Änderung Parameter SA-Aufbau durch Firmware-Update 10.12 -> 10.20
Moderator: Lancom-Systems Moderatoren
Änderung Parameter SA-Aufbau durch Firmware-Update 10.12 -> 10.20
Nach dem Update der Router-Firmware von 10.12.0292RU6 auf 10.20.0259RU1 (und erforderlichem Downgrade, da die aktuelle Firmware bei uns nicht stabil läuft - siehe separater Thread) habe ich beim Vergleichen der beiden Konfigurationsdateien festgestellt, dass durch das Update der Firmware offenbar der VPN-Parameter für den Aufbau Netzbeziehungen (SAs) von Gemeinsam für KeepAlive (Wert 2) auf Immer alle gemeinsam (Wert 1) geändert wurde. Warum hat sich diese Einstellung ohne mein Zutun verändert und was ist hier die sinnvolle Einstellung? Aus den Erläuterungen in LCOS-Refmanual werde ich nicht so recht schlau. Vielen Dank für ein paar Hinweise!
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Re: Änderung Parameter SA-Aufbau durch Firmware-Update 10.12 -> 10.20
Hi Hagen2000,
die Einstellung "gemeinsam bei KeepAlive" wurde abgeschafft, weil es eigentlich keinen Sinn mach mal so und mal so zu verfahren. Insbesondere hat es immer wieder Problem mit herausgealterten SAs gegeben, weil manche IPSec-Gateways nicht damit umgehen können auch als Responder SAs bei bedarf aufzubauen.
Eine sinnvolle Einstellung ist, in den gemeinsamen Aufbau allen Filialen ein- und in der Zentrale abzuschalten. Damit ziehen die Filialen sofort alle SAs hoch und die Zentrale wird entlastet, weil sie nur noch auf einkommende Anfragen reagiert (es schadet zwar nicht, es auch in der Zentrale einzuschalten, erhöhrt aber deren Load unnötig)
Gruß
Backslash
die Einstellung "gemeinsam bei KeepAlive" wurde abgeschafft, weil es eigentlich keinen Sinn mach mal so und mal so zu verfahren. Insbesondere hat es immer wieder Problem mit herausgealterten SAs gegeben, weil manche IPSec-Gateways nicht damit umgehen können auch als Responder SAs bei bedarf aufzubauen.
Eine sinnvolle Einstellung ist, in den gemeinsamen Aufbau allen Filialen ein- und in der Zentrale abzuschalten. Damit ziehen die Filialen sofort alle SAs hoch und die Zentrale wird entlastet, weil sie nur noch auf einkommende Anfragen reagiert (es schadet zwar nicht, es auch in der Zentrale einzuschalten, erhöhrt aber deren Load unnötig)
Gruß
Backslash