Elliptische Kurven mit 0x00000008 - woher?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Elliptische Kurven mit 0x00000008 - woher?

Beitrag von Jirka »

Hallo zusammen,

ich hatte das letzte Woche schon mal auf einem Gerät, jetzt geht das wieder los. Da will man mal eben mit LANconfig eine Kleinigkeit an der Konfig ändern und anschließend kann die Konfig wegen fehlerhafter Werte nicht ins Gerät geschrieben werden. Firmware ist 9.24.0379, reingekommen ist das Problem aber evt. schon mit einer vorherigen Beta-Version. Das Problem tritt nicht nur an der hier gezeigten Stelle auf, sondern zieht sich durch alle Menüpunkte. Letzte Woche habe ich Schritt für Schritt die Fehler beseitigt und mich dabei im Kreis gedreht, als ich mit dem letzten Paramter fertig war, ging es mit dem ersten wieder los. (Und ich habe das nicht mitbekommen und damit über eine Stunde damit verdalllert.) Man konnte machen was man wollte, am Ende habe ich ein Script eingespielt, was sämtliche Crypto- und Elliptic-Werte auf default setzt und dann sofort die Konfig gespeichert. Allerdings war das Gerät wohl kein Einzelfall. Andererseits weiß ich nicht, wie es dazu kommt. Kann mir jemand helfen? Jemand ähnliche Beobachtungen? Liegt es an einer defekten Beta-Version zwischendrin?

Code: Alles auswählen

root@Router:/
> cd 2/2/53

root@Router:/Setup/WAN/SSL-for-Action-Table
> l

Crypto-Algorithms          VALUE:   3DES,AES-128,AES-256,AESGCM-128,AESGCM-256,0x00001000
Elliptic-Curves            VALUE:   secp256r1,secp384r1,secp521r1,0x00000008
Hash-Algorithms            VALUE:   SHA1,SHA-256,SHA-384
Keyex-Algorithms           VALUE:   RSA,DHE,ECDHE
Prefer-PFS                 VALUE:   Yes
Renegotiations             VALUE:   allowed
Signature-Hash-Algorithms  VALUE:   SHA1-RSA,SHA224-RSA,SHA256-RSA,SHA384-RSA,SHA512-RSA
Versions                   VALUE:   TLSv1,TLSv1.1,TLSv1.2
Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von alf29 »

Moin,

bisweilen kommen im TLS-Stack des LCOS neue Krypto-Verfahren hinzu, für die dann in den entsprechenden Menüpunkten neue Bits definiert werden. Bei den elliptischen Kusrven müßte Bit 3 z.B. die Curve25519 sein, und wenn Du mit einem LCOS, das diese Kurve unterstützt, ein 'default machst', dann wird die auch aktiviert. Machst Du danach einen Downgrade auf eine ältere LCOS-Version, die die Kurve noch nicht kann, dann werden die der älteren LCOS-Version unbekannten Algorithmen und Kurven als nackte Bits angezeigt. In neueren LCOS-Versionen (irgendwo ab 10.x) hatte ich einen Mechanismus eingebaut, daß bei so einem Downgrade die unbekannten Bits gelöscht werden (nur im RAM, nicht im Flash), aber eine 9.24 hat das nicht - da wirst Du nach dem Downgrade einer zu der Version passende Konfig einspielen müssen. Nicht ohne Grund bietet LANconfig vor einem Firmware-Upgrade ja an, die Konfig mit der alten LCOS-Version zu sichern.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von Jirka »

Hallo Alfred,

erst mal vielen Dank für die ausführliche und kompetente Erklärung. In der Tat fiel mir wieder ein, dass ich bei diesem Gerät wegen dieses Problems (Link) mal eben ganz kurz eine 10.12-RU6 eingespielt habe und dann aber sofort wieder zurück auf die 9.24 bin, weil das Gerät sonst wegen Speichermangels noch öfter abstürzt, als es das jetzt schon tut. Da ich keinerlei Änderungen vorgenommen habe (also keine Konfigänderungen) und auch in der Cron- und Aktions-Tabelle keine Aktionen drin stehen, die Änderungen an der Konfig nach sich ziehen, habe ich ruhigen Gewissens einfach wieder auf die 9.24 umgestellt und die Konfig so belassen, weil Du mir mal erklärt hattest, dass die Konfig beim Start gelesen wird, dann konvertiert (also in dem Fall von 9.24 auf 10.12) und dann aber nur abgespeichert wird, wenn auch irgendeine Änderung ein Abspeichern erforderlich macht. Wie kann man das jetzt erklären, dass das anscheinend doch nicht so ist? Irgendwie ist mir unklar, wie das nun passiert sein kann.

Vielen Dank und viele Grüße,
Jirka, der gerade überlegt bzw. gleich mal in Log-Dateien schaut, welches das andere betroffene Gerät war und wie es in dem Gerät dazu gekommen sein kann
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von Jirka »

Hallo Alfred,

das andere Gerät war meine T.38-Teststellung. Und auch da war es so, dass die 10.12 da nur kurz drauf war, ohne was zu speichern. Soll ich das hier noch mal nachstellen? Oder hast Du für das Verhalten eine Erklärung für mich?

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von alf29 »

Moin,

nein, nicht aus dem Stand. Daß ein Konfig-Konverter beim Upgrade die "schönen neuen" Kurven automatisch einschaltet, das ist noch klar, aber das bleibt erstmal nur im RAM- Es muß noch jemand anders die Konfig ins Flash geschrieben haben. Wer das sein könnte, weiß ich aus dem Stand aber nicht. Der ADSL/VDSL-Auto-Modus war in der Vergangenheit so ein Kandidat, aber es gibt inzwischen mehr Stellen, wo sich das LCOS seine Konfig selber ins Flash zurückschreibt.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von ecox »

Beobachte das seit der 1. LCMS 10.x - habe mich darüber nie beschwert, war aber seit letzten Wochenende kurz davor.

LCOS Update von 9.24 auf 10.12 - danach Probleme mit den Curven, es werden in vielen Tabellen Adressbereiche (0x802000....) eingetragen, warum auch immer. Selbst ein simple Änderung wie ein Kommentar kann nicht mehr per LCMS zurück geschrieben werden.

Entfernt man dies via CLI, öffnet das Gerät mit LANConfig und ändert was, sind die Fehler danach wieder in der Konfig, obwohl der LANCONFIG sagt die Konfig konnte nicht geschrieben werden, was passiert da?

Danke und hoffe auf schnellen Fix, ich erinner mich an ähnliche Situationen vor 2 Jahren.

Grüße
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von alf29 »

LCOS Update von 9.24 auf 10.12 - danach Probleme mit den Curven, es werden in vielen Tabellen Adressbereiche (0x802000....) eingetragen,
Diese Kurven/algorithmen-Angaben für TLS stehen nirgendwo in Tabellen, und so hohe Bitnummern sind auch nirgendwo in den TLS-Einstellungen vergeben. Das klingt für mich nicht nach dem gleichen Problem. Könntest mal etwas konkreter beschreiben, um welche Tabellen es da geht?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von ecox »

Hey alf,

vorab, ich muss mich noch korrigieren, ich meinte down statt upgrade...

Ausgangssituation:
LANCOM 1781VA-4G (nackig oder betankt spielt dabei keine Rolle)
Es wurden lediglich zwei ARF-Netze angelegt sowie ein Gerätename, Adminstrator und Standort, heftiger Config-shit!

Nur eins von vielen Beispielen.
LCMS: 10.12.0075RU4

Downgrade von Ver. 10.12.0292RU6 auf Ver. 9.24.0334SU9, ja, auch das soll es glauben wenn die Kunden gecheckt haben das es keine 10.12 ohne LMC Gedöns gibt! Ich habe meine anderen Dokus nicht da, ich würde mich aber mal weit aus dem Fenster lehnen und sagen das es immer passiert wenn man von einer 10.12 auf 9.24 geht, möglich das da im Major irgendwas gravierendes geändert wurde...hatte auch keine Zeit das weiter zu verfolgen...
Misstrauen wächst...andere Baustelle.

Code: Alles auswählen

LANCONFIG sagt:

Meldung des Gerätes:
  FAILURE

SNMP-ID des Konfigurations-Elements, das den Abbruch verursachte:
  1.2.2.53.7

Fehlerhafter Wert:
  15

Code: Alles auswählen

CLI sagt:

root@:/
> ls 2/2/53/7 (Setup/WAN/SSL-for-Action-Table/Elliptic-Curves)

Elliptic-Curves  VALUE:   secp256r1,secp384r1,secp521r1,0x00000008

##################################

root@:/Setup/WAN/SSL-for-Action-Table
> ls

Crypto-Algorithms          VALUE:   3DES,AES-128,AES-256,AESGCM-128,AESGCM-256,0x00001000
Elliptic-Curves            VALUE:   secp256r1,secp384r1,secp521r1,0x00000008
Entferne ich diese 0x00000008, 0x00001000 Werte, gibt es auf CLI ebene nichts zu meckern, man sollte annehmen man kann danach nun endlich eine Konfigänderung machen aber Pustekuchen...

Worked as designed @ alf?

Grüße
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von alf29 »

Moin
Worked as designed @ alf?
In dem Sinne ja, als daß es bei einem Downgrade nun einmal keinen Konfig-Konverter gibt, der die Konfig an die ältere Firmware anpassen würde - woher sollte man bei der Entwicklung einer 9.24 auch wissen, was zwei Jahre später in einer 10.12 alles an Features reinkommen wird? Die Konfig wird bei einem Downgrade nicht explizit kaputtgemacht, und die Menüpunkte, die bei alter und neuer Firmware gleich sind, werden auch weiter funktionieren, aber bei den denen, wo sich etwas geändert hat, kommt halt irgendetwas heraus. Die Punkte in der TLS-Konfig sind halt so ein Beispiel. Du kannst versuchen, die alle einzeln geradezubiegen, Du kannst es auch lassen.

Die klare Aussage ist; wenn Ihr die 9.24 so mögt, spielt die eben als erstes ein, macht damit einen Konfig-Reset, und konfiguriert dann das Gerät, oder Ihr spielt eine zu der 9.24 passende Konfig in das Gerät ein.
Downgrade von Ver. 10.12.0292RU6 auf Ver. 9.24.0334SU9, ja, auch das soll es glauben wenn die Kunden gecheckt haben das es keine 10.12 ohne LMC Gedöns gibt!
Setze Setup/LMC/Operating auf 'No' und gut ist. Mach ich meistens auch als allererstes. Man muß die Cloud-Sachen nicht benutzen, wenn man sie nicht haben will. Ihr könnt ja alle gerne an der 9.24 festhalten, wenn Ihr sie so toll findet, aber Fakt ist nun einmal, daß Ihr Euch damit auch von der restlichen Entwicklung abkoppelt. Die 9.24 kriegt nur noch die nötigsten Sicherheitspatches und nicht mehr. Alle anderen neuen LCOS-Features abseits der Cloud werdet Ihr mit einer 9.24 nie bekommen.

Und ja, ich weiß, es gibt Geräte, für die es nichts neueres gibt als eine 9.24. Ich werde darüber aber nicht anfangen zu diskutieren, weil ich nun einmal für mich beschlossen habe, keine Diskussionen mehr über politische Entscheidungen zu führen.

Viele Grüße & gute Nacht

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von Jirka »

Hallo ecox,
ecox hat geschrieben:vorab, ich muss mich noch korrigieren, ich meinte down statt upgrade...
dann verstehe ich aber ehrlich gesagt nicht, wieso Du dann die Frage stellst... Aber Alfred hat sich ja die Mühe gemacht, Dir das zu erklären.
ecox hat geschrieben:Entferne ich diese 0x00000008, 0x00001000 Werte, gibt es auf CLI ebene nichts zu meckern, man sollte annehmen man kann danach nun endlich eine Konfigänderung machen aber Pustekuchen...
Weil es davon leider x Stellen gibt, wo das korrigiert werden muss. Für jedes Modul einzeln. Da hilft nur, die Konfig als Script auszulesen und nach den von Dir aufgeführten Werten zu suchen und die alle zu löschen. Oder aber, wenn man hat, ein Script einzuspielen, was alle die Werte auf Default setzt...

Viele Grüße,
Jirka
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von ecox »

Hallo,

ja Jirka, ich weiß das diese Werte non-stop in der Konfig auftauchen und wie man das mühevoll löst ist mir auch klar. Viel interessanter ist doch die Frage wieso das passiert und ob man das nicht fixen kann, ein Downgrade ist nichts unübliches und sollte Problemlos über die Bühne gehen...darum hab ich mich hier zu Wort gemeldet, mit der Hoffnung das das beseitigt wird, Erklärungen sind schön und gut, lösen aber nicht das Problem :D

Grüße
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von Jirka »

Aber Du hast doch jetzt verstanden, wieso das so ist, und dass es so nicht lösbar ist? Oder nicht?

Erstellst Du eine Konfig in der 10.12, dann sind defaultmäßig die elliptischen Kurven 1, 2, 4 und 8 zugelassen. Alles zusammen ergibt also 15 für die Bitmaske und damit diesen Parameter. Die 10.12-er Firmware kennt die elliptischen Kurven für 1, 2, 4 und 8. Alles gut. Gehst Du jetzt auf die 9.24-er Firmware zurück, hast aber noch die 10.12-Konfig, dann steht da nach wie vor 15, also 1, 2, 4 und 8 drin. Die 9.24-er Firmware kennt aber die elliptische Kurve 8 eben nicht. Die gab es nicht und die ist in der 9.24 als zulässiger Wert folglich auch nicht definiert. Also meckert das Gerät diesen unzulässigen Wert an.

Der Unterschied zwischen Deinem und meinem Fall ist folgender: Ich bin mit der 9.24 gestartet und demnach mit den Kurven 1, 2 und 4. Bin mit dieser Konfig auf die 10.12-er Firmware umgestiegen. Habe unter dieser Firmware die Konfig weder abgespeichert noch geändert und bin gleich wieder auf die 9.24 zurück. Im Prinzip stellen sich mir jetzt zwei Fragen: Erstens, wieso ist die Kurve 8 überhaupt dazugekommen. Klar, die 10.12 kann die Kurve, aber wer hat die Konfig so geändert, dass die Kurve 8 jetzt zulässig, also konfiguriert ist. Und zweitens, wieso wurde die Konfig abgespeichert.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von alf29 »

Moin,
Viel interessanter ist doch die Frage wieso das passiert und ob man das nicht fixen kann, ein Downgrade ist nichts unübliches und sollte Problemlos über die Bühne gehen.
Wie ich bereits geschrieben hatte: wenn Du downgradest, hast Du (hoffentlich) noch die mit der alten Firmware gesicherte Konfig. Dann ist das auch alles ganz problemlos ;-)
Erstens, wieso ist die Kurve 8 überhaupt dazugekommen. Klar, die 10.12 kann die Kurve, aber wer hat die Konfig so geändert, dass die Kurve 8 jetzt zulässig, also konfiguriert ist.
Das ist ein bewußter Konfigkonverter in der 10.1x: wenn die ausgewählten Kurven dem Konfig-Default der alten Firmware entsprechen (also die drei NIST-Kurven), dann ändert der Konfig-Konverter die Einstellung auf den neuen Default (also die drei NIST-Kurven plus Curve25519). Gleiches gilt sinngemäß für die Krypto-Algorithmen und ChaCha20/Poly1305. Die Alternative wäre, dem Kunden zuzumuten, an einem Dutzend Stellen das manuell einzuschalten oder die Konfig neuzuerstellen. An der Stelle mehr (und bessere) Kryptoverfahren zuzulassen, ist auch ansonsten unkritisch, es wird ja nur mehr und kein Client, der bisher reinkam, kommt danach nicht mehr rein. Warum Dir jemand diese konvertierte Konfig dann ins Flash geschrieben hat - keine Ahnung.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von Jirka »

Hallo Alfred,

ich bin der Sache jetzt noch mal nachgegangen:
Ausgangspunkt ist die 9.24, alles passt:

Code: Alles auswählen

#
| LANCOM 1781AW
| Ver. 9.24.0379 / 09.03.2018

Router-Xyz, Connection No.: 002 (WAN)


root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves

Elliptic-Curves  VALUE:   secp256r1,secp384r1,secp521r1

root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves ?

Possible values in menu 'SSL-for-Action-Table' with prefix 'Elliptic-Curves':
[  7] Elliptic-Curves : Bitmask: secp256r1 (1), secp384r1 (2), secp521r1 (4)

root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms

Crypto-Algorithms  VALUE:   3DES,AES-128,AES-256,AESGCM-128,AESGCM-256

root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms ?

Possible values in menu 'SSL-for-Action-Table' with prefix 'Crypto-Algorithms':
[  3] Crypto-Algorithms : Bitmask: RC4-40 (4), RC4-56 (8), RC4-128 (16), DES40 (32), DES (64), 3DES (128), AES-128 (256), AES-256 (512), AESGCM-128 (1024), AESGCM-256 (2048)
Jetzt Firmware-Update auf die 10.12:

Code: Alles auswählen

#
| LANCOM 1781AW
| Ver. 10.12.0355 / 13.04.2018

Router-Xyz, Connection No.: 002 (WAN)


root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves

Elliptic-Curves  VALUE:   secp256r1,secp384r1,secp521r1,ecdh_x25519

root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves ?

Possible values in menu 'SSL-for-Action-Table' with prefix 'Elliptic-Curves':
[  7] Elliptic-Curves : Bitmask: secp256r1 (1), secp384r1 (2), secp521r1 (4), ecdh_x25519 (8)

root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms

Crypto-Algorithms  VALUE:   3DES,AES-128,AES-256,AESGCM-128,AESGCM-256,Chacha20-Poly1305

root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms ?

Possible values in menu 'SSL-for-Action-Table' with prefix 'Crypto-Algorithms':
[  3] Crypto-Algorithms : Bitmask: RC4-40 (4), RC4-56 (8), RC4-128 (16), DES40 (32), DES (64), 3DES (128), AES-128 (256), AES-256 (512), AESGCM-128 (1024), AESGCM-256 (2048), Chacha20-Poly1305 (4096)
Wie man sieht, sind plötzlich Werte gesetzt, die so nie gesetzt waren. Wie kann das sein?! Ich denke, das Gerät behält seine Konfig, so wird es doch immer wieder gesagt. Oder ist man bei diesem Parameter der Meinung, dass der neue Default-Wert in jedem Fall gesetzt wird, egal was konfiguriert war?

Code: Alles auswählen

root@Router-Xyz:/
> sys

DEVICE:                LANCOM 1781AW
...
CONFIG-STATUS:         17440;0;bb11c3452b0871274eee3772c9bf3452d011166b.11305317042018.0

root@Router-Xyz:/
> sh boot

04/11/2018 23:17:48  System boot after LCOS-Watchdog

DEVICE:                LANCOM 1781AW
HW-RELEASE:            B
VERSION:               9.24.0379 / 09.03.2018

****

04/17/2018 13:18:29  System boot after firmware upload

DEVICE:                LANCOM 1781AW
HW-RELEASE:            B
VERSION:               10.12.0355 / 13.04.2018


root@Router-Xyz:/
> ls st/tcp/sys/last

Idx.       Time                   Source    Level      Message                                      
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1          2018-04-17 13:31:42    LOCAL3    Alarm      Dst: 46.93.230.113:11211 {Router-Xyz.Xyz}, Src: 123.249.27.95:47885 (UDP): connection refused
2          2018-04-17 13:31:25    AUTHPRIV  Notice     Login from 10.10.10.11 via SSH               
3          2018-04-17 13:25:45    LOCAL3    Alarm      Dst: 46.93.230.113:1900 {Router-Xyz.Xyz}, Src: 184.105.139.77:11990 (UDP): connection refused
4          2018-04-17 13:20:34    KERN      Notice     xDSL: [1] Line data update. DS-Attn: 30.1, US-Attn: 14.8, Mode: ADSL2+ Annex J
5          2018-04-17 13:20:34    KERN      Notice     xDSL: [1] Line data update. DS-Rate: 10324, US-Rate: 1907, DS-Margin: 7.6, US-Margin: 15.7
6          2018-04-17 13:20:26    AUTH      Notice     [WLAN-1] Determined IPv4 address for station 7c:7d:3d:bb:75:f1 (Huawei bb:75:f1): 10.10.11.111
... (VoIP-Registrierungen)
12         2018-04-17 13:19:58    KERN      Notice     Local time set to 2018-04-17 11:19:58(UTC) received by 192.53.103.108
13         2018-04-17 13:19:58    CRON      Notice     System time changed to 4/17/2018 11:19:58 (UTC), time difference is -0:00:01
14         2018-04-17 13:19:56    AUTH      Notice     Successfully connected to peer XXXX
15         2018-04-17 13:19:53    LOCAL0    Notice     Router state: ADSL-1 - Connection to TELEKOM 
16         2018-04-17 13:19:53    AUTH      Notice     Successfully connected to peer TELEKOM       
17         2018-04-17 13:19:53    AUTH      Notice     local IP address for TELEKOM is 46.93.230.113, remote IP address is 62.155.241.148
18         2018-04-17 13:19:53    LOCAL0    Notice     Router state: ADSL-1 - Protocol              
19         2018-04-17 13:19:52    LOCAL0    Notice     Router state: ADSL-1 - Establ. PPPoE to TELEKOM ()
20         2018-04-17 13:19:51    LOCAL0    Notice     Router state: ADSL-1 - Ready ; charges for last connection: 0 units
21         2018-04-17 13:19:51    AUTH      Info       Disconnected from peer TELEKOM: No response  
22         2018-04-17 13:19:51    LOCAL0    Notice     Router state: ADSL-1 - Disconnecting from TELEKOM
23         2018-04-17 13:19:36    LOCAL0    Notice     Router state: ADSL-1 - Establ. PPPoE to TELEKOM ()
24         2018-04-17 13:19:36    LOCAL0    Notice     none state: ADSL-ERR - Dial to TELEKOM ()    
25         2018-04-17 13:19:36    KERN      Notice     xDSL: [1] Line is up. DS-Attn: 30.1, US-Attn: 14.8, Mode: ADSL2+ Annex J
26         2018-04-17 13:19:36    KERN      Notice     xDSL: [1] Line is up. DS-Rate: 10324, US-Rate: 1907, DS-Margin: 6.0, US-Margin: 15.8

root@Router-Xyz:/
> ls st/config/config

Config-Date     INFO:    04/17/2018 11:30:53
Config-Hash     INFO:    bb11c3452b0871274eee3772c9bf3452d011166b
Config-Version  INFO:    0
Das Config-Date von 11:30 Uhr ist in Wirklichkeit um 13:30 Uhr, dieser Bug ist immer noch nicht gefixt. (Entgegen zu allen anderen Angaben wird an dieser Stelle nicht die Lokalzeit, sondern die UTC verwendet.)
Es stellt sich also die Frage, wieso die Konfig gespeichert wurde und durch welchen Prozess und wieso mit Config-Zähler 0 (was ja laut Anleitung heißt Fehler).

Wieder zurück auf der 9.24 (zur Sicherheit diesmal mit Kaltstart):

Code: Alles auswählen

root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves

Elliptic-Curves  VALUE:   secp256r1,secp384r1,secp521r1,0x00000008

root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Elliptic-Curves ?

Possible values in menu 'SSL-for-Action-Table' with prefix 'Elliptic-Curves':
[  7] Elliptic-Curves : Bitmask: secp256r1 (1), secp384r1 (2), secp521r1 (4)

root@Router-Xyz:/
> ls /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms

Crypto-Algorithms  VALUE:   3DES,AES-128,AES-256,AESGCM-128,AESGCM-256,0x00001000

root@Router-Xyz:/
> set /Setup/WAN/SSL-for-Action-Table/Crypto-Algorithms ?

Possible values in menu 'SSL-for-Action-Table' with prefix 'Crypto-Algorithms':
[  3] Crypto-Algorithms : Bitmask: RC4-40 (4), RC4-56 (8), RC4-128 (16), DES40 (32), DES (64), 3DES (128), AES-128 (256), AES-256 (512), AESGCM-128 (1024), AESGCM-256 (2048)
Ich sehe gerade, Du hast in Deinem Posting geschrieben "Daß ein Konfig-Konverter beim Upgrade die "schönen neuen" Kurven automatisch einschaltet, das ist noch klar". Mir war das zwar nicht klar, das würde aber die erste Frage klären. So, dann die zweite, wie findet man jetzt raus, welches Modul da einfach die Konfig speichert? Ich finde solche Eingriffe echt nicht toll. Man sieht ja, wenn man eigentlich weiß, wie so ein Gerät normal reagiert und dann reagiert es doch anders, was da das Ergebnis von ist.

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Elliptische Kurven mit 0x00000008 - woher?

Beitrag von Jirka »

alf29 hat geschrieben:Wie ich bereits geschrieben hatte: wenn Du downgradest, hast Du (hoffentlich) noch die mit der alten Firmware gesicherte Konfig. Dann ist das auch alles ganz problemlos ;-)
Ja. Wenn ich das mit LANconfig gemacht habe, dann habe ich tatsächlich die Sicherung. Und wenn ich die Updates manuell mache, das läuft das meist so.

Die Frage, die jetzt nur auftaucht ist immer: Nach dem Downgrade auf die 9.24 bin ich davon ausgegangen, dass die 9.24-er Konfig noch im Gerät ist und habe ich nicht gemerkt, dass die Konfig ja eigentlich auf dem 10.12-er Stand ist. Dann gab es Änderungen (z. B. per Konsole; ganz schlimm sind Geräte mit Public Spot) und dann fragt man sich nach 2 Wochen immer, was wurde denn nun geändert in den 2 Wochen. Also muss man vorher noch ein Konfigvergleich machen, bevor man die alte einspielt und die Änderungen der Zwischenzeit dann nachträgt.

Aber so langsam habe ich ja - sorry - dann auch kapiert, dass man leider wohl nicht mehr davon ausgehen kann, dass einem die Konfig im Gerät erhalten bleibt, wenn man nichts ändert. Wenn ich das nun weiß, sollte mir das ja dann jetzt nicht mehr passieren. Leider gibt es regelmäßig Änderungen, die dazu führen, dass alles nicht mehr wahr ist, was vor ein paar Monaten noch war. Das ist manchmal echt anstrengend...
alf29 hat geschrieben:Das ist ein bewußter Konfigkonverter in der 10.1x: wenn die ausgewählten Kurven dem Konfig-Default der alten Firmware entsprechen (also die drei NIST-Kurven), dann ändert der Konfig-Konverter die Einstellung auf den neuen Default (also die drei NIST-Kurven plus Curve25519). Gleiches gilt sinngemäß für die Krypto-Algorithmen und ChaCha20/Poly1305. Die Alternative wäre, dem Kunden zuzumuten, an einem Dutzend Stellen das manuell einzuschalten oder die Konfig neuzuerstellen.
...was man aber bis zur 9.24 nicht so gemacht hat. Wenn ich hier readscripts mache, dann ist das ganze Script voller "Kurven" und da ist nichts auf Default. Und das Gerät hat noch nie eine 10.12 gesehen, immer schön aufwärts die 9-er Firmware hoch, sicherlich auch mit Beta-Versionen, vielleicht liegt es daran.
alf29 hat geschrieben:Warum Dir jemand diese konvertierte Konfig dann ins Flash geschrieben hat - keine Ahnung.
Aha. Danke. Auch für die nochmalige ausführliche Erklärung, warum konvertiert wird.

Vielen Dank und viele Grüße,
Jirka
Antworten