BPjM-Modul: Module-operating INFO: No - Warum?

[Jirka]

Hallo,

ich verstehe es nicht und ich kriege es nicht hin. Das BPjM-Modul weigert sich hartnäckig seine Arbeit zu tun, und ich weiß nicht warum. Eine Schule die nächste Gemeinde weiter habe ich fast alles genauso, da funktioniert alles:

root@GSM-Router:/
> ls st/fire/bpjm

Last-update-result INFO: No-update-necessary
Licence-active INFO: Yes
Module-operating INFO: Yes
Rule-active INFO: Yes
Delete-Values ACTION:

Jetzt zu meinem Problemfall:
root@Paedagogik-BPjM-Router:/
> ls st/fire/bpjm

Last-update-result INFO: No-update-necessary
Licence-active INFO: Yes
Module-operating INFO: No
Rule-active INFO: Yes
Delete-Values ACTION:

Es ist also Module-operating auf No. Warum? (Das alleine würde mich ja nicht stören, aber es wird auch nichts ausgefiltert.)

Durchgeführte Maßnahmen (ohne Erfolg):
Neustart
Firmware-Update (10.80-RU11 auf 10.80-RU13)
Überprüfen der Firewall-Regel
Ausführen des Delete-Values-Befehls (siehe oben)
Loopback-Adresse für den BPjM-Filter auf auf 192.168.178.1 setzen (IP-Adresse des Pädagogik-Netzes)

Mir gehen jetzt schlicht die Ideen aus, was hier los sein soll. Gewisse Sachen kann man ja offenbar ausschließen: Die Lizenz ist aktiv und die Regel ist aktiv, beides wird ja auch so angezeigt. Nur warum ist dann das Modul nicht aktiv?!

Der Aufbau ist an dieser (Grund-)Schule nicht ganz trivial. Da auf Glasfaser umgestellt wurde, habe ich einen 1800EF mit SFP-GPON-1 vorgeschaltet. Und da vermute ich das Problem. Der nachgeschaltete BPjM-Router hat auf LAN-Seite die IP-Adresse 192.168.12.5 (Verwaltungs-Netz) und auf WAN-Seite die 192.168.12.2 (über eine ganz normale Gegenstelle, kein lokales Routing). Der 1800EF hat die 192.168.12.1.
Es funktioniert alles super nur das BPjM-Modul eben nicht. Die ganze Sache war so, dass lange Zeit jetzt der Einsatz des BPjM-Moduls nicht gewünscht war, die Firewall-Regel war also deaktiviert. Seit zwei Wochen sollte es jetzt aktiviert werden, ich habe die Firewall-Regel eingeschaltet, aber es funktioniert nicht. Zwei Stunden alleine heute Abend, die ich mir nicht traue irgendwo aufzuschreiben, weil es doch nicht sein kann, dass man das blöde Ding nicht einfach einschalten kann. Zum Verzweifeln. Einen Trace dazu habe ich auch nicht gefunden. Wer kann mir erklären, was hier Ursache sein kann, oder vor sich geht? Danke!!!

[Jirka]

Das Abschalten des Verwaltungsnetzes (wegen des gleichen IP-Adresskreises auf WAN- und LAN-Seite) hat leider auch nichts gebracht. Es ist wirklich zum Verzweifeln.
Die WAN-Verbindung zum 1800EF ist DHCPoE mit benutzerdefinierter MAC. DNS-Auflösung ist kein Problem, es funktioniert alles, nur nicht BPjM.

Code: Alles auswählen

root@Paedagogik-BPjM-Router:/Status/IP-Router                                                            
> ls filter-l                                                                                            
                                                                                                         
Idx.     Prot. Source    S-St. S-End Destination     D-St. D-End Action       Linked Prio Src-Tag Rtg-tag
=========------------------------------------------------------------------------------------------------
00000001 0     0.0.0.0/0 0     0     ALLOW-LIST-BPJM 0     0     accept       No     9998 0       0      
00000002 0     0.0.0.0/0 0     0     BPJM            0     0     reject       No     9997 0       0      
00000003 17    0.0.0.0/0 137   139   0.0.0.0/0       0     0     inet: reject No     0    0       0      
00000004 6     0.0.0.0/0 137   139   0.0.0.0/0       0     0     inet: reject No     0    0       0      

Wieso Regel DEFAULT (ACCEPT-ALL)? Warum greift die Regel BPJM nicht?:

Code: Alles auswählen

root@Paedagogik-BPjM-Router:/
> tr # firew
Firewall                   ON

root@Paedagogik-BPjM-Router:/
>
[Firewall] 2025/12/08 14:35:29,803
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 74.125.29.155, SrcIP: 192.168.178.176, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 46696, Flags: FA
Seq: 1665826092, Ack: 2469890585, Win: 245, Len: 0
Option: NOP
Option: NOP
Option: 08 = f1 7b eb 30 88 8e 05 9b

bad TCP state (ACK expected in session recovery)
packet rejected

[Frühstücksdirektor]

Hast Du mal einen Reboot gemacht ?

[backslash]

Hi Jirka

Wieso Regel DEFAULT (ACCEPT-ALL)? Warum greift die Regel BPJM nicht?:

weil BPJM als DNS-Destination zählt. Es muß also vorher eine DNS-Anfrage erfolgen, die eine Domain auflöst, die in der geheimen BPJM-Datei steckt. Dann wird die aufgelöste Adresse der BPJM-Regel hinzugefügt. Das kannst du in einem "show filter" sehen:

Code: Alles auswählen

[Test]root@:/Setup/IP-Router/Firewall/Rules
> show filter
Filter 00000001 from Rule BPJM:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: BPJM 0-0
         <no address available>
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

statt "<no address available>" wird dort dann die Liste der aufgelösten IP-Adressen stehen.
Wichtig dafür ist, daß das LANCOM DNS-Server des Netzes ist. Um das zu erzwingen kann DNS generell blockiert und nur der Zugriff auf das LANCOM erlaubt werden:

Code: Alles auswählen

Name:     DENY-DNS
Aktion:   REJECT
Dienste:  DNS
Quelle:   alle Stationen
Ziel:     alle Stationen

Name:     ALLOW-DNS-LANCOM
Aktion:   REJECT
Dienste:  DNS
Quelle:   alle Stationen
ziel:     IP des LANCOMs (oder alle Stationen im lokalen Netz)

warum allerdings in Module-Operating "No" steht, kann ich dir auch nicht sagen - da wurde hoffentlich nicht irgendwo "händisch" eine DNS-Destination mit dem Namen "BPJM" angelegt?
Ist vielleicht diese geheime BPJM-Datei korrupt? (frag mich bitte nicht, ob - und wenn ja, woran - man das erkennen kann)

Gruß
Backslash