Hallo,
ich verstehe es nicht und ich kriege es nicht hin. Das BPjM-Modul weigert sich hartnäckig seine Arbeit zu tun, und ich weiß nicht warum. Eine Schule die nächste Gemeinde weiter habe ich fast alles genauso, da funktioniert alles:
root@GSM-Router:/
> ls st/fire/bpjm
Last-update-result INFO: No-update-necessary
Licence-active INFO: Yes
Module-operating INFO: Yes
Rule-active INFO: Yes
Delete-Values ACTION:
Jetzt zu meinem Problemfall:
root@Paedagogik-BPjM-Router:/
> ls st/fire/bpjm
Last-update-result INFO: No-update-necessary
Licence-active INFO: Yes
Module-operating INFO: No
Rule-active INFO: Yes
Delete-Values ACTION:
Es ist also Module-operating auf No. Warum? (Das alleine würde mich ja nicht stören, aber es wird auch nichts ausgefiltert.)
Durchgeführte Maßnahmen (ohne Erfolg):
Neustart
Firmware-Update (10.80-RU11 auf 10.80-RU13)
Überprüfen der Firewall-Regel
Ausführen des Delete-Values-Befehls (siehe oben)
Loopback-Adresse für den BPjM-Filter auf auf 192.168.178.1 setzen (IP-Adresse des Pädagogik-Netzes)
Mir gehen jetzt schlicht die Ideen aus, was hier los sein soll. Gewisse Sachen kann man ja offenbar ausschließen: Die Lizenz ist aktiv und die Regel ist aktiv, beides wird ja auch so angezeigt. Nur warum ist dann das Modul nicht aktiv?!
Der Aufbau ist an dieser (Grund-)Schule nicht ganz trivial. Da auf Glasfaser umgestellt wurde, habe ich einen 1800EF mit SFP-GPON-1 vorgeschaltet. Und da vermute ich das Problem. Der nachgeschaltete BPjM-Router hat auf LAN-Seite die IP-Adresse 192.168.12.5 (Verwaltungs-Netz) und auf WAN-Seite die 192.168.12.2 (über eine ganz normale Gegenstelle, kein lokales Routing). Der 1800EF hat die 192.168.12.1.
Es funktioniert alles super nur das BPjM-Modul eben nicht. Die ganze Sache war so, dass lange Zeit jetzt der Einsatz des BPjM-Moduls nicht gewünscht war, die Firewall-Regel war also deaktiviert. Seit zwei Wochen sollte es jetzt aktiviert werden, ich habe die Firewall-Regel eingeschaltet, aber es funktioniert nicht. Zwei Stunden alleine heute Abend, die ich mir nicht traue irgendwo aufzuschreiben, weil es doch nicht sein kann, dass man das blöde Ding nicht einfach einschalten kann. Zum Verzweifeln. Einen Trace dazu habe ich auch nicht gefunden. Wer kann mir erklären, was hier Ursache sein kann, oder vor sich geht? Danke!!!
BPjM-Modul: Module-operating INFO: No - Warum?
Moderator: Lancom-Systems Moderatoren
Re: BPjM-Modul: Module-operating INFO: No - Warum?
Das Abschalten des Verwaltungsnetzes (wegen des gleichen IP-Adresskreises auf WAN- und LAN-Seite) hat leider auch nichts gebracht. Es ist wirklich zum Verzweifeln.
Die WAN-Verbindung zum 1800EF ist DHCPoE mit benutzerdefinierter MAC. DNS-Auflösung ist kein Problem, es funktioniert alles, nur nicht BPjM.
Wieso Regel DEFAULT (ACCEPT-ALL)? Warum greift die Regel BPJM nicht?:
Die WAN-Verbindung zum 1800EF ist DHCPoE mit benutzerdefinierter MAC. DNS-Auflösung ist kein Problem, es funktioniert alles, nur nicht BPjM.
Code: Alles auswählen
root@Paedagogik-BPjM-Router:/Status/IP-Router
> ls filter-l
Idx. Prot. Source S-St. S-End Destination D-St. D-End Action Linked Prio Src-Tag Rtg-tag
=========------------------------------------------------------------------------------------------------
00000001 0 0.0.0.0/0 0 0 ALLOW-LIST-BPJM 0 0 accept No 9998 0 0
00000002 0 0.0.0.0/0 0 0 BPJM 0 0 reject No 9997 0 0
00000003 17 0.0.0.0/0 137 139 0.0.0.0/0 0 0 inet: reject No 0 0 0
00000004 6 0.0.0.0/0 137 139 0.0.0.0/0 0 0 inet: reject No 0 0 0
Code: Alles auswählen
root@Paedagogik-BPjM-Router:/
> tr # firew
Firewall ON
root@Paedagogik-BPjM-Router:/
>
[Firewall] 2025/12/08 14:35:29,803
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 74.125.29.155, SrcIP: 192.168.178.176, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 46696, Flags: FA
Seq: 1665826092, Ack: 2469890585, Win: 245, Len: 0
Option: NOP
Option: NOP
Option: 08 = f1 7b eb 30 88 8e 05 9b
bad TCP state (ACK expected in session recovery)
packet rejected
-
Frühstücksdirektor
- Beiträge: 245
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: BPjM-Modul: Module-operating INFO: No - Warum?
Hast Du mal einen Reboot gemacht 
?
?
Re: BPjM-Modul: Module-operating INFO: No - Warum?
Hi Jirka
statt "<no address available>" wird dort dann die Liste der aufgelösten IP-Adressen stehen.
Wichtig dafür ist, daß das LANCOM DNS-Server des Netzes ist. Um das zu erzwingen kann DNS generell blockiert und nur der Zugriff auf das LANCOM erlaubt werden:
warum allerdings in Module-Operating "No" steht, kann ich dir auch nicht sagen - da wurde hoffentlich nicht irgendwo "händisch" eine DNS-Destination mit dem Namen "BPJM" angelegt?
Ist vielleicht diese geheime BPJM-Datei korrupt? (frag mich bitte nicht, ob - und wenn ja, woran - man das erkennen kann)
Gruß
Backslash
weil BPJM als DNS-Destination zählt. Es muß also vorher eine DNS-Anfrage erfolgen, die eine Domain auflöst, die in der geheimen BPJM-Datei steckt. Dann wird die aufgelöste Adresse der BPJM-Regel hinzugefügt. Das kannst du in einem "show filter" sehen:Wieso Regel DEFAULT (ACCEPT-ALL)? Warum greift die Regel BPJM nicht?:
Code: Alles auswählen
[Test]root@:/Setup/IP-Router/Firewall/Rules
> show filter
Filter 00000001 from Rule BPJM:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: BPJM 0-0
<no address available>
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
Wichtig dafür ist, daß das LANCOM DNS-Server des Netzes ist. Um das zu erzwingen kann DNS generell blockiert und nur der Zugriff auf das LANCOM erlaubt werden:
Code: Alles auswählen
Name: DENY-DNS
Aktion: REJECT
Dienste: DNS
Quelle: alle Stationen
Ziel: alle Stationen
Name: ALLOW-DNS-LANCOM
Aktion: REJECT
Dienste: DNS
Quelle: alle Stationen
ziel: IP des LANCOMs (oder alle Stationen im lokalen Netz)
Ist vielleicht diese geheime BPJM-Datei korrupt? (frag mich bitte nicht, ob - und wenn ja, woran - man das erkennen kann)
Gruß
Backslash
Re: BPjM-Modul: Module-operating INFO: No - Warum?
Hi Jirka,
laut demjenigen, der das BPJM-Modul eingebaut hat, ist es wohl so, daß sich letztens das Format der geheimen Datei geändert hat und ein jetzt jungfräulich aktivierter BPJM-Filter genau das Verhalten zeigt, weil er die Datei nicht parsen kann. Bereits bestehende FBPM-Filter laufen demnach weiter - aber mit der alten Datei...
Gruß
Backslash
laut demjenigen, der das BPJM-Modul eingebaut hat, ist es wohl so, daß sich letztens das Format der geheimen Datei geändert hat und ein jetzt jungfräulich aktivierter BPJM-Filter genau das Verhalten zeigt, weil er die Datei nicht parsen kann. Bereits bestehende FBPM-Filter laufen demnach weiter - aber mit der alten Datei...
Gruß
Backslash
Re: BPjM-Modul: Module-operating INFO: No - Warum?
Jo, siehe oben bei "Durchgeführte Maßnahmen (ohne Erfolg)" die erste Position...
Meinst Du ein kompletter Geräte-Reset könnte was bringen? Also ein do o/r und anschließend Konfig wieder einspielen? Da das Gerät ja nicht mehr direkt am WAN hängt, sondern hinter dem 1800EF, könnte ich das remote machen und bräuchte nicht die fast 100 km (eine Strecke) dahin fahren.
Ahh. Erleuchtung...
Nachträgliche Ergänzung: Aber eigentlich blöd von LANCOM umgesetzt. Der Admin wird darüber nicht aufgeklärt. Das ist nicht schön. Warum steht da nicht wenigstens "BPjM-DNS-Filter einsetzen" statt nur "BPjM-Filter einsetzen" in LANconfig in der Firewall-Regel?
Eigentlich habe ich das auch schon mal gewusst, damals als der BPjM eingeführt wurde, hatten wir das hier im Forum diskutiert. Aber da ich dass BPjM nie einsetzen wollte, habe ich mir das nicht gemerkt. Aber man kann sich ja nicht wehren gegen diesen Schwachsinn. (Sorry, aber das BPjM ist für mich das Letze. Content-Filter hänge ich aber auch durch, weil mir niemand sagen kann, wie ich beim neuen Filter eine Seite umklassifizieren kann, das ist für mich ein Problem. Ich habe das früher im Wochentakt gemacht, als ich noch die Kolping-Bildungswerke hatte, die dann von Sophos geschluckt wurden.)
Ok. Im DNS-Trace sieht man jede Menge Anfragen an den LANCOM, daran sollte es also nicht scheitern. Und auch die Allow-List ist ja gefüllt (YouTube erlaubt).backslash hat geschrieben: Gestern, 16:02 Es muß also vorher eine DNS-Anfrage erfolgen, die eine Domain auflöst, die in der geheimen BPJM-Datei steckt.
Das ist natürlich schade...backslash hat geschrieben: Gestern, 16:02 warum allerdings in Module-Operating "No" steht, kann ich dir auch nicht sagen
Nein. Trotzdem noch mal kontrolliert, nichts zu sehen.backslash hat geschrieben: Gestern, 16:02da wurde hoffentlich nicht irgendwo "händisch" eine DNS-Destination mit dem Namen "BPJM" angelegt?
Vermutlich. Blöde Implementation. Echt. Dass man nicht mal die Datei sieht. Unter st/file/cont ist auch nichts zu sehen. Und die meisten Dateien darunter kann man ja auch nicht einsehen. Was soll also dieses Versteckspiel. Und die fehlenden Troubleshooting-Möglichkeiten. Es gibt schlicht keine Ausgabe, die mir angibt, wo hier das Problem ist, das ist doch echt zum Heulen. Ich habe jetzt schon 6 Stunden an dem Problem zugebracht, ich war noch nie soweit einen LANCOM aus dem Fenster zu werfen.
Funktionierender Fall (andere Schule/Gemeinde):
Code: Alles auswählen
root@GSM-Router:/
> show filter
Filter 00000001 from Rule BPJM-ALLOW-LIST:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: ALLOW-LIST-BPJM 0-0
142.250.74.214
142.250.184.214
142.250.184.246
142.250.185.86
142.250.185.118
142.250.185.150
142.250.185.182
142.250.185.214
142.250.185.246
142.250.186.118
142.250.186.150
142.250.186.182
142.251.36.182
142.251.36.246
142.251.37.22
142.251.141.22
172.217.18.22
172.217.23.118
216.58.206.54
216.58.206.86
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000002 from Rule BPJM:
Protocol: 0
Src: 192.168.2.0/24 0-0 (LAN ifc PAEDAGOGIK)
Dst: BPJM 0-0
3.253.168.183
3.254.236.58
40.114.178.124
142.251.36.238
157.240.223.174
157.240.253.174
185.60.217.20
185.60.217.40
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
Filter 00000003 from Rule WINS:
Protocol: 17
Src: 0.0.0.0/0 137-139
Dst: 0.0.0.0/0 0-0
use routing tag 0
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
Filter 00000004 from Rule WINS:
Protocol: 6
Src: 0.0.0.0/0 137-139
Dst: 0.0.0.0/0 0-0
use routing tag 0
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
registered applications
application: SIP-ALG handle: 1
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Code: Alles auswählen
[Test]root@Paedagogik-BPjM-Router:/
> show filter
Filter 00000001 from Rule BPJM-ALLOW-LIST:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: ALLOW-LIST-BPJM 0-0
74.125.29.119
142.250.178.214
172.217.208.119
192.178.170.119
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000002 from Rule BPJM:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: BPJM 0-0
<no address available>
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
Filter 00000003 from Rule WINS:
Protocol: 17
Src: 0.0.0.0/0 137-139
Dst: 0.0.0.0/0 0-0
use routing tag 0
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
Filter 00000004 from Rule WINS:
Protocol: 6
Src: 0.0.0.0/0 137-139
Dst: 0.0.0.0/0 0-0
use routing tag 0
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
registered applications
application: SIP-ALG handle: 1
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
acceptRe: BPjM-Modul: Module-operating INFO: No - Warum?
Oh DANKE fürs Nachfragen!!!backslash hat geschrieben: Heute, 12:46 laut demjenigen, der das BPJM-Modul eingebaut hat, ist es wohl so, daß sich letztens das Format der geheimen Datei geändert hat und ein jetzt jungfräulich aktivierter BPJM-Filter genau das Verhalten zeigt, weil er die Datei nicht parsen kann. Bereits bestehende FBPM-Filter laufen demnach weiter - aber mit der alten Datei...
Und was heißt das jetzt?
Ich hatte ja die Firewall-Regel, wie geschrieben, erst vor kurzem aktiviert.
Re: BPjM-Modul: Module-operating INFO: No - Warum?
Moin backslash,
Ciao, Georg
Das sollte aber wenigstens einen Syslog-Eintrag mit einer Fehlermeldung wert sein. Wenn der BPjM-Filter wegen kaputter oder veralteter Datei nicht funktioniert, oder wenn sogar auf eine definitiv veraltete Dateiversion zurückgegriffen wird, muß das deutlich sichtbar sein.backslash hat geschrieben: Heute, 12:46 laut demjenigen, der das BPJM-Modul eingebaut hat, ist es wohl so, daß sich letztens das Format der geheimen Datei geändert hat und ein jetzt jungfräulich aktivierter BPJM-Filter genau das Verhalten zeigt, weil er die Datei nicht parsen kann. Bereits bestehende FBPM-Filter laufen demnach weiter - aber mit der alten Datei...
Ciao, Georg
Re: BPjM-Modul: Module-operating INFO: No - Warum?
Code: Alles auswählen
[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ BPjM
Idx. Time Source Level Message
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ DNS
Idx. Time Source Level Message
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ Filter
Idx. Time Source Level Message
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ File
Idx. Time Source Level Message
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
534 2025-12-07 23:44:03 KERN Notice SSH: ED448 key read from file system
535 2025-12-07 23:44:03 KERN Notice SSH: ED25519 key read from file system
536 2025-12-07 23:44:03 KERN Notice SSH: ECDSA key read from file system
537 2025-12-07 23:44:03 KERN Notice SSH: RSA key read from file system
552 2025-12-07 23:43:58 AUTH Notice EAP/TLS: loaded device key from file system
553 2025-12-07 23:43:58 AUTH Notice EAP/TLS: loaded device certificate from file system
554 2025-12-07 23:43:58 KERN Notice SSL/TLS: RSA private key read from file system
1992 2025-12-02 10:51:39 KERN Notice SSH: ED448 key read from file system
1993 2025-12-02 10:51:39 KERN Notice SSH: ED25519 key read from file system
1994 2025-12-02 10:51:39 KERN Notice SSH: ECDSA key read from file system
1995 2025-12-02 10:51:39 KERN Notice SSH: RSA key read from file system
15161 2025-10-08 09:01:01 AUTH Notice EAP/TLS: loaded device key from file system
15162 2025-10-08 09:01:01 AUTH Notice EAP/TLS: loaded device certificate from file system
15164 2025-10-08 09:01:01 KERN Notice SSL/TLS: RSA private key read from file system
[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ Content
Idx. Time Source Level Message
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
[Test]root@Paedagogik-BPjM-Router:/
> ls st/tcp/sys/last @ Fire
Idx. Time Source Level Message
===========--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------