Ältere Modelle & LCOS-Versionen mit aktuellen LCMS Versionen

[ecox]

Hallo LANCOM-Folk,

seit LANConfig v9 habe ich sporadisch das Problem das ich Geräte die mit einer bestimmten Version bestückt sind, von mir im LANCONFIG nicht konfigurierbar sind . Die Geräte werden geprüft und auch als Status=ok gemeldet, ich sehe aber keine anderen Daten wie Name, Modell usw.

Per HTTPS ist der Zugriff ohne Probleme möglich (WEB Int). Gibt es vllt. einen Workarround wie ich auch die alten Geräte wieder mit einer aktuellen LCMS managen kann?

Die wichtigste Frage wäre hier ja auch, ob ihr das gleich Problem kennt/habt.

Grüße

ecox

[Dr.Einstein]

Hallo ecox,

bei mir treten die meisten Probleme mit 8.62 auf wegen SSL 3.0 / TLS LanConfig. Lösung in dem Fall ist

set Setup/HTTP/SSL-Versions 14

Gruß Dr.Einstein

[ecox]

Hallo Dr. Einstein,

der Hammer, es funktioniert sofort nachdem ich per SSH die SSL Version abgeändert habe, super Workaround

Danke

[stefanbunzel]

Hallo,

mein Hinweis hierzu: Hatte heute mal wieder versucht, einen alten unkonfigurierten 1511 mit LCOS 7.80 mit aktuellem LANconfig zu konfigurieren: Gerät wird bei Netzwerksuche gar nicht erst erkannt, obwohl es per DHCP eine korrekte IP bekommen hatte. Wenn man es per Hand in LANconfig einträgt, dann ist eine Konfiguration auch problemlos möglich. Inzwischen gibt es dann auch Hinweis-Fenster, dass bei diesem Gerät bestimmte Protokolle (HTTPS/HTTP) nicht unterstützt werden - wobei die Meldung auch nicht stimmen kann, da ich den 1511 dann mittels WebConfig über HTTP geprüft hatte.

(Am Rande: Ich hatte den 1511 in WebConfig auf dem Bildschirm und habe das Gerät dann von LCOS 7.80 auf LCOS 3.4x umgeschalten. Nach einem Neustart des Routers und aktualisieren des Browser-Fensters ist mein Win7 abgestürzt - aber darauf wird ja LANCOM keinen Einfluss haben...)

Ähnliches Verhalten auch mit Uralt-Geräten: DSL/I-10, 1000 Office und dergleichen - in der Regel werden die Geräte nicht gefunden und teilweise ist auch gar keine Konfiguration mehr möglich, obwohl in den LANconfig-Dateien (nach meinem Wissen) eigentlich alle Parameter dieser Altgeräte noch hinterlegt sind.

Ich würde LANCOM da mal empfehlen entweder aktuelle LAN-Tools auch immer wieder mit Altgeräten zu testen (schließlich sind diese erstaunlicherweise nach wie vor im Dauereinsatz) oder doch mal einen Schnitt zu machen, und eben darauf hinzuweisen, dass bestimmt Altgeräte nicht mehr unterstützt werden. Wobei ich Variante 1 bevorzugen würde!

@Dr. Einstein: Danke für den Tipp!

Viele Grüße
Stefan

[Dr.Einstein]

Hallo Stefan,

für deinen genannten Fall habe ich mir extra 2x LanConfig installiert, ein aktuelles und eins mit glaube 7.80 Find ja erstaunlich, wie lange die Geräte noch im LanConfig halbwegs vernünftig laufen, trotz mehr als ein Jahrzehnt dazwischen.

Gruß Dr.Einstein

[Jirka]

Hallo,

also ich habe, neben dem SSL/TLS-Problem insbesondere die Erfahrung gemacht, dass Geräte mit dem alten Webinterface Probleme machen. Wie das aktuell aussieht, kann ich aber nicht genau sagen, da der Altgeräte-Bestand bei mir in den letzten 2 Jahren quasi verschwunden ist. Ebenso habe ich Admins gesehen, die aufgrund dieser Problematik noch ältere LANconfig-Versionen nutzen (neben der aktuellen Version).

Viele Grüße,
Jirka

[ecox]

Hallo,

also ich habe, neben dem SSL/TLS-Problem insbesondere die Erfahrung gemacht, dass Geräte mit dem alten Webinterface Probleme machen. Wie das aktuell aussieht, kann ich aber nicht genau sagen, da der Altgeräte-Bestand bei mir in den letzten 2 Jahren quasi verschwunden ist. Ebenso habe ich Admins gesehen, die aufgrund dieser Problematik noch ältere LANconfig-Versionen nutzen (neben der aktuellen Version).

Viele Grüße,
Jirka

Diesen Weg bin ich bisher auch gegangen, aber ich bin mir dann doch zu Fein wegen der inkompetenz anderer jedes mal ein anderes LCMS zu starten.

Ich finde die Lösung mit dem SSL erstmal gut, habe mir ein Script geschrieben das ich die Router bearbeiten kann per LANCONFIG und wenn ich fertig bin mit dem Kunden, schalte ich es wieder auf SSL3 zurück...

Hoffe das LANCOM da mal reagiert, so wie Jirka schon sagte, ich habe täglich mit älteren Modellen zu tun die seit Jaaaahren laufen und der Kunde auch nicht einsieht diese auszutauschen da sie meistens nur einen VPNer bilden oder DHCP Aufgaben übernehmen

[backslash]

Hi ecox

und wenn ich fertig bin mit dem Kunden, schalte ich es wieder auf SSL3 zurück...

das solltest du nicht machen, denn SSLv3 gilt als unsicher (Stichwort: Poodle)

Hoffe das LANCOM da mal reagiert, so wie Jirka schon sagte, ich habe täglich mit älteren Modellen zu tun die seit Jaaaahren laufen und der Kunde auch nicht einsieht diese auszutauschen

das mit dem SSLv3 war eine Reaktion darauf, daß es unsicher ist und mittlerweile von der IETF sogar "verboten" wird... Aktuelle Browser unterstützen auch kein SSLv3 mehr.

Gruß
Backslash

[ecox]

Hi ecox

und wenn ich fertig bin mit dem Kunden, schalte ich es wieder auf SSL3 zurück...

das solltest du nicht machen, denn SSLv3 gilt als unsicher (Stichwort: Poodle)

Hoffe das LANCOM da mal reagiert, so wie Jirka schon sagte, ich habe täglich mit älteren Modellen zu tun die seit Jaaaahren laufen und der Kunde auch nicht einsieht diese auszutauschen

das mit dem SSLv3 war eine Reaktion darauf, daß es unsicher ist und mittlerweile von der IETF sogar "verboten" wird... Aktuelle Browser unterstützen auch kein SSLv3 mehr.

Gruß
Backslash

danke backslash, super info das werde ich mal an die kollegen weitertreten

[hyperjojo]

hi,

für deinen genannten Fall habe ich mir extra 2x LanConfig installiert, ein aktuelles und eins mit glaube 7.80 Find ja erstaunlich, wie lange die Geräte noch im LanConfig halbwegs vernünftig laufen, trotz mehr als ein Jahrzehnt dazwischen.

auch ne Idee
Wie kann ich 2 LANconfig installieren? Normalerweise wird bei der Installation ja die aktuelle Version überschrieben.

Gruß hyperjojo

[Bernie137]

Hallo,

ich habe da mal eine Rückfrage zum SSLv3:

das solltest du nicht machen, denn SSLv3 gilt als unsicher (Stichwort: Poodle)

Hoffe das LANCOM da mal reagiert, so wie Jirka schon sagte, ich habe täglich mit älteren Modellen zu tun die seit Jaaaahren laufen und der Kunde auch nicht einsieht diese auszutauschen

das mit dem SSLv3 war eine Reaktion darauf, daß es unsicher ist und mittlerweile von der IETF sogar "verboten" wird... Aktuelle Browser unterstützen auch kein SSLv3 mehr.

Ist ab einem bestimmten Firmware Stand SSLv3 von Haus aus deaktiviert, oder muss ich jetzt alle Geräte durchschauen?

vg Bernie

[Dr.Einstein]

Wie kann ich 2 LANconfig installieren? Normalerweise wird bei der Installation ja die aktuelle Version überschrieben.

Bei der Installation das Häkchen wegnehmen, dann kannst du ein anderes Verzeichnis angeben. Ich würde empfehlen, erst die alte Version zu installieren, dann die neuere. Ansonsten würde die Ältere alle .lcfs etc an sich reißen, ziemlich nervig das alles umzustellen. Oder es steht bald wieder ein LanConfig Update an, dazwischen schiebst du dann eine alte Version zB 7.60 und upgradest dann dein aktuelles LanConfig. Musst mal selbst ein wenig rumspielen.

Ist ab einem bestimmten Firmware Stand SSLv3 von Haus aus deaktiviert, oder muss ich jetzt alle Geräte durchschauen?

Alle Geräte durchsuchen, SSL wird per Firmware bei einer bestehenden Software zumindest bei älteren Geräten nicht angefasst. Aber selbst neue solltest du dir anschauen, hier ist meinst "nur" TLS 1.0 aktiv, nicht aber 1.1 / 1.2. Glaube LanConfig konnte die neuen noch Verfahren nicht.

[Bernie137]

Alle Geräte durchsuchen, SSL wird per Firmware bei einer bestehenden Software zumindest bei älteren Geräten nicht angefasst.

Das ist ja nicht sehr erfreulich

[Jirka]

Hallo zusammen,

bei mir treten die meisten Probleme mit 8.62 auf wegen SSL 3.0 / TLS LanConfig. Lösung in dem Fall ist

set Setup/HTTP/SSL-Versions 14

hier mal der Hinweis, dass dieser Befehl nicht ab LCOS 9.00 gilt, denn da wurde der Versions-Parameter verschoben.
Von da an muss der Befehl lauten:
set Setup/HTTP/SSL/Versions 14
(Nur ein kleiner, aber feiner Unterschied.)

das mit dem SSLv3 war eine Reaktion darauf, daß es unsicher ist und mittlerweile von der IETF sogar "verboten" wird... Aktuelle Browser unterstützen auch kein SSLv3 mehr.

Soweit ok und könnte man auch so für gut befinden. Aber das Problem mit SSLv3 tritt nur bei bestimmten Firmware-Ständen auf... 8.50 mit SSLv3 kein Problem, 8.62 mit SSLv3 ein Problem, 9.10 mit SSLv3 kein Problem... Wollt's nur mal gesagt haben.

P.S.: Ach noch was habe ich vergessen: Mit der 8.62 geht auch kein TLSv1 oder 1.1 mit LANconfig. Wireshark zeigt auf, dass LANconfig "TLSv1 Record Layer: Alert (Level: Fatal, Description: Illegal Parameter)" antwortet. Alfred meinte dazu mal, dass es einen Fehler im LCOS derart gab, dass das LCOS Cipher-Suiten mit SHA256/384 ausgehandelt hat, obwohl die verwendete Protokollversion nicht mindestens TLS 1.2 ist. Das wäre also ein Bug im LCOS dann. Übliche Browser scheinen damit aber wiederum auch kein Problem zu haben.
Aber der Workaround ist eben relativ einfach, von daher...

Glaube LanConfig konnte die neuen Verfahren noch nicht.

Also mittlerweile gehen eigentlich alle. Wenn auch SSLv3 eben nicht mit allen Firmware-Ständen.

Das ist ja nicht sehr erfreulich

Nun ja, aber meistens so. Wenn irgendwelche WLAN-Default-Paramter angepasst werden, werden die in alten Konfigs auch nicht geändert. Zudem ist eine Änderung dieses Parameters ja auch schnell gemacht...

Viele Grüße,
Jirka

[Dr.Einstein]

Glaube LanConfig konnte die neuen Verfahren noch nicht.

Also mittlerweile gehen eigentlich alle. Wenn auch SSLv3 eben nicht mit allen Firmware-Ständen.

Habs gerade noch einmal nachgetestet, hast Recht. Muss sich mit LanConfig vielleicht 9.1 geändert haben? Hatte das das letzte Mal mit irgendeiner Beta von 9.0 versucht, da ging nur 1.0.