Move from LANCOM Content Filter to LANCOM Security Essentials Option Best Practices (Title edited)

[tstimper]

https://www.lancom-systems.de/service-s ... t-hinweise

Ok, die Rating Server sind wieder Schuld.

Wie schon am 28.10.2022

viewtopic.php?t=19637

[Jirka]

Die Antwort vom Support ist nicht optimal. Leider auch von einem Azubi, vielleicht habe ich auch einfach Pech mit dem Support...

Der Ausfall des LANCOM-IBM-Rating-Servers soll am Wochenende gewesen sein. Das kann schon mal nicht sein. Ich habe jetzt die Log-Dateien durchgeschaut. Seit 18.09.2025 13:45 Uhr, das ist Donnerstag nach dem Mittag, ging an keinem Standort mehr was (massive Log-Error-Einträge), vorher gab es vereinzelte Störungen oder kurze Ausfälle (daher meine ursprüngliche Vermutung auf Ausfall von Mittwoch an).

Des Weiteren der Hinweis, dass eine Firmware-Aktualisierung auf LCOS 10.92 das Problem behebt. Obwohl ich explizit geschrieben hatte: "Was ist mit Geräten, wo noch eine Option drauf läuft, die aber nicht auf die Firmware 10.92 geupdatet werden können?" (Anmerkung: Ich hatte vor dem offiziellen Support-Hinweis gefragt.) Außerdem hatte ich konkret nach dem 1793VA-4G gefragt und für den gibt es nun mal keine 10.92-er Firmware.

Also abwarten...

[Jirka]

Der Content-Filter geht seit heute Mittag wieder. Eine offizielle Stellungnahme dazu konnte ich bisher nicht finden.

[tstimper]

Der Content-Filter geht seit heute Mittag wieder. Eine offizielle Stellungnahme dazu konnte ich bisher nicht finden.

Vielen Dank für die Info.
Klingt für mich ähnlich wie im Oktober 2022.

Da waren die Ratingserver auch ausgefallen.

Auf den LANupdate im Frühjahr hieß es, das IBM diese Ratingserver eigentlich abschalten wollte und „vergessen hatte“ das LANCOM die noch nutzt.

Der jetzige Ausfall zeigt, das man schnell vom alten Contentfilter wegmigrieren sollte.

Schauen wir mal ob wir noch Hintergründe erfahren.

Viele Grüße

ts

[Dr.Einstein]

Trotzdem kam bisher keinerlei Info von Lancom, wann der Content Filter EoL geht. Auch wurde man nicht via Email (an die Lizenzaktivierungsadresse) informiert. Scheint also nicht so dringend zu sein, sonst hätte man das schon längst offiziell kommuniziert.

[tstimper]

Trotzdem kam bisher keinerlei Info von Lancom, wann der Content Filter EoL geht. Auch wurde man nicht via Email (an die Lizenzaktivierungsadresse) informiert. Scheint also nicht so dringend zu sein, sonst hätte man das schon längst offiziell kommuniziert.

Der Ausfall des Content Filters ist natürlich sicherheitsrelevant.

Es gab ja zumindest eine Sicherheitsmeldung von LANCOM

Ich habe mal meine Bewertung des Impacts zusammen geklickt.

Das ist nach CVSS v3.1 eine 9,8 von 10

https://nvd.nist.gov/vuln-metrics/cvss/ ... ersion=3.1

Totalausfall eines Services.

Passend zur it-sa in zwei Wochen….

Viele Grüße

ts

[Jirka]

Der Ausfall des Content Filters ist natürlich sicherheitsrelevant.

Kann schon sein. Kommt auf den Anwendungsfall an. Bei mir wird bei Ausfall überall alles erlaubt, damit habe ich vorher festgelegt, dass es dann auch keinen Schutz/Filter mehr gibt. Man könnte natürlich auch alles verbieten in dem Moment, dann ist es auch nicht sicherheitsrelevant, aber dafür systemrelevant, weil dann geht nämlich gar nichts mehr...

Aber ich denke Dr. Einstein meinte, dass es LANCOM nicht so dringend ist, ein konkretes Ende des Content-Filters zu benennen. Man hat also derzeit noch kein konkretes Datum vor Augen, wann die Server mal abgeschaltet werden. Es läuft also erst mal weiter.

Übrigens habe ich heute festgestellt, dass LANmonitor in der Version 10.92 im Punkt "Content-Filter" kaum noch was Sinnvolles anzeigt in Verbindung mit dem alten Content-Filter. Da wurde offenbar schon komplett auf den neuen Content-Filter umgestellt und es wird nicht von LANmonitor geschaut, ob vielleicht noch der alte läuft. In der Folge steht bei den meisten Werten nichts mehr und man könnte annehmen, der Content-Filter läuft gar nicht.

[Jirka]

Ich wollte noch mal Rückmeldung geben. Der (alte!) Content-Filter funktioniert seit dem Zeitpunkt, wo er überhaupt wieder funktionierte, also vor ca. 10 Tagen, grundsätzlich sehr unzuverlässig. Mal geht er, eine Minute später nicht mehr, dann will man tracen, dann geht er wieder. Heute Vormittag von 9 bis 12 Uhr Ausfall (ca., ich habe aus Zeitgründen nur meine eigene Beobachtung hier drin und keine Logs durchgeschaut). Irgendwie sollte man offenbar tatsächlich zusehen, umzustellen, sofern möglich. Mir fehlt leider im Augenblick etwas die Zeit, da mit dem Firmware-Update auch andere Umstellungen einhergehen und IKEv1-VPNs teilweise auch nicht wieder hoch kommen, weil die andere Seite noch alte Verschlüsselungsmechanismen anbietet, die die 10.92 offenbar stören, keine Ahnung warum, nimmt man sie raus, ist alles ok. Aber das ist alles nicht in zwei Minuten gemacht, daher muss es im Augenblick noch etwas so weiter laufen bei mir.

[Jirka]

Content-Filter-Optionen (aus Lagerbestand, es ist nicht die Security Essentials Option gemeint) lassen sich nicht mehr registrieren:

ES IST EIN FEHLER AUFGETRETEN:

Der zur eingegebenen Seriennummer gespeicherte Gerätetyp passt nicht zur gewählten Option. Möglicherweise ist die Seriennummer falsch geschrieben oder die Option ist für diesen Gerätetyp nicht verfügbar.

Dabei spielt es keine Rolle, ob ich einen alten 1781VA nehme, einen 1790VA-4G+, einen 1803VA-5G oder einen 1936VAG-5G.

[Dr.Einstein]

Hast du mal die Aktivierung über die CLI (feature Befehl) probiert?

[tstimper]

Content-Filter-Optionen (aus Lagerbestand, es ist nicht die Security Essentials Option gemeint) lassen sich nicht mehr registrieren:

ES IST EIN FEHLER AUFGETRETEN:

Der zur eingegebenen Seriennummer gespeicherte Gerätetyp passt nicht zur gewählten Option. Möglicherweise ist die Seriennummer falsch geschrieben oder die Option ist für diesen Gerätetyp nicht verfügbar.

Dabei spielt es keine Rolle, ob ich einen alten 1781VA nehme, einen 1790VA-4G+, einen 1803VA-5G oder einen 1936VAG-5G.

Hi Jirka,

Lass Dir vom Support die Contenfilter Lizenz in eine aktuelle Security Essenziells tauschen.

Und ggf die 10.92 für den jeweiligen Router anfordern.
(bzw. alle betroffenen Router)

Viele Grüße

ts

[Jirka]

Hast du mal die Aktivierung über die CLI (feature Befehl) probiert?

Soweit komme ich ja gar nicht. Die Fehlermeldung da oben war von der Homepage, wo die Lizenznummer auf die Seriennummer registriert wird.

Lass Dir vom Support die Contentfilter Lizenz in eine aktuelle Security Essentials tauschen.

Supportfall ist erstellt.

Ist jetzt meine letzte CF-Option gewesen, ich hätte allerdings gedacht, dass man die noch problemlos registrieren kann, zumindest für Geräte, die noch die 10.92 bekommen.

Bzgl. der Security Essentials Option konnte mir bis heute niemand sagen, wie ich, wie bisher über das IBM X-Force Exchange Portal, Seiten manuell prüfe und ggf. beantragen kann, dass diese umkategorisiert werden. Ich hatte da schon mal umfangreich gegoogelt, aber ohne Erfolg. Soll ich dann jetzt diesbezüglich auch mal einen Supportfall aufmachen? Weil ohne diese Funktion kann man so einen Filter an Bildungseinrichtungen nur sehr schwer und mit überlaufenden White- und Black-Listen einsetzen.

[Dr.Einstein]

Soweit komme ich ja gar nicht. Die Fehlermeldung da oben war von der Homepage, wo die Lizenznummer auf die Seriennummer registriert wird.

Das Feature Command kann beides. Lizenzschlüssel als auch Aktivierungscode.

Code: Alles auswählen

Feature <activation-code>     Activation using activation code

Feature  -l <license-key>             16/19 character license key 
 -t <license-type>            type of license, e.g. VPN25

license-type wäre bei dir "UTM-UF".

Falls wirklich die Content Filter Option damit beendet wurde, wieso gibt es dann keinerlei Supportartikel dazu, in dem z.B. auch das Vorgehen bei 10.50 Geräten beschrieben wird.

[Jirka]

Das Feature Command kann beides. Lizenzschlüssel als auch Aktivierungscode.

Booh, das war mir mal bekannt, aber mit einem Lizenzschlüssel habe ich den Befehl nie genutzt. Das war mir echte eine Nummer zu kompliziert und so viele Lizenzen, dass sich diese "CLI-Registrierung" lohnen würde, hatte ich dann auch nicht. Das Maximum, was ich mit dem Feature-Befehl gemacht habe, war zwei Optionen gleichzeitig zu aktivieren, das sparte einen Neustart.

license-type wäre bei dir "UTM-UF".

Ok, da kommt jetzt aber auch nicht jeder drauf. Ich habe mal versucht, diese Info irgendwo zu finden, aber weder im Referenzmanual noch in der CLI-Doku stand da irgendwo was ausführlicheres, als man es auf der CLI auch schon ausgeworfen bekommt.

in dem z.B. auch das Vorgehen bei 10.50 Geräten beschrieben wird.

Was meinst Du? Ich weiß gerade nicht, was da anders sein soll.