Hallo Alfred,
ich bin der Sache jetzt noch mal nachgegangen:
Ausgangspunkt ist die 9.24, alles passt:
Code: Alles auswählen
#
| LANCOM 1781AW
| Ver. 9.24.0379 / 09.03.2018
Router-Xyz, Connection No.: 002 (WAN)
root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves
Elliptic-Curves VALUE: secp256r1,secp384r1,secp521r1
root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves ?
Possible values in menu 'SSL-for-Action-Table' with prefix 'Elliptic-Curves':
[ 7] Elliptic-Curves : Bitmask: secp256r1 (1), secp384r1 (2), secp521r1 (4)
root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms
Crypto-Algorithms VALUE: 3DES,AES-128,AES-256,AESGCM-128,AESGCM-256
root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms ?
Possible values in menu 'SSL-for-Action-Table' with prefix 'Crypto-Algorithms':
[ 3] Crypto-Algorithms : Bitmask: RC4-40 (4), RC4-56 (8), RC4-128 (16), DES40 (32), DES (64), 3DES (128), AES-128 (256), AES-256 (512), AESGCM-128 (1024), AESGCM-256 (2048)
Jetzt Firmware-Update auf die 10.12:
Code: Alles auswählen
#
| LANCOM 1781AW
| Ver. 10.12.0355 / 13.04.2018
Router-Xyz, Connection No.: 002 (WAN)
root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves
Elliptic-Curves VALUE: secp256r1,secp384r1,secp521r1,ecdh_x25519
root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves ?
Possible values in menu 'SSL-for-Action-Table' with prefix 'Elliptic-Curves':
[ 7] Elliptic-Curves : Bitmask: secp256r1 (1), secp384r1 (2), secp521r1 (4), ecdh_x25519 (8)
root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms
Crypto-Algorithms VALUE: 3DES,AES-128,AES-256,AESGCM-128,AESGCM-256,Chacha20-Poly1305
root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms ?
Possible values in menu 'SSL-for-Action-Table' with prefix 'Crypto-Algorithms':
[ 3] Crypto-Algorithms : Bitmask: RC4-40 (4), RC4-56 (8), RC4-128 (16), DES40 (32), DES (64), 3DES (128), AES-128 (256), AES-256 (512), AESGCM-128 (1024), AESGCM-256 (2048), Chacha20-Poly1305 (4096)
Wie man sieht, sind plötzlich Werte gesetzt, die so nie gesetzt waren. Wie kann das sein?! Ich denke, das Gerät behält seine Konfig, so wird es doch immer wieder gesagt. Oder ist man bei diesem Parameter der Meinung, dass der neue Default-Wert in jedem Fall gesetzt wird, egal was konfiguriert war?
Code: Alles auswählen
root@Router-Xyz:/
> sys
DEVICE: LANCOM 1781AW
...
CONFIG-STATUS: 17440;0;bb11c3452b0871274eee3772c9bf3452d011166b.11305317042018.0
root@Router-Xyz:/
> sh boot
04/11/2018 23:17:48 System boot after LCOS-Watchdog
DEVICE: LANCOM 1781AW
HW-RELEASE: B
VERSION: 9.24.0379 / 09.03.2018
****
04/17/2018 13:18:29 System boot after firmware upload
DEVICE: LANCOM 1781AW
HW-RELEASE: B
VERSION: 10.12.0355 / 13.04.2018
root@Router-Xyz:/
> ls st/tcp/sys/last
Idx. Time Source Level Message
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 2018-04-17 13:31:42 LOCAL3 Alarm Dst: 46.93.230.113:11211 {Router-Xyz.Xyz}, Src: 123.249.27.95:47885 (UDP): connection refused
2 2018-04-17 13:31:25 AUTHPRIV Notice Login from 10.10.10.11 via SSH
3 2018-04-17 13:25:45 LOCAL3 Alarm Dst: 46.93.230.113:1900 {Router-Xyz.Xyz}, Src: 184.105.139.77:11990 (UDP): connection refused
4 2018-04-17 13:20:34 KERN Notice xDSL: [1] Line data update. DS-Attn: 30.1, US-Attn: 14.8, Mode: ADSL2+ Annex J
5 2018-04-17 13:20:34 KERN Notice xDSL: [1] Line data update. DS-Rate: 10324, US-Rate: 1907, DS-Margin: 7.6, US-Margin: 15.7
6 2018-04-17 13:20:26 AUTH Notice [WLAN-1] Determined IPv4 address for station 7c:7d:3d:bb:75:f1 (Huawei bb:75:f1): 10.10.11.111
... (VoIP-Registrierungen)
12 2018-04-17 13:19:58 KERN Notice Local time set to 2018-04-17 11:19:58(UTC) received by 192.53.103.108
13 2018-04-17 13:19:58 CRON Notice System time changed to 4/17/2018 11:19:58 (UTC), time difference is -0:00:01
14 2018-04-17 13:19:56 AUTH Notice Successfully connected to peer XXXX
15 2018-04-17 13:19:53 LOCAL0 Notice Router state: ADSL-1 - Connection to TELEKOM
16 2018-04-17 13:19:53 AUTH Notice Successfully connected to peer TELEKOM
17 2018-04-17 13:19:53 AUTH Notice local IP address for TELEKOM is 46.93.230.113, remote IP address is 62.155.241.148
18 2018-04-17 13:19:53 LOCAL0 Notice Router state: ADSL-1 - Protocol
19 2018-04-17 13:19:52 LOCAL0 Notice Router state: ADSL-1 - Establ. PPPoE to TELEKOM ()
20 2018-04-17 13:19:51 LOCAL0 Notice Router state: ADSL-1 - Ready ; charges for last connection: 0 units
21 2018-04-17 13:19:51 AUTH Info Disconnected from peer TELEKOM: No response
22 2018-04-17 13:19:51 LOCAL0 Notice Router state: ADSL-1 - Disconnecting from TELEKOM
23 2018-04-17 13:19:36 LOCAL0 Notice Router state: ADSL-1 - Establ. PPPoE to TELEKOM ()
24 2018-04-17 13:19:36 LOCAL0 Notice none state: ADSL-ERR - Dial to TELEKOM ()
25 2018-04-17 13:19:36 KERN Notice xDSL: [1] Line is up. DS-Attn: 30.1, US-Attn: 14.8, Mode: ADSL2+ Annex J
26 2018-04-17 13:19:36 KERN Notice xDSL: [1] Line is up. DS-Rate: 10324, US-Rate: 1907, DS-Margin: 6.0, US-Margin: 15.8
root@Router-Xyz:/
> ls st/config/config
Config-Date INFO: 04/17/2018 11:30:53
Config-Hash INFO: bb11c3452b0871274eee3772c9bf3452d011166b
Config-Version INFO: 0
Das Config-Date von 11:30 Uhr ist in Wirklichkeit um 13:30 Uhr, dieser Bug ist immer noch nicht gefixt. (Entgegen zu allen anderen Angaben wird an dieser Stelle nicht die Lokalzeit, sondern die UTC verwendet.)
Es stellt sich also die Frage, wieso die Konfig gespeichert wurde und durch welchen Prozess und wieso mit Config-Zähler 0 (was ja laut Anleitung heißt Fehler).
Wieder zurück auf der 9.24 (zur Sicherheit diesmal mit Kaltstart):
Code: Alles auswählen
root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves
Elliptic-Curves VALUE: secp256r1,secp384r1,secp521r1,0x00000008
root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves ?
Possible values in menu 'SSL-for-Action-Table' with prefix 'Elliptic-Curves':
[ 7] Elliptic-Curves : Bitmask: secp256r1 (1), secp384r1 (2), secp521r1 (4)
root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms
Crypto-Algorithms VALUE: 3DES,AES-128,AES-256,AESGCM-128,AESGCM-256,0x00001000
root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms ?
Possible values in menu 'SSL-for-Action-Table' with prefix 'Crypto-Algorithms':
[ 3] Crypto-Algorithms : Bitmask: RC4-40 (4), RC4-56 (8), RC4-128 (16), DES40 (32), DES (64), 3DES (128), AES-128 (256), AES-256 (512), AESGCM-128 (1024), AESGCM-256 (2048)
Ich sehe gerade, Du hast in Deinem Posting geschrieben "Daß ein Konfig-Konverter beim Upgrade die "schönen neuen" Kurven automatisch einschaltet, das ist noch klar". Mir war das zwar nicht klar, das würde aber die erste Frage klären. So, dann die zweite, wie findet man jetzt raus, welches Modul da einfach die Konfig speichert? Ich finde solche Eingriffe echt nicht toll. Man sieht ja, wenn man eigentlich weiß, wie so ein Gerät normal reagiert und dann reagiert es doch anders, was da das Ergebnis von ist.
Vielen Dank und viele Grüße,
Jirka