bintec" wurde erstellt von holdes, 19. Februar 2020.

  1. vicesquad

    vicesquad Gelegenheits-User

    Registriert seit:
    20. November 2017
    Beiträge:
    16
    Punkte für Erfolge:
    3
    Ich kopiere mal den Ticketverlauf hier rein...kommentieren muss ich das nicht mehr...


    Sehr geehrte Damen und Herren,

    wie ich zufällig entdecken musste wurde mit der Firmwareversion 10.2.7 (zumindest via GUI) die Konfigurationsmöglichkeit eines Backup-Peers bei der Verwendung von IPSec IKEv1 deaktiviert.
    Dazu hätte ich gerne ein paar Informationen:
    1. Finde ich in den Release-Notes der Firmwares keine Information dazu. Oder sehe ich diese nur nicht?
    2. Ist das eine endgültige Abkündigung der Backup-Peer Funktionalität für ikev1-Peers?
    3. Was passiert mit einem auf einer "alten" Firmware konfigurierten Backup-Peer nach einem Firmwareupdate? Bleibt die Funktionalität erhalten? Wie kann ich dann Änderungen vornehmen? Via CLI?

    Ganz allgemein:
    Meiner Erfahrung nach funktionieren ikev2 IPSec Konfigurationen insbesondere mit mehreren Routen durch das VPN bis heute nicht zuverlässig - insofern ist mMn die Deaktivierung der o.g. Funktion nicht hilfreich.

    mit freundlichen Grüßen


    Sehr geehrter Herr,
    vielen Dank für die Anfrage. Leider haben Sie recht. Mit neuerer Firmware ist dieses Feature nicht mehr sichtbar, allerdings hätten wir einen Vorschlag, was Sie testweise anlegen konnten. Ändern Sie die Ansicht an den SNMP Browser. Unter ipsec >> ipsecpeertable haben Sie den Punkt "SecondaryPeerIndex". Dort tragen Sie den Index von dem Backup-Peer. Beachten Sie bitten, dass Sie unter der Tabelle zwei Indexvariable haben. Die Varaible die Sie brauchen wäre die zweite in der Reihe.


    Sehr geehrter Herr Djoric,
    "allerdings hätten wir einen Vorschlag, was Sie testweise anlegen konnten". Mit testweise habe ich bei Produktivsystemen immer so meine Probleme. Ganz davon abgesehen, dass es offensichtlich keine von Bintec erprobte/freigegebene Prozedur für meinen geschilderten Fall gibt. Was ich aber definitiv auch noch beantwortet hätte wären die Punkte 1. und 2. - vor allem ob nur ich die vorgenommene Beschneidung der Funktionalität in keiner Release-Note sehe oder ob diese stillschweigend vorgenommen wurde!?


    Hallo Herr,

    nach Rücksprache mit der Fachabteilung wurde uns folgendes mitgeteilt.
    Diese Option war noch nie für IKEv1 vorgesehen, darum wurde auch diese mit der neuren Version gelöscht.
    Unter der Online Hilfe können Sie sehen, dass die Backup Peers nur für IKEv2 unterstütz wird.

    Wir hoffen, dass Ihre Fragen hiermit beantwortet wurden.
     
    holdes hat sich bedankt.
  2. holdes

    holdes Gelegenheits-User

    Registriert seit:
    29. Januar 2020
    Beiträge:
    18
    Punkte für Erfolge:
    3
    Vielen Dank dafür und ansonsten Kopf schütteln und weitergehen... Kann man halt mal machen. Zumindest klingt es danach, dass ich das guten Gewissens nach weiter einrichten kann, ob nun per Telnet oder SNMP.

    Klingt aber fast nach April: „Wir wussten selbst nicht einmal das wir zu viele Features für den Kunden bieten, bitte liebe Entwickler nehmt das wieder raus damit wir nicht besser als die anderen dastehen.“

    Sonst tut es denen ja auch nicht weh ins Release Log zu schreiben wenn sie Punkte aus dem GUI nehmen.