Nach Flash-Restore kommen VPN-Verbindungen nicht wieder hoch

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Nach Flash-Restore kommen VPN-Verbindungen nicht wieder hoch

Beitrag von Jirka »

Hallo,

nach einem Flash-Restore kommen VPN-Verbindungen nicht wieder hoch.

Firmware 9.24.0334-SU9, IKEv1 ohne Zertifikate

Es soll ein Testlauf mit einem neuen 9100+ an einem neuen Standort durchgeführt werden, der einen 9100 an einem alten Standort ersetzen soll. Dazu wird in 9 Filialen (1781VA(W)) flash no aktiviert. Anschließend werden alle 9 Filialen zusätzlich zur bestehenden VPN zum 9100 noch um eine VPN zum 9100+ ergänzt. Der Test verläuft soweit gut, nach 2 Stunden wird der Test beendet, indem in allen Filialen ein Flash-Restore (do o/f) durchgeführt wird. Anschließend brach leider bei allen Filialen die VPN zum 9100 ab, außer bei den beiden Filialen, die untereinander ebenfalls noch per VPN verbunden sind. Ein 'show vpn' lieferte nur '# of rules = 0'. Alle Filialen, bis auf die beiden auch untereinander vernetzten, mussten neu gestartet werden. Das Problem ist jederzeit nachstellbar, ich habe es nochmals heute Abend durchprobiert. Ein VPN-Status-Trace ist wenig aussagefähig, "no configuration found for incoming peer" oder "timed out: no response".

Vielen Dank und viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Nach Flash-Restore kommen VPN-Verbindungen nicht wieder

Beitrag von MariusP »

Hi,
Da stellt sich mir die Frage ob ein Flash-Restore einen Call des Menüs auslöst, welcher dann an das VPN Übertragen werden würde.

Passiert das auch wenn du einen Flash Restore mit der nicht Beta-Version durchführst?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Nach Flash-Restore kommen VPN-Verbindungen nicht wieder

Beitrag von Jirka »

Hallo,

heute morgen Katastrophe! Die beiden Standorte, die nicht neu gestartet wurden, waren offline!!! Nach der der 24-Stunden-Zwangstrennung zuvorkommenden Verbindungstrennung nicht wieder online gegangen, ähnliches Problem wie hier http://www.lancom-forum.de/fragen-zum-t ... 16434.html
Und zu allem Überfluss im 9100 nach Neustart der 7 Filialen, die ja die VPN nicht mehr aufgebaut hatten, für 32 Minuten 100 % CPU-Last, das habe ich erst später gesehen, weil es zu viele Fehler-E-Mails waren durch den Ausfall der VPNs. Wie in dem anderen Fall, mit dem Unterschied, dass hier beim 9100 nichts gemacht wurde, keine Verbindungstrennung - nichts. Nur die VPNs zu 7 Filialen waren weg (weil die Filialen die SAs vergessen haben) und die Filialen wurden neu gestartet. Da überall feste IPs, auch kein Dynamic VPN, d. h. die Zentrale versucht, wie in dem anderen Aufbau auch, über Loadbalancer die VPNs aufzubauen, während die Filiale auch versucht über die beiden WAN-IPs die VPN wieder hochzubekommen. Da scheint sich dann ja irgendwas zu verrennen, aber interessant, dass ich das jetzt auch woanders habe. Da ist es nur bisher nicht auffällig geworden, weil die Zentrale keine Zwangstrennung hat.

Hallo Marius,
MariusP hat geschrieben:Da stellt sich mir die Frage ob ein Flash-Restore einen Call des Menüs auslöst, welcher dann an das VPN Übertragen werden würde.
ich verstehe nur "Bahnhof"... Was ist ein Call des Menüs?
MariusP hat geschrieben:Passiert das auch wenn du einen Flash Restore mit der nicht Beta-Version durchführst?
Sorry, das ist ja hier im Betatest-Forum gelandet, das tut mir leid. Wie oben angegeben, war in den Geräten gar keine Beta-Firmware, sondern die 9.24-SU9.
Den Test, den ich hier gestern Abend noch mal auf dem Schreibtisch gemacht hatte, der war mit der aktuellen 9.24-er Beta. Also um die Frage zu beantworten, ja es passiert bei beiden Firmwares.

Vielen Dank und viele Grüße,
Jirka
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Nach Flash-Restore kommen VPN-Verbindungen nicht wieder

Beitrag von Dr.Einstein »

Hi Jirka,

den Befehl Flashrestore habe ich lange nicht mehr verwendet. Früher hatte ich damit zu viele Probleme (im speziellen VPNs), dass ich immer solche Tests mit

Code: Alles auswählen

flash 0
sleep 900s 
do /ot/bo
exit
durchführe.

Gruß Dr.Einstein
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Nach Flash-Restore kommen VPN-Verbindungen nicht wieder

Beitrag von Jirka »

Hallo Dr. Einstein,

ja, alles was mit flash no/yes und flash-restore zu tun hat, ist eine ganz heiße Sache. Das habe ich auch schon öfter festgestellt. Man stellt sich das in der Theorie einfach vor, also dass die Konfig, die ja im RAM vorliegt, einfach nicht ins Flash geschrieben wird. Aber selbst dabei passieren schon Fehler. Liest man zu oft z. B. mit LANconfig die Konfig aus, geht das am Ende nicht mehr, der Download bleibt mitten drin hängen. Dann kann man noch zwei drei Mal probieren, dann stürzt das Gerät mit Angabe eines Timeouts im Bootlog ab. Und beim Flash-Restore wird die Konfig zwar vielleicht neu ins RAM geladen, aber anscheinend auf andere Art und Weise, als das passiert, wenn ich normal eine neue Konfig ins Gerät schreibe. Ich weiß nicht, was da vor sich geht, aber das funktioniert ja in vielen Fällen schlicht nicht. Da registrieren sich noch Tage später SIP-Leitungen mit Zugangsdaten, die im Flash-no-Modus drin waren, da brechen VPN-Verbindungen ab oder bauen sich einfach nicht mehr auf, WAN-Verbindungen bauen sich nicht mehr auf, am häufigsten auf Geräten mit Loadbalancer.

Ich hasse regelmäßige Neustarts auf Speedport-Niveau. Es scheint aber tatsächlich sinnvoller zu sein, den regulären Betrieb mal eben kurz mit einem Neustart zu stören, als das Risiko eines unerwarteten Teil- oder Totalausfalls in Kauf zu nehmen. Das ist nicht schön.

Viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Nach Flash-Restore kommen VPN-Verbindungen nicht wieder

Beitrag von MariusP »

Hi,
Jirka hat geschrieben: ich verstehe nur "Bahnhof"... Was ist ein Call des Menüs?
Damit meinte ich die Frage ob Flash restore sich so auf das Menü auswirkt, dass dieses daraufhin wie bei einer normalen Änderung das VPN antriggert und dieses dann eine neue Regelerzeugung durchführt, wodurch die neue veränderte Config auch umgesetzt werden würde.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Nach Flash-Restore kommen VPN-Verbindungen nicht wieder

Beitrag von Jirka »

Hallo Marius,

aha - ja und das fragst Du mich? Oder hast Du nur laut selber nachgedacht?

Vielen Dank und viele Grüße,
Jirka
Antworten