LC.OS 5.x -> Probleme!

COMCARGRU · Beitrag von **COMCARGRU** » 14 Okt 2005, 22:28

Moin Leuts,

meine vorrausahnende Abneigung gegen LC.OS 5.x hat sich in den letzten zwei Tagen leider aufs Schlimmste bestätigt

Kurz Vorweg:
- Im Rahmen eines offiziellen Support Calls, habe ich erstmal neue Hardware bekommen.
- Bislang hatte ich auf allen meinen Routern die Firmware 4.12 im Einsatz.
- Das Problem weswegen ich eine neue Box bekommen habe, erfordert auf dieser Box den Einsatz der 5.04

Na dann:
Weil hinter dieser Box 200 User sitzen, wollte ich erstmal die 5.04 auf meinen eigenen beiden Routern testen (1621/1821). Die Lantools 5.04 habe ich schon länger im Einsatz.

Update 5.04 auf dem 1621
- Update verlief erfolgreich, aber während der Meldung zum Registrieren wegen Dynamic VPN, crasht der Lanmonitor zum ersten Mal!
- Mittlerweile häufige Crashs des Lanmonitor seit die FW 5.04 im Gerät steckt.
- Betrieb des Routers (insbesondere VPN) ohne Änderungen auf den anderen Routern ok.
- Wegen einiger Tests Rückkehr zur FW 4.12 im Gerät. Einlesen einer 4.12 Config wird quittiert mit der Meldung, daß diese Config nicht zur Firmware paßt! -> Was soll das denn???
- Da 4.12 Config nicht sauber, keine VPN Verbindungen zu einem halben duzend anderer Router mehr möglich.

Update 5.04 auf dem 1821
- Keine Auffälligkeiten
- Rückkehr zur FW 4.12 nicht probiert!

Austausch und Update auf 5.04 auf der 8011 (getauschte Box)
- Drama!
- VPN Einwahl vom 1621/1821 mit 5.04 auf 8011 mit 5.04 möglich, aber es fliesen keine Daten. Tunnel wird nach wenigen Sekunden abgebaut!
- VPN Einwahl vom 1621/1821 mit 4.12 auf 8011 mit 5.04 nicht möglich
- VPN Einwahl vom 1621/1821 mit 5.04 auf 8011 mit 4.12 wieder möglich, Daten fliesen

Mehrfache Tests ergeben:
- 8011 mit 5.04, ich bekomme keine laufende VPN Verbindung zusammen. Egal ob Einwahl mit 1621 oder 1821
- Ich bekomme meinen 1621 nicht mehr sauber zurück auf die 4.12, weil er keine 4.12er Config mehr frist, und die laufende Config beim Fallback beschädigt.
- 8011 läuft wieder mit 4.12, damit ich von meinem 1621/1821 da rein komme per VPN, dafür wieder ein altes Problem mit 8011

Also das nenne ich mal einen Riesen großen Haufen ... - na ihr wißt schon

Der Support ist über alles Informiert, ich bin gespannt wie es weiter geht?

Ich meine nur, daß ein Firmware Update nicht solche katastrophalen Auswirkungen auf vorhandene und bis Dato gut laufende Konfigurationen haben darf! - Zumal auf dem 1621 keine Rückkehr möglich ist, etc. etc.

Hat wer auch so tolle Erfahrungen machen dürfen?

Gruß
COMCARGRU

COMCARGRU · Beitrag von **COMCARGRU** » 14 Okt 2005, 22:41

Achso - Die Gründe weshalb die 8011 getauscht wurde:
- Gerät der allersten Serie: MOD C0
- heftige Crashs (nur noch rotes Blinken der Power LED) in verschiedenen Situationen, z.B.:
--- Eingabe von "show msg" im telnet
--- Laufende GhostCast Session im Netzwerk (reproduzierbar)
--- weitere... (nicht reproduzierbar)
- fehlerhaftes Zurückschreiben der Konfiguration, sobald diese eine bestimmte Größe überschreitet (Insbesondere bei VPN Regeln)
- weitere...

Insgesamt sehr ärgerlich. Ich brauche auf der 8011 die 5.04 um einige der Probleme da oben zu vermeiden, dafür geht VPN nicht mehr. Nehme ich wieder die 4.12 geht VPN, dafür habe ich wieder ein paar der Macken da oben

Wird ein tolles WE
COMCARGRU

andreas · Beitrag von **andreas** » 15 Okt 2005, 09:29

Ich hab am Donnerstag 3x1621; 1x1611; 2x1821 von 4.12 auf 5.04 upgedatet, es funktioniert zwar, aber der Updateprozeß war ziemlich unsauber, bei zwei Geräten kam keine Meldung zum Registrieren der Dynamic-VPN Funktion, aber es hat trotzdem funktioniert. Bei einem weiteren kam auch keine Meldung und es hat auch nicht funktioniert, ein 1621 hat mit automatischer Dynamic-Registrierung jetzt zusätzlich eine 25er VPN-Lizenz (ganz am Anfang hatte das Gerät eine gekaufte 2er-Lizenz, die dann durch die integrierten 5er hinfällig wurde, ob das damit was zu tun hat?)

Insgesamt ist der Verbindungsaufbau langsamer geworden, nächste Woche werde ich wohl alle Router mal neu konfigurieren, das hilft ja meißtens)

Ich hab noch einen 1611 im Ausland, der keinen ISDN-Anschluß hat, bei dem hab ich mich noch nicht getraut das Update zu machen....

Hab noch was vergessen: Bei allen Routern habe ich während des Upgradeprozes gesagt: neue Firmware im Testbetrieb starten, wenn nach 20 Minuten keine Bestätigung kommt, alte Version starten. Die Funktion kann man eigentlich aus dem Lanconfig löschen, kein einziger Router hat sich darum gekümmert. Alle direkt auf 5.04

goermet · Beitrag von **goermet** » 15 Okt 2005, 20:41

Auch wenn meine Erfahrungen nicht ganz so schlecht sind, im Prinzip gebe ich COMCARGRU recht. Das 5.x Update war eines der dramatischsten (und ich bein schon seint 1.x dabei). Zum erstenmal seit langen traue ich mich nicht, ein Update aus der Ferne einzuspielen. Bis jetz liegt die Erfolgsquote nur bei ca. 50 %. Oft war eine komplette Neukonfiguration notwendig, da auch verschiedene Updatewege nicht funktionierten. Auch ich hatte das Problem mit der rot blinkenden LED (und Komplettabsturz auf einer 7111:evil: ). Ingesamt hatte ich dan eine ganze Reihe Probleme, bis die Kiste nicht mehr jeden Tag 3 mal einen Reboot vollführte. Leider muß ich auch sagen, das der Support im Moment etwas überfordert oder unterbesetzt ist, Anfragen werden teilweise erst nach längeren Schweigen beantwortet, obwohl ich mir alle Mühe gegeben habe, die notwendigen Infos so schnell wie möglich zu beschaffen - jedoch kann ich in einen Produktivumgebung mit mehr als 500 Nutzern nicht einfach mal schnell die FW tauschen um dann nach 20 min festzustellen, das jetzt garnichtsmehr geht. Auch war ich sehr negativ vom Adv. Client überrascht, den ich jetzt kaufen mußte (was heiß einen, das hat mir ein ganz schönes Loch ins Budget gerissen - wenn ich Zeit gehabt hätte, hätte ich ediddas Variante genommen, zumal ich schon fast alles vorbereitet hatte, mußte jedoch auf Grund einer Umstellung dann rasch 40 Clients mit der Software versorgen) der sich als nicht sehr ausgereift erwiesen hat.

Insgesamt ist festzustellen, das jetzt zwar so ziemlich alle Features drin sind die ich mir schon immer gewünscht habe, ich aber die Konfigurationen ziemlich optimieren mußte, bis die Sache wieder einigermaßen stabil lief. Auch war ich wie schon geschrieben von der Instabilität des (freigegebenen - bei Betas sag ich ja nicht mal was) Updates überrascht.

goermet

COMCARGRU · Beitrag von **COMCARGRU** » 15 Okt 2005, 21:12

Aus zuverlässiger Quelle ist mir bekannt das Lancom ernsthaft an dem Support Problem arbeitet. Hier bleibt zu hoffen, daß die getroffen Maßnahmen als bald Wirkung zeigen. Lancom ist für meinen Eindruck überdurchschnittlich gewachsen, was ja eigentlich erfreulich ist

Weiterhin ist mein Eindruck, daß die 5.x welche ja sehr kurz nach der 4.x kam möglichst schnell in den Markt gedrückt wurde um endlich Zertifikate zu unterstützen. Immerhin kam die Zertifikatsunterstützung 1 Jahr später als vorgesehen. Und dafür wurden mit Sicherheit erhebliche Änderungen am LC.OS vorgenommen.

Ich bin zwar nur seit Firmware 2.42 dabei, aber so problematisch wie die 4.x und jetzt die 5.x war es wirklich noch nie.

Und auf eine Neukonfiguration meiner 8011 habe ich keine Lust! 40 Firewallregeln mit teilweise bis zu 200 einzutragenden MAC Adressen pro Regel sind keine Freude. Dazu die ganzen VPN Verbindungen und kleinen Kniffe, daß alles so toll lief wie bislang - Das ist ein ordentliches Stück Arbeit.

Zumal ich dann auch noch gut 10 weitere Router im direkten Umfeld der 8011 auch noch neu machen würde - so rein prophylaktisch.

Von den ganzen anderen Lancoms die ich verbaut habe gar nicht zu reden.

Gruß
COMCARGRU

COMCARGRU · Beitrag von **COMCARGRU** » 15 Okt 2005, 22:25

goermet du hast eine PN!

COMCARGRU · Beitrag von **COMCARGRU** » 18 Okt 2005, 17:00

So laut Lancom liegt es daran, daß der Firmware Update direkt von der 4.12 zu der 5.04 stattgefunden hat und nicht erst die 5.0 und 5.02!

Also da muß ich ehrlich sagen, dann hätte man die 5.04 besser 6.00 genannt. Denn bei einer 5.04 denkt man doch eher an ein Bugfix der 5.0 und das man von einer 4.12 nicht auf die 5.0 updaten kann, daß ist schon bissel seltsam.

Sorry Lancom das ist nix - das halte ich für ganz Schlecht sowas!

Außerdem erklärt dies auch noch nicht, warum mein 1621 mit laufender Firmware 4.12 trotzdem keine 4.12er Config mehr einlesen kann.

Daraus resuliert jetzt folgendes:
- Stellt bitte ein Konfigurations Converter Tool bereit, um beliebige Configs beliebig hin und her zu konvertieren.
- Möbelt endlich mal euer Firewallregel Management auf und stellt Import/Export Möglichkeiten für Regeln, IPs; MAC Adressen etc. zur Verfügung.
- Falls nötig erläutere ich auch gerne dem zuständigen Manager, wie ich mir sowas vorstelle.

Denn jetzt darf ich meine Router reseten und komplett neu konfigurieren. Das ist angesichts der Anzahl der Router und der Anzahl und komplexität der Regeln keine Freude. Oder genauer gesagt ich rege mich gerade ziemlich auf deswegen...

Danke
COMCARGRU

goermet · Beitrag von **goermet** » 18 Okt 2005, 20:16

COMCARGRU hat geschrieben:So laut Lancom liegt es daran, daß der Firmware Update direkt von der 4.12 zu der 5.04 stattgefunden hat und nicht erst die 5.0 und 5.02!

Also da muß ich ehrlich sagen, dann hätte man die 5.04 besser 6.00 genannt. Denn bei einer 5.04 denkt man doch eher an ein Bugfix der 5.0 und das man von einer 4.12 nicht auf die 5.0 updaten kann, daß ist schon bissel seltsam. COMCARGRU

Also, es ist schon nur ein Bugfix. Zugegeben ein ganz schön haariges

COMCARGRU hat geschrieben: Sorry Lancom das ist nix - das halte ich für ganz Schlecht sowas!

Außerdem erklärt dies auch noch nicht, warum mein 1621 mit laufender Firmware 4.12 trotzdem keine 4.12er Config mehr einlesen kann.

COMCARGRU

Da geb ich dir recht. Nach einem Reset, dann 4.12 dann Config Datei, dann geht es (weiß ich aus eigener schmerzlicher Erfahrung

COMCARGRU hat geschrieben: Daraus resuliert jetzt folgendes:
- Stellt bitte ein Konfigurations Converter Tool bereit, um beliebige Configs beliebig hin und her zu konvertieren.
- Möbelt endlich mal euer Firewallregel Management auf und stellt Import/Export Möglichkeiten für Regeln, IPs; MAC Adressen etc. zur Verfügung.
- Falls nötig erläutere ich auch gerne dem zuständigen Manager, wie ich mir sowas vorstelle.

COMCARGRU

Hier solltest du mal genau den Teil des Handbuches über Scripting lesen. Damit kann man das realisieren. Ist auch nicht aufwendig. Hab das bei einem ganzen Teil meiner Router so gemacht.

COMCARGRU hat geschrieben: Denn jetzt darf ich meine Router reseten und komplett neu konfigurieren. Das ist angesichts der Anzahl der Router und der Anzahl und komplexität der Regeln keine Freude. Oder genauer gesagt ich rege mich gerade ziemlich auf deswegen...

Danke
COMCARGRU

Bitte

Goermet (LCS)

COMCARGRU · Beitrag von **COMCARGRU** » 19 Okt 2005, 00:58

Hier solltest du mal genau den Teil des Handbuches über Scripting lesen. Damit kann man das realisieren. Ist auch nicht aufwendig. Hab das bei einem ganzen Teil meiner Router so gemacht.

Ganz nett, gibt es dafür einen Satz Beispielskripte?

Aber trotzdem ist z.B. eine Mac-Adresslisten Importfunktion im Lanconfig eine Pflichtfunktion und schon lange überfällig. Genauso die Möglichkeit die Regeln im Lanconfig z.B. mal schlicht nach Namen zu sortieren. Diese Sorterfunktion, die ja nichtmal LC.OS betrifft sondern nur die Darstellung im Lanconfig Fenster sollte doch nun gar kein Problem darstellen?

Gruß
COMCARGRU

goermet · Beitrag von **goermet** » 19 Okt 2005, 08:20

Das mit dem Namen ist so ein zweischneidiges Schwert. Ich finde die Sortierung nach Prio schon i.o., da sonst sicher viele neue Probleme enstehen.

Ansonsten kannst du dir jederzeit ein eigenes Beispielscript erstellen. Einfach in den entsprechenden Zweig rein (oder auch von der root aus) und dann ein readscript, und schon hast du deine Vorlage.

andreas · Beitrag von **andreas** » 19 Okt 2005, 09:24

COMCARGRU hat geschrieben:So laut Lancom liegt es daran, daß der Firmware Update direkt von der 4.12 zu der 5.04 stattgefunden hat und nicht erst die 5.0 und 5.02!....Sorry Lancom das ist nix - das halte ich für ganz Schlecht sowas!

Ich hab mir die Releasenotes _vorher_ durchgelesen, da stand nichts von erst 5.0 etc. dann muß man das dazu schreiben.

Ferner finde ich es 'suboptimal' etwas von Firmwaresafe zu schreiben, wenn noch nicht einmal ein manuelles downgrade funktioniert.

Ich hab im Moment auch einen ziemlich dicken Hals.

COMCARGRU hat geschrieben:- Möbelt endlich mal euer Firewallregel Management auf und stellt Import/Export Möglichkeiten für Regeln, IPs; MAC Adressen etc. zur Verfügung.

Ich hab mir bei meiner Neukonfigurationsorgie folgendermaßen beholfen:
Reset
Assistenten für I-Net Zugang
Assistent für VPN
Konfig weg gesichert
in die neue Konfig per Copy und Paste die alten Firewallregeln rein
diese Konfig in das Gerät geschoben

ist evtl. vergleichbar mit der Scriptingfunktion, da hab ich mich noch nicht mit beschäftigt.

Gruss,
Andreas

COMCARGRU · Beitrag von **COMCARGRU** » 19 Okt 2005, 09:58

Konfig weg gesichert
in die neue Konfig per Copy und Paste die alten Firewallregeln rein
diese Konfig in das Gerät geschoben

Naja, ich nehme das gleich zum Anlaß meine Regeln zu optimieren und zu konsolidieren....

Gruß
COMCARGRU

p.s. die Release Notes habe ich auch vorher gelesen...

DirkK · Beitrag von **DirkK** » 19 Okt 2005, 11:53

COMCARGRU hat geschrieben:- Möbelt endlich mal euer Firewallregel Management auf und stellt Import/Export Möglichkeiten für Regeln, IPs; MAC Adressen etc. zur Verfügung.

Das wäre wirklich eine große Erleichterung!

tunichtgut · Beitrag von **tunichtgut** » 19 Okt 2005, 13:38

DirkK hat geschrieben:
COMCARGRU hat geschrieben:- Möbelt endlich mal euer Firewallregel Management auf und stellt Import/Export Möglichkeiten für Regeln, IPs; MAC Adressen etc. zur Verfügung.
Das wäre wirklich eine große Erleichterung!

Ich weiss nich was Ihr wollt. Es kostete mich eben garde mal knapp 15 Sekunden die komplette Firewall Konfiguration mit allen Regeln eines Routers auf einen anderen zu übertragen:

Per TFTP auslesen:

tftp IP.DES.ROUT.ERS get "PASSWORTreadscript se/ip-router/firew" Firewall.lcs

Per LANconfig > Script Datei anwenden > fertig.

Damit kannst du natürlich auch einzelne Regeln rauslesen, sofern Du weisst wos im Telnet-Menubaum steht

COMCARGRU · Beitrag von **COMCARGRU** » 20 Okt 2005, 13:50

Damit kannst du natürlich auch einzelne Regeln rauslesen, sofern Du weisst wos im Telnet-Menubaum steht

Erstens das!

Und zweitens, man legt ja auch mal neue Regeln an! Also ist es absolut unverständlich, warum ich dem Lanconfig nicht einfach eine MAC Adressenliste zum Fraß vorwerfen kann. Wenn ich mir 50 neue PCs kaufe und vom Hersteller eine Datei mit den MACs erhalte, könnte ich die innerhalb von Sekunden importieren. Bislang geht das nicht!

Und auch Scripting ist hier keine wirkliche Alternative für mich.

Sorry aber diese Verweigerung von so ziemlich der logischsten Funktion die jeder erwarten würde, das finde ich schon seltsam.

Also nochmal mir geht es primär darum beim Neuanlegen von bislang nicht existenten Regeln IP Adressen, MAC Adressen aus einer vorhanden Text oder Excel oder CSV Datei importieren zu können!

Ebenso würde ich erwarten, daß man im Lancom IP- und MAC-Listen definieren kann und in einer Regel auf diese Listen verweist.

Gruß
COMCARGRU