Test LCOS 10.20 Autoupdater "beta" Builds

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von beki »

  • Check-Time-Begin und Check-Time-End sind beide Null. Bei allen Geräten? Habt ihr euch Gedanken über die Skalierung gemacht? Wird die tatsächliche Abfragezeit im Hintergrund doch noch randomisiert, sodass nicht irgendwann Tausende Geräte gleichzeitig auf ein Update prüfen und ihr euch somit eure eigene DDOS Attacke schafft?
  • Aaaaah, interessant: Die Base-URL wird automatisch um ein "s" ergänzt, sodass man keine http-URLs, sondern nur https-URLs einstellen kann.
  • Mäh, man braucht POST Daten: "[Automatic-Firmware-Updater] 2018/08/24 21:37:33,679 (Downloadtask->PostData) Generate POST data structure."
  • Der Update Checker kommt nicht mit Antworten vom im LCOS integrierten DNS Server klar, wie es mir scheint.
  • Meinem letsencrypt Zertifikat wird jedenfalls nicht vertraut: (Downloader->Downloadling, task: 0) ERROR: TLS Error: Bad certificate, Code: 42
  • Die ausstellende CA des Zertifikats von https://update.lancom.de steht im truststore.
Mäh. Spielverderber! Die Zertifikate im LCOS Truststore kann man nicht manipulieren. Die stecken in der UPX. Ich denke, soviel darf ich verraten. Und selbst wenn man ein eigenes vertrauenswürdiges Zertifikat dort hinterlegt, heißt das noch lange nicht, dass der TLS Stack mit allen Zertifikaten daraus gefüttert wird, wenn die Verbindung zum Update-Server aufgebaut wird. Gut möglich wird so oder so nur der "CN=LANCOM ES Root CA" vertraut.

Blöd! Jetzt kann man noch brute-forcen, was sinnvolle POST-Werte sein könnten und damit den Update-Server bombardieren, aber das macht ja keinen Spaß.

Ich wundere mich wohl, dass es nicht vorgesehen zu sein scheint, dass der Autoupdater auch einen in einer großen Firma selbst verwalteten Update-Server benutzen könnte. Ist das kein Use-Case?

@Jirka: Jedenfalls gehe ich stark davon aus, dass der Update-Server bei sinnvollen POST-Daten mit einer sinnvollen XML antwortet, aus der der Autoupdate im LCOS dann eine Download-URL liest. Weitere Meta-Daten wie "ist das ein security update?" kann man ja leicht im XML unterbringen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Jirka »

Hallo Beki,

es freut mich sehr, dass Du mal wieder vorbeischaust und hier offene Fragen rauspickst und mit viel Elan versuchst, diese zu beantworten. Auch habe ich von Deinem 1&1-Problem gelesen und freue mich mit Dir, dass es jetzt nicht mehr existiert. Tröste Dich, dass ich bei den letzten VoIP-Problemen, die ich an die Telekom gegeben hatte und auch an Vodafone (teilweise waren es Probleme zwischen den Providern, wo sich die Provider auch noch nicht mal einig waren, wer jetzt die Schuld trägt), dass ich da auch nie erfahren habe, wer da jetzt was gemacht hat. Eines Tages war das Problem weg (relativ zügig muss man dazu sagen), der Fall auf gelöst, aber was da nun genau war, keine Ahnung. Immerhin hat sich die Telekom sehr kulant gezeigt und meinem Kunden als Kulanz kostenlos Hardware zukommen lassen. Das ist jetzt aber auch ein größerer Kunde...
beki hat geschrieben: 24 Aug 2018, 22:22Mäh. Spielverderber! Die Zertifikate im LCOS Truststore kann man nicht manipulieren. Die stecken in der UPX. Ich denke, soviel darf ich verraten.
Das wusste ich auch schon :-)
beki hat geschrieben: 24 Aug 2018, 22:22Blöd! Jetzt kann man noch brute-forcen, was sinnvolle POST-Werte sein könnten und damit den Update-Server bombardieren, aber das macht ja keinen Spaß.
Ja, trotzdem danke.
beki hat geschrieben: 24 Aug 2018, 22:22Ich wundere mich wohl, dass es nicht vorgesehen zu sein scheint, dass der Autoupdater auch einen in einer großen Firma selbst verwalteten Update-Server benutzen könnte. Ist das kein Use-Case?
Dr. Einstein hat geschrieben, dass das geht oder vorgesehen ist. Ich habe mir das noch nicht weiter angeschaut, habe ja auch meinen eigenen Auto-Updates sehr gut am laufen, so perfekt, dass ich evt. gar nicht umsteigen werde oder vielleicht erst in 5 Jahren oder so.
beki hat geschrieben: 24 Aug 2018, 22:22@Jirka: Jedenfalls gehe ich stark davon aus, dass der Update-Server bei sinnvollen POST-Daten mit einer sinnvollen XML antwortet, aus der der Autoupdate im LCOS dann eine Download-URL liest. Weitere Meta-Daten wie "ist das ein security update?" kann man ja leicht im XML unterbringen.
Ok, danke noch mal für Deine Mühe.

Viele Grüße,
Jirka
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von beki »

Jirka hat geschrieben: 25 Aug 2018, 11:08 es freut mich sehr, dass Du mal wieder vorbeischaust
Danke :wink:
Jirka hat geschrieben: 25 Aug 2018, 11:08 Dr. Einstein hat geschrieben, dass das geht oder vorgesehen ist.
Dann hab ich es noch nicht verstanden. Entweder muss man sich dafür ein Zertifikat von LANCOM unterchreiben lassen, oder es müsste einen Datei-Slot geben, in den man ein für den Autoupdate vertrauenswürdiges Zertifikat hochladen kann. Vielleicht steht in den kommenden ReleaseNotes bzw. der dann erscheinenden Doku etwas entsprechendens, falls wir hier nicht noch einen Tipp bekommen.

Jedenfalls hat man dann die Möglichkeit, die POST Daten auszuspähen und zu verstehen, was da verschickt wird und was ein Server antwortet.

Gruß
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Dr.Einstein »

Nene, in Richtung Security kam nix von mir. Du hast halt die Möglichkeit, einen HTTPS Server mit UPX Dateien vollzupflastern. Danach kannst du mittels einer XML Datei die UPX Dateien beschreiben (Modell, SU/RU/Release usw.). Lancom typisch würde doch zu genau diesem Thema beim LCOS Release ein KB-Artikel veröffentlicht, der die Anforderungen beschreibt. Alternativ im LCOS Referenzhandbuch.

Gruß Dr.Einstein
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Jirka »

Hallo Dr. Einstein,
Dr.Einstein hat geschrieben: 28 Aug 2018, 20:24Lancom typisch würde doch zu genau diesem Thema beim LCOS Release ein KB-Artikel veröffentlicht, der die Anforderungen beschreibt.
wird oder wurde oder doch würde? Ist der Artikel schon öffentlich? (Link?) Aber Du hast ihn schon gesehen?

Vielen Dank und viele Grüße,
Jirka
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Dr.Einstein »

Nene, ich habe gar nichts in den Händen. Aber wenn man einfach mal in die Vergangenheit schaut, gab es doch fast zu jedem neuen Thema entweder ein Addendum für LCOS Handbuch oder ein KB Artikel, der neue Funktionsweisen beschreibt. Ich gehe einfach davon aus, die Lancom typisch diese Informationen kurz vor / beim / kurz nach LCOS Release veröffentlicht werden. Ich habe nur die Info erhalten, dass der Autoupdater unabhängig von lancom.de funktionieren soll, auf XML basiert und ja bereits das Feld für die Änderung der URL existiert...

Gruß Dr.Einstein
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Jirka »

Hallo Dr. Einstein,

danke für die eindeutige Klarstellung.
Über die Telekom-Geräte läuft ja (schon länger) noch wieder eine andere Art Autoupdate. Vermutlich hat das eine mit dem anderen nichts zu tun. Na schauen wir mal, wie es weiter geht da...

Viele Grüße,
Jirka
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Jirka »

Hallo zusammen,

ich habe in diesem Thread ja schon zwei drei Postings geschrieben, aber richtig angeschaut hatte ich mir die ganze Sache ja noch nie. Inzwischen ist ja ein Vierteljahr vergangen und deswegen hatte ich die Woche das jetzt mal kurz gemacht gehabt. Ich hatte die Firmware 10.20-Rel eingespielt und wollte dann mal mit der Autoupdater-Funktionalität auf die 10.20-RU1 aktualisieren. Aber irgendwie hat er nichts gefunden...

Gefunden habe auch ich nicht, was ich suchte, als ich nach einem Versuch - für eine Konfigübernahme per Script von einem alten 1724 - auf dem neuen 1784VA eine alte Firmware zu installieren, die Integritätsprüfung der Firmware abschalten wollte, weil ich eine Fehlermeldung über eine nicht signierte Firmware bekam. Entweder habe ich Tomaten auf den Augen oder diese Funktionalität ist ebenso noch nicht aktiv. Oder das liegt an meinem verbasteltem LANconfig mit 10.12-er exe und 10.20-er dsc's? Aber auf der Konsole war auch nix zu finden. Insofern glaube ich eher, dass hier noch was fehlt oder es aufgrund eines Bugs nicht angezeigt wird.

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Jirka »

Hallo zusammen,

also irgendwie ist mir beim Verlinken wohl ein Fehler unterlaufen, da kommt nur eine "404". Oder aber das wurde inzwischen gelöscht, aber dann hätte hier ja wohl jemand was dazu geschrieben.
Also hier noch mal ein funktionierender Link: https://www.lancom-systems.de/docs/conf ... e-upx.html
Und hier der entsprechende Screenshot davon:
.
2018-12-18 23_11_45-LCOS 10.20 Referenzhandbuch.png

Die Frage ist also, wo ist diese Funktion.
Des Weiteren die Frage, hat diese Funktion, also das Secure Upload, mit dem Autoupdater was zu tun oder nicht? Oder ist das Voraussetzung für den Autoupdater? Geht er deswegen nicht, also ich meine der Autoupdater?
Ich habe da letzte Woche einen neuen 1784 mit Firmware 10.12.0582 gehabt und die Fehlerausschrift auf der Konsole war:

Code: Alles auswählen

A new firmware is being uploaded ... firmware is not signed
Error: Firmware upload aborted
Jetzt habe ich einen R884VA bei einem Kunden mit Firmware 10.12.0292 und da kommt, beim Versuch die 10.12.0442 zu installieren, folgende Fehlerausschrift auf der Konsole:

Code: Alles auswählen

A new firmware is being uploaded ... signature key error
Error: Firmware upload aborted
Irgendwas stimmt da nicht.

Unter 'ls /Firmware/Secure-Upload' steht:

Code: Alles auswählen

LTK-Hash   INFO:    0000000000000000000000000000000000000000000000000000000000000000
Normal dürften da doch keine Nullen sein, oder? Aber auf jedem anderen LANCOM sind da auch Nullen und da funktioniert alles, also müsste es hier auch gehen. Tut es aber nicht. Und wenn man sich die Konfig genauer anschaut, dann sind automatische Firmware-Updates auch ausgegraut und man kann sie auch nicht aktivieren (bzw. deaktivieren, der Haken ist ja gesetzt):
.
2018-12-19 00_00_45-RADMV-HRO, ... Konfiguration.png

Aber wieso ist denn da eine alte Firmware drauf, wenn automatische Firmware-Updates aktiv ist? Eine Erklärung wäre, weil es nicht geht. Aber dann geht das ja anscheinend schon länger nicht.

Falls mir hier jemand weiterhelfen kann, wäre ich sehr dankbar.

Vielen Dank und viele Grüße,
Jirka
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Pothos
Moderator
Moderator
Beiträge: 366
Registriert: 09 Feb 2012, 10:26
Wohnort: Jülich

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Pothos »

Hi Jirka,

was da das Problem ist, kann ich dir leider nicht sagen. Nur mit dem AutoUpdater hat das nichts zu tun. Den konfigurierst du ab LCOS 10.20 unter "/Setup/Automatic-Firmware-Update" oder unter LANconfig unter "Management -> Software-Update":
AfU_LANconfig.PNG
Und der AfU Beta Server liefert aktuell sowohl die 10.20 RU2 aus, als auch eine neuere Beta. Abhängig von deiner Konfiguration.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Gruß
Pothos
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von Jirka »

Hallo Pothos,
Pothos hat geschrieben: 19 Dez 2018, 07:46was da das Problem ist, kann ich dir leider nicht sagen.
schade. Man bräuchte jemanden, der sich mit diesem Secure-Upload auskennt.
Pothos hat geschrieben: 19 Dez 2018, 07:46Nur mit dem AutoUpdater hat das nichts zu tun.
Das heißt, da läuft dann auch kein Secure-Upload? Oder ist der Umkehrschluss falsch? Aber wenn da kein Secure-Upload läuft und der AfU-Server wird gehackt, und jemand spielt da falsche Firmware rauf, was ist dann? Gut, das kann mir beim FTP-Server, wo ich die Firmware jetzt herbeziehe, auch passieren. Da lade ich ja auch nur einfach runter ohne zu kontrollieren, ob die "echt" sind, aber da sind ja dann auch nicht gleich zehntausende Router von betroffen.
Pothos hat geschrieben: 19 Dez 2018, 07:46Den konfigurierst du ab LCOS 10.20 unter "/Setup/Automatic-Firmware-Update" oder unter LANconfig unter "Management -> Software-Update":
Genau da hatte ich das letzte Woche mal probiert, allerdings nicht mit dem von Dir angesprochenen AfU-Beta-Server, sonder mit der Default-Konfig, also den Standard-Server, so wie LANCOM ihn vorgibt. Irgendwie dachte ich mit RU1/RU2 ist ja nun die Beta-Phase der Features der 10.20 langsam ausgelaufen und die Features sind funktional. Ich habe jetzt auch nirgends gelesen, dass der normale AfU-Server noch nicht in Betrieb ist, aber dann ist das vermutlich so.
Und wie sieht das mit den Telekom-Geräten aus? Also ich meine jetzt R883VAW und R884VA und so, machen die jetzt mit der 10.20 auch AutoUpdater? Wenn man in LANconfig luschert - es gibt ja noch keine 10.20 für die Telefom-Geräte - dann sieht es so aus. Gleichzeitig bleibt aber anscheinend der Haken für "Automatische Firmware-Updates aktivieren" unter Management -> EasySupport bestehen?! Das ist mir irgendwie zu hoch... oder doppelt gemobbelt.

Bleibt die Frage, wo kann man Secure Upload ein- oder ausschalten oder auf Defaultwerte zurücksetzen...

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von stefanbunzel »

Hallo Jirka,

sag mal, bist du hier schon weiter gekommen?
Mir ging es jetzt auch (mal wieder) so, dass ich solche komischen "signature-" und/oder "RSA-Error" Meldungen beim Umschalten auf eine ältere Firmware bekam:
Jirka hat geschrieben: 19 Dez 2018, 03:18 Jetzt habe ich einen R884VA bei einem Kunden mit Firmware 10.12.0292 und da kommt, beim Versuch die 10.12.0442 zu installieren, folgende Fehlerausschrift auf der Konsole:

Code: Alles auswählen

A new firmware is being uploaded ... signature key error
Error: Firmware upload aborted
Irgendwas stimmt da nicht.

Unter 'ls /Firmware/Secure-Upload' steht:

Code: Alles auswählen

LTK-Hash   INFO:    0000000000000000000000000000000000000000000000000000000000000000
Normal dürften da doch keine Nullen sein, oder? Aber auf jedem anderen LANCOM sind da auch Nullen und da funktioniert alles, also müsste es hier auch gehen. Tut es aber nicht. ...
Mir ist noch aufgefallen, dass bei manchen Lancom-Geräten ja doch ein LTK-Hash drin steht:

Code: Alles auswählen

LTK-Hash   INFO:    d1cea32c3354ea01995bd8f167a483eacc999563bcb3ffdbf11ceb57aec8250d
Da frage ich mich natürlich, ob nun ein LTK-Hash erforderlich ist und warum der mal in Geräten drin steht und mal nicht? Bzw. wie ich den im Gerät erzeugen kann oder muss, um evtl. die o.g. Fehler-Meldungen zu umgehen?

Vielleicht kann da mal jemand von Lancom sich dazu äußern?

Ich wünsche euch allen schon mal einen guten Rutsch ins neue Jahr 2019!

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von cpuprofi »

Hallo an Alle,

hat sich die Beta-Update URL geändert oder warum geht das nicht mehr?

Code: Alles auswählen

root@Lancom1781VAW:/
> ls /st/autom

Log-Table             TABINFO: 242+ x [Index,Time,Module,Log-Level,..]
Current-Action        INFO:    none
Current-Version       INFO:    LCOS 10.30.0142
Last-Check            INFO:    06/07/2019 00:00:52
Last-Result           INFO:    OK
Lifecycle-State       INFO:    unknown
Mode                  INFO:    check-and-update
Next-Check            INFO:    06/08/2019 00:35:22
Planned-Installation  INFO:    none
State                 INFO:    idle
Update-Candidate      INFO:
Clear-Log-Table       ACTION:

root@Lancom1781VAW:/
> do /Setup/Automatic-Firmware-Update/Check-Firmware-Now
OK: Action Check-Firmware-Now done

root@Lancom1781VAW:/
> do /Setup/Automatic-Firmware-Update/Update-Firmware-Now
OK: Action Update-Firmware-Now done

root@Lancom1781VAW:/
> ls /st/autom

Log-Table             TABINFO: 229+ x [Index,Time,Module,Log-Level,..]
Current-Action        INFO:    none
Current-Version       INFO:    LCOS 10.30.0142
Last-Check            INFO:    06/07/2019 08:25:39
Last-Result           INFO:    OK
Lifecycle-State       INFO:    unknown
Mode                  INFO:    check-and-update
Next-Check            INFO:    06/08/2019 00:35:22
Planned-Installation  INFO:    none
State                 INFO:    idle
Update-Candidate      INFO:
Clear-Log-Table       ACTION:

root@Lancom1781VAW:/
>
Grüße
Cpuprofi
root
Beiträge: 12
Registriert: 29 Jan 2019, 19:14

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von root »

Hallo cpuprofi,

die URL hat sich nicht geändert. Da der Client aber keinen Fehler meldet "Last-Result INFO: OK", scheint es zur Zeit einfach nur keine neuere Version als die "LCOS 10.30.0142" zu geben.

Gruß
root
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Test LCOS 10.20 Autoupdater "beta" Builds

Beitrag von cpuprofi »

Hallo root,

na ja, auf dem FTP im Beta-Bereich ist die "10.30.0146" aber seit gestern vorhanden und die ist neuer als die "10.30.0142"... :G)

Grüße
Cpuprofi
Antworten