BPjM-Modul: Module-operating INFO: No - Warum?

[Jirka]

Hallo,

ich verstehe es nicht und ich kriege es nicht hin. Das BPjM-Modul weigert sich hartnäckig seine Arbeit zu tun, und ich weiß nicht warum. Eine Schule die nächste Gemeinde weiter habe ich fast alles genauso, da funktioniert alles:

root@GSM-Router:/
> ls st/fire/bpjm

Last-update-result INFO: No-update-necessary
Licence-active INFO: Yes
Module-operating INFO: Yes
Rule-active INFO: Yes
Delete-Values ACTION:

Jetzt zu meinem Problemfall:
root@Paedagogik-BPjM-Router:/
> ls st/fire/bpjm

Last-update-result INFO: No-update-necessary
Licence-active INFO: Yes
Module-operating INFO: No
Rule-active INFO: Yes
Delete-Values ACTION:

Es ist also Module-operating auf No. Warum? (Das alleine würde mich ja nicht stören, aber es wird auch nichts ausgefiltert.)

Durchgeführte Maßnahmen (ohne Erfolg):
Neustart
Firmware-Update (10.80-RU11 auf 10.80-RU13)
Überprüfen der Firewall-Regel
Ausführen des Delete-Values-Befehls (siehe oben)
Loopback-Adresse für den BPjM-Filter auf auf 192.168.178.1 setzen (IP-Adresse des Pädagogik-Netzes)

Mir gehen jetzt schlicht die Ideen aus, was hier los sein soll. Gewisse Sachen kann man ja offenbar ausschließen: Die Lizenz ist aktiv und die Regel ist aktiv, beides wird ja auch so angezeigt. Nur warum ist dann das Modul nicht aktiv?!

Der Aufbau ist an dieser (Grund-)Schule nicht ganz trivial. Da auf Glasfaser umgestellt wurde, habe ich einen 1800EF mit SFP-GPON-1 vorgeschaltet. Und da vermute ich das Problem. Der nachgeschaltete BPjM-Router hat auf LAN-Seite die IP-Adresse 192.168.12.5 (Verwaltungs-Netz) und auf WAN-Seite die 192.168.12.2 (über eine ganz normale Gegenstelle, kein lokales Routing). Der 1800EF hat die 192.168.12.1.
Es funktioniert alles super nur das BPjM-Modul eben nicht. Die ganze Sache war so, dass lange Zeit jetzt der Einsatz des BPjM-Moduls nicht gewünscht war, die Firewall-Regel war also deaktiviert. Seit zwei Wochen sollte es jetzt aktiviert werden, ich habe die Firewall-Regel eingeschaltet, aber es funktioniert nicht. Zwei Stunden alleine heute Abend, die ich mir nicht traue irgendwo aufzuschreiben, weil es doch nicht sein kann, dass man das blöde Ding nicht einfach einschalten kann. Zum Verzweifeln. Einen Trace dazu habe ich auch nicht gefunden. Wer kann mir erklären, was hier Ursache sein kann, oder vor sich geht? Danke!!!

[Jirka]

Das Abschalten des Verwaltungsnetzes (wegen des gleichen IP-Adresskreises auf WAN- und LAN-Seite) hat leider auch nichts gebracht. Es ist wirklich zum Verzweifeln.
Die WAN-Verbindung zum 1800EF ist DHCPoE mit benutzerdefinierter MAC. DNS-Auflösung ist kein Problem, es funktioniert alles, nur nicht BPjM.

Code: Alles auswählen

root@Paedagogik-BPjM-Router:/Status/IP-Router                                                            
> ls filter-l                                                                                            
                                                                                                         
Idx.     Prot. Source    S-St. S-End Destination     D-St. D-End Action       Linked Prio Src-Tag Rtg-tag
=========------------------------------------------------------------------------------------------------
00000001 0     0.0.0.0/0 0     0     ALLOW-LIST-BPJM 0     0     accept       No     9998 0       0      
00000002 0     0.0.0.0/0 0     0     BPJM            0     0     reject       No     9997 0       0      
00000003 17    0.0.0.0/0 137   139   0.0.0.0/0       0     0     inet: reject No     0    0       0      
00000004 6     0.0.0.0/0 137   139   0.0.0.0/0       0     0     inet: reject No     0    0       0      

Wieso Regel DEFAULT (ACCEPT-ALL)? Warum greift die Regel BPJM nicht?:

Code: Alles auswählen

root@Paedagogik-BPjM-Router:/
> tr # firew
Firewall                   ON

root@Paedagogik-BPjM-Router:/
>
[Firewall] 2025/12/08 14:35:29,803
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 74.125.29.155, SrcIP: 192.168.178.176, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 46696, Flags: FA
Seq: 1665826092, Ack: 2469890585, Win: 245, Len: 0
Option: NOP
Option: NOP
Option: 08 = f1 7b eb 30 88 8e 05 9b

bad TCP state (ACK expected in session recovery)
packet rejected

[Frühstücksdirektor]

Hast Du mal einen Reboot gemacht ?

[backslash]

Hi Jirka

Wieso Regel DEFAULT (ACCEPT-ALL)? Warum greift die Regel BPJM nicht?:

weil BPJM als DNS-Destination zählt. Es muß also vorher eine DNS-Anfrage erfolgen, die eine Domain auflöst, die in der geheimen BPJM-Datei steckt. Dann wird die aufgelöste Adresse der BPJM-Regel hinzugefügt. Das kannst du in einem "show filter" sehen:

Code: Alles auswählen

[Test]root@:/Setup/IP-Router/Firewall/Rules
> show filter
Filter 00000001 from Rule BPJM:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: BPJM 0-0
         <no address available>
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

statt "<no address available>" wird dort dann die Liste der aufgelösten IP-Adressen stehen.
Wichtig dafür ist, daß das LANCOM DNS-Server des Netzes ist. Um das zu erzwingen kann DNS generell blockiert und nur der Zugriff auf das LANCOM erlaubt werden:

Code: Alles auswählen

Name:     DENY-DNS
Aktion:   REJECT
Dienste:  DNS
Quelle:   alle Stationen
Ziel:     alle Stationen

Name:     ALLOW-DNS-LANCOM
Aktion:   REJECT
Dienste:  DNS
Quelle:   alle Stationen
ziel:     IP des LANCOMs (oder alle Stationen im lokalen Netz)

warum allerdings in Module-Operating "No" steht, kann ich dir auch nicht sagen - da wurde hoffentlich nicht irgendwo "händisch" eine DNS-Destination mit dem Namen "BPJM" angelegt?
Ist vielleicht diese geheime BPJM-Datei korrupt? (frag mich bitte nicht, ob - und wenn ja, woran - man das erkennen kann)

Gruß
Backslash

[backslash]

Hi Jirka,

laut demjenigen, der das BPJM-Modul eingebaut hat, ist es wohl so, daß sich letztens das Format der geheimen Datei geändert hat und ein jetzt jungfräulich aktivierter BPJM-Filter genau das Verhalten zeigt, weil er die Datei nicht parsen kann. Bereits bestehende FBPM-Filter laufen demnach weiter - aber mit der alten Datei...

Gruß
Backslash

[Jirka]

Hast Du mal einen Reboot gemacht ?

Jo, siehe oben bei "Durchgeführte Maßnahmen (ohne Erfolg)" die erste Position...
Meinst Du ein kompletter Geräte-Reset könnte was bringen? Also ein do o/r und anschließend Konfig wieder einspielen? Da das Gerät ja nicht mehr direkt am WAN hängt, sondern hinter dem 1800EF, könnte ich das remote machen und bräuchte nicht die fast 100 km (eine Strecke) dahin fahren.

weil BPJM als DNS-Destination zählt.

Ahh. Erleuchtung...
Nachträgliche Ergänzung: Aber eigentlich blöd von LANCOM umgesetzt. Der Admin wird darüber nicht aufgeklärt. Das ist nicht schön. Warum steht da nicht wenigstens "BPjM-DNS-Filter einsetzen" statt nur "BPjM-Filter einsetzen" in LANconfig in der Firewall-Regel?
Eigentlich habe ich das auch schon mal gewusst, damals als der BPjM eingeführt wurde, hatten wir das hier im Forum diskutiert. Aber da ich dass BPjM nie einsetzen wollte, habe ich mir das nicht gemerkt. Aber man kann sich ja nicht wehren gegen diesen Schwachsinn. (Sorry, aber das BPjM ist für mich das Letze. Content-Filter hänge ich aber auch durch, weil mir niemand sagen kann, wie ich beim neuen Filter eine Seite umklassifizieren kann, das ist für mich ein Problem. Ich habe das früher im Wochentakt gemacht, als ich noch die Kolping-Bildungswerke hatte, die dann von Sophos geschluckt wurden.)

Es muß also vorher eine DNS-Anfrage erfolgen, die eine Domain auflöst, die in der geheimen BPJM-Datei steckt.

Ok. Im DNS-Trace sieht man jede Menge Anfragen an den LANCOM, daran sollte es also nicht scheitern. Und auch die Allow-List ist ja gefüllt (YouTube erlaubt).

warum allerdings in Module-Operating "No" steht, kann ich dir auch nicht sagen

Das ist natürlich schade...

da wurde hoffentlich nicht irgendwo "händisch" eine DNS-Destination mit dem Namen "BPJM" angelegt?

Nein. Trotzdem noch mal kontrolliert, nichts zu sehen.

Ist vielleicht diese geheime BPJM-Datei korrupt?

Vermutlich. Blöde Implementation. Echt. Dass man nicht mal die Datei sieht. Unter st/file/cont ist auch nichts zu sehen. Und die meisten Dateien darunter kann man ja auch nicht einsehen. Was soll also dieses Versteckspiel. Und die fehlenden Troubleshooting-Möglichkeiten. Es gibt schlicht keine Ausgabe, die mir angibt, wo hier das Problem ist, das ist doch echt zum Heulen. Ich habe jetzt schon 6 Stunden an dem Problem zugebracht, ich war noch nie soweit einen LANCOM aus dem Fenster zu werfen.

Funktionierender Fall (andere Schule/Gemeinde):

Code: Alles auswählen

root@GSM-Router:/
> show filter
Filter 00000001 from Rule BPJM-ALLOW-LIST:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: ALLOW-LIST-BPJM 0-0
         142.250.74.214
         142.250.184.214
         142.250.184.246
         142.250.185.86
         142.250.185.118
         142.250.185.150
         142.250.185.182
         142.250.185.214
         142.250.185.246
         142.250.186.118
         142.250.186.150
         142.250.186.182
         142.251.36.182
         142.251.36.246
         142.251.37.22
         142.251.141.22
         172.217.18.22
         172.217.23.118
         216.58.206.54
         216.58.206.86
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000002 from Rule BPJM:
  Protocol: 0
  Src: 192.168.2.0/24 0-0 (LAN ifc PAEDAGOGIK)
  Dst: BPJM 0-0
         3.253.168.183
         3.254.236.58
         40.114.178.124
         142.251.36.238
         157.240.223.174
         157.240.253.174
         185.60.217.20
         185.60.217.40
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000003 from Rule WINS:
  Protocol: 17
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000004 from Rule WINS:
  Protocol: 6
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject


registered applications

application: SIP-ALG handle: 1
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Problemfall:

Code: Alles auswählen

[Test]root@Paedagogik-BPjM-Router:/
> show filter
Filter 00000001 from Rule BPJM-ALLOW-LIST:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: ALLOW-LIST-BPJM 0-0
         74.125.29.119
         142.250.178.214
         172.217.208.119
         192.178.170.119
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000002 from Rule BPJM:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: BPJM 0-0
         <no address available>
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000003 from Rule WINS:
  Protocol: 17
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000004 from Rule WINS:
  Protocol: 6
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject


registered applications

application: SIP-ALG handle: 1
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

[Jirka]

laut demjenigen, der das BPJM-Modul eingebaut hat, ist es wohl so, daß sich letztens das Format der geheimen Datei geändert hat und ein jetzt jungfräulich aktivierter BPJM-Filter genau das Verhalten zeigt, weil er die Datei nicht parsen kann. Bereits bestehende FBPM-Filter laufen demnach weiter - aber mit der alten Datei...

Oh DANKE fürs Nachfragen!!!
Und was heißt das jetzt?
Ich hatte ja die Firewall-Regel, wie geschrieben, erst vor kurzem aktiviert.

[MoinMoin]

Moin backslash,

laut demjenigen, der das BPJM-Modul eingebaut hat, ist es wohl so, daß sich letztens das Format der geheimen Datei geändert hat und ein jetzt jungfräulich aktivierter BPJM-Filter genau das Verhalten zeigt, weil er die Datei nicht parsen kann. Bereits bestehende FBPM-Filter laufen demnach weiter - aber mit der alten Datei...

Das sollte aber wenigstens einen Syslog-Eintrag mit einer Fehlermeldung wert sein. Wenn der BPjM-Filter wegen kaputter oder veralteter Datei nicht funktioniert, oder wenn sogar auf eine definitiv veraltete Dateiversion zurückgegriffen wird, muß das deutlich sichtbar sein.

Ciao, Georg

[Jirka]

Code: Alles auswählen

[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ BPjM

Idx.       Time                   Source    Level      Message                                      
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ DNS

Idx.       Time                   Source    Level      Message                                      
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ Filter

Idx.       Time                   Source    Level      Message                                      
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ File

Idx.       Time                   Source    Level      Message                                      
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
534        2025-12-07 23:44:03    KERN      Notice     SSH: ED448 key read from file system         
535        2025-12-07 23:44:03    KERN      Notice     SSH: ED25519 key read from file system       
536        2025-12-07 23:44:03    KERN      Notice     SSH: ECDSA key read from file system         
537        2025-12-07 23:44:03    KERN      Notice     SSH: RSA key read from file system           
552        2025-12-07 23:43:58    AUTH      Notice     EAP/TLS: loaded device key from file system  
553        2025-12-07 23:43:58    AUTH      Notice     EAP/TLS: loaded device certificate from file system
554        2025-12-07 23:43:58    KERN      Notice     SSL/TLS: RSA private key read from file system
1992       2025-12-02 10:51:39    KERN      Notice     SSH: ED448 key read from file system         
1993       2025-12-02 10:51:39    KERN      Notice     SSH: ED25519 key read from file system       
1994       2025-12-02 10:51:39    KERN      Notice     SSH: ECDSA key read from file system         
1995       2025-12-02 10:51:39    KERN      Notice     SSH: RSA key read from file system           
15161      2025-10-08 09:01:01    AUTH      Notice     EAP/TLS: loaded device key from file system  
15162      2025-10-08 09:01:01    AUTH      Notice     EAP/TLS: loaded device certificate from file system
15164      2025-10-08 09:01:01    KERN      Notice     SSL/TLS: RSA private key read from file system

[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ Content

Idx.       Time                   Source    Level      Message                                      
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ Fire

Idx.       Time                   Source    Level      Message                                      
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[backslash]

Hi Jirka

Was soll also dieses Versteckspiel.

frag die BPJM... das MUSS alles streng geheim gehalten werden...

Gruß
Backslash

[Jirka]

Supportfall von gestern Abend:
Hallo!

Nach der Problembeschreibung hier

fragen-zum-thema-firewall-f15/bpjm-modu ... 21329.html

und hier (habe ich soeben erst gefunden)

[Link gelöscht, darf nicht veröffentlicht werden, geht auf die Knowledgebase]

bitte ich Sie mir zeitnah eine aktuelle 10.80-er Daily Build zur Verfügung zu stellen (>=10.80.1202) für den 1784VA.

Vielen Dank und viele Grüße

#####

Hallo,

> Können Sie mir bitte verdeutlichen, warum Sie Ihre Anfrage mit einen business impact Level 1 eingestellt haben?

ja, weil bei Level 3 stand geringfügige Störung und bei Level 2 sporadisch oder partiell. Sporadisch oder Partiell tritt die Störung nicht auf und geringfügig ist die Störung für mich auch nicht mehr, nachdem ich jetzt seit 14 Tagen versuche diesen BPjM-Filter zum Laufen zu bekommen und ich schon über 7 Stunden in das Thema investiert habe, ohne jeden Fortschritt. Die Schüler surfen auf nicht-jugendfreien Seiten und ich bin dafür verantwortlich. Und die Lehrer können nur noch den Unterricht ausfallen lassen mit den internetfähigen Geräten. Das kommt doch einer Katastrophe gleich. Außerdem wollte ich mit Level 1 erreichen, dass ich bis 12 Uhr eine 10.80-er Firmware habe, da bei mir einzelne Support-Fälle schon mal tagelang gedauert haben. Außerdem ist hier ja Ihrerseits wenig Handlungsbedarf. Der Fall ist offenbar klar. Sie geben mir die Firmware und die Kuh ist vom Eis. Zack ist der Fall erledigt. Zwei Minuten, wenn es hochkommt. Fertig. Nichts gegen meine 7 Stunden.

> Der Fix ist in der freigegebenen Version LCOS 10.92 RU3 enthalten.

Ja, das ist schön. Leider nicht in der 10.80. Und ich halte mich an die Vorgaben von LANCOM und das LCOS 10.80 RU13 ist die empfohlene Stable Release für den Projekteinsatz. Die 10.92 ist mir noch zu heiß. Es muss funktionieren vor Ort. Ich kann da nicht hinfahren und alles kontrollieren. Dazu kommt, dass ich einige Parallelstandorte habe mit Geräten wie 1906VA-4G und 1781VA, die nur noch 10.80-er Firmware bekommen. Und damit ich da den gleichen Firmwarestand habe, ist es für mich einfach besser den 1784VA auf diesem Niveau zu belassen. Mit dem Update auf 10.92 würde sich auch der Content-Filter ändern und beim neuen Content-Filter (Security Essentials Option) ist es mir nicht möglich, eine URL umklassifizieren zu lassen, oder können Sie mir sagen, wie das geht? Beim alten Content-Filter habe ich für IBM X-Force Exchange (https://exchange.xforce.ibmcloud.com/) einen Zugang und kann die Einklassifizierung von Webseiten sowohl manuell prüfen, als auch den Verlauf der Klassifizierung einsehen, als auch eine Umklassifizierung beauftragen. Bei der Security Essentials Option, also quasi dem Content-Filter über die Bitdefender-Plattform, ist mir das nicht möglich, weil ich nicht weiß wie das geht. Ich habe da auch schon etliche Stunden gegoogelt, leider ohne Erfolg.

Wann bekomme ich nun endlich die angeforderte 10.80-er Firmware? Ich meine früher lag so was als Beta-Version auf dem FTP und man konnte unkompliziert drauf zugreifen, heute muss man betteln und auch noch Zeit in irgendwelche schwachsinnigen Begründungen stecken. Ich habe eindeutig freundlich, aber bestimmt um die Firmware 10.80 gebeten, ich verstehe nicht, warum man den Wunsch nicht mal unkompliziert erfüllen kann.

Vielen Dank und viele Grüße

[Jirka]

Man hatte dann gestern eingewilligt, mir eine neue 10.80-er Firmware zur Verfügung zu stellen. Allerdings gab es einen neuen Bug im BPjM-Modul, so dass man mir erst heute eine neue Version zur Verfügung stellen konnte, die Version 10.80.1229 vom 11.12.2025.
Die habe ich jetzt eingespielt. Nach 2,5 Minuten Betriebszeit sprang das Operating auf yes.
Einen Syslog-Eintrag habe ich nicht gefunden. Ich gehe davon aus, dass jetzt alles funktioniert.

Code: Alles auswählen

root@Paedagogik-BPjM-Router:/
> ls st/fir/bpjm

Last-update-result  INFO:    None
Licence-active      INFO:    Yes
Module-operating    INFO:    No
Rule-active         INFO:    Yes
Delete-Values       ACTION:

root@Paedagogik-BPjM-Router:/
> ls st/fir/bpjm

Last-update-result  INFO:    HTTP-in-progress
Licence-active      INFO:    Yes
Module-operating    INFO:    No
Rule-active         INFO:    Yes
Delete-Values       ACTION:

root@Paedagogik-BPjM-Router:/
> ls st/fir/bpjm

Last-update-result  INFO:    Success
Licence-active      INFO:    Yes
Module-operating    INFO:    Yes
Rule-active         INFO:    Yes
Delete-Values       ACTION:

Code: Alles auswählen

root@Paedagogik-BPjM-Router:/
> show filter
Filter 00000001 from Rule BPJM-ALLOW-LIST:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: ALLOW-LIST-BPJM 0-0
         142.250.147.119
         142.251.9.119
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000002 from Rule BPJM:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: BPJM 0-0
         31.13.72.5
         31.13.72.33
         157.240.200.16
         157.240.200.23
         157.240.200.33
         157.240.200.40
         157.240.200.63
         157.240.200.142
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000003 from Rule WINS:
  Protocol: 17
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000004 from Rule WINS:
  Protocol: 6
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject


registered applications

application: SIP-ALG handle: 1
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

[backslash]

Hi Jirka,

da im BPJM-Filter nun Adressen auftauchen

Code: Alles auswählen

Filter 00000002 from Rule BPJM:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: BPJM 0-0
         31.13.72.5
         31.13.72.33
         157.240.200.16
         157.240.200.23
         157.240.200.33
         157.240.200.40
         157.240.200.63
         157.240.200.142

konnte die Datei offenbar gelesen werden und der Filter funktioniert.

Gruß
Backslash

[Jirka]

Hi,

ja, das habe ich mir auch so gedacht.

Am Nachbarstandort (GSM ist nicht GSM, sondern Grundschule M. ) steht mit der neuen Firmware jetzt allerdings "Info-Request-failed" (und show filter ist für BPJM leer (während es für BPJM-ALLOW-LIST zumindest bis 16:30 Uhr noch Einträge gab)):

Code: Alles auswählen

root@GSM-Router:/
> ls st/fir/bpjm

Last-update-result  INFO:    Info-Request-failed
Licence-active      INFO:    Yes
Module-operating    INFO:    Yes
Rule-active         INFO:    Yes
Delete-Values       ACTION:

Jetzt weiß ich auch, warum der Support mir geschrieben hat, ich darf die nur an dem einen Standort einsetzen
Na abwarten, es ist ja jetzt erst mal Wochenende.

Viele Grüße
Jirka

[Jirka]

Hallo,

also das "Info-Request-failed" verschwand nicht innerhalb von 24 Stunden. Daraufhin habe ich ein "Delete-Values" ausgeführt (do st/fire/bpjm/del). Dann stand Module-operating auf No und es blieb leider beim "Info-Request-failed". Warum, keine Ahnung. Man weiß es schlicht nicht, woran es da scheitert. Am Internet selber kann es nicht liegen, alles andere funktioniert ja. Es wird ja auch nichts angezeigt. Ich habe zwar regelmäßig, aber natürlich nicht stündlich nach dem Router geschaut, nach ca. weiteren 48 Stunden war dann alles ok. Also so ganz ausgereift scheint das noch nicht zu sein mit dem BPjM-Modul, das hätte mal ordentlich von der Qualitätssicherung durchgetestet werden müssen, incl. vorgeschalteter Firewall, die den Zugriff auf die Geheimdatei mal sperrt und der Beobachtung, wie sich der Router dann verhält (z. B. auch schon erwähnter fehlender Syslog-Eintrag).
Vielleicht war ja die Geheimdatei auch nicht zugänglich und es hat deswegen so lange gedauert?

Viele Grüße
Jirka