Hallo,
ich bin total ratlos (und das kommt wirklich selten vor): das Einspielen oder auch konfigurieren von bestimmten Firewall-Regeln führt bei meinem 1811'er
zum kompletten Firmware-Crash, so dass er nicht mal mehr auf den Reset-Taster reagiert, und auch wenn man ihn aus und an schaltet endet er in einer
Endlos-Boot-Schleife, es hilft da leider immer nur der Komplettreset.
Was ich eigentlich vor habe und wie es konkret zu dem Verhalten kommt:
Ich habe seit kurzem einen VDSL-Anschluss zusätzlich zu einem 6MBit und einem 3MBit DSL-Anschluss bekommen.Da mein 1724 aber nur mit max. 2 WAN-Anschlüssen
zu betreiben ist, möchte ich den als WLAN-Accesspoint genutzeten 1811'er mit dem 3MBit-Anschluss verbinden, der 1724'er erhält den VDSL- und den 6MBit-
Anschluss im Loadbalancing, und möchte die beiden Router dann per VRRP mit gegenseitigem Failover konfigurieren. Um das funktional (nicht aus Perfomrmance
Gesichtspunkt) möglichst transparent für den Enduser zu gestalten müssen hierzu ja teilweise die gleichen Konfigurationen in beiden Routern vohanden sein. D.h. also beim WAN hat jeder seine eigen Konfiguration, aber VPN, Maskierung, zum Teil die Routingtabellen und praktisch alle Firewallregeln sollen identisch sein.
Und genau da liegt das Problem:
Ich habe die Bereiche VPN, Maskierung und Routingtabelle per Script aus dem 1724 exportiert und nach den minimal notwendigen Anpassungen in den 1811 import. Soweit ok. Das gleiche wollte ich mit den Firewallregeln machen; Firewall exportiert, die Script-Datei gecheckt und dann in den 1811'er importiert. Danach war er nicht mehr erreichbar und ich musste oben beschriebenen Full Reset machen. Nachdem klar war, dass das Verhalten reproduzierbar war habe ich es mal mit einer Untermenge der knapp 30 Regeln und den entsprechenden Stations- und Dienst-Objekten gemacht. Gleiches Fehlerbildbild, auch da panict das LCOS beim booten schon. Ich habe dann nur noch 5 einfachste Regeln eingespielt und siehe da, da lief er plötzlich weiter. Daraufhin habe ich zig verschiedene Konfigurationen mit unterschiedlichen Regeln immer wieder nach dem Full-Reset eingespielt. Manchmal war der Router dann über das WEb-Interface überhaupt nicht mehr zu erreichen, obwohl er funktional die Routingfunktionalität weiter ausgeführt hat, machmal war das Webinterface überhaupt zerstückelt, aber meistens hat er eben wieder gepanict. Nachdem ich hier kein Vorankommen geschweige denn eine Lösung gesehen habe, habe ich mich entschlossen die Regeln manuell, d.h. durch händisches Eintippen vom 1724 in den 1811 zu übernehmen, da ich den Fehler dann im Scriptimport vermutet habe.
Ich habe also über eine Stunde lang diese Regeln pennibelst übertragen, habe dann die Konfiguration in den 1811'er eingespielt und... PANIC. D.h. ich konnte mit ganz korrekten Firewallregeln, die in einem 1724'er tadellos funktionieren einen 1811'er so zerschießen, dass nur wieder der Full-Reset ihm zum Leben erweckt hat.
Habt ihr eine Erklärung hierfür, bzw. habt ihr schon mal ähnliche Erfahrungen gemacht und könnt mir sagen, welche Regeln bzw. welche Regelparameter das hervorrufen könnten?
Die Anzahl der FW-Regeln kann es nicht sein, da ich genau diesen 1811'er 2008 mit weit über 30 Regeln mit noch größerer Komplexität als "Hauptrouter" eingesetzt habe, bevor der 1724 dann das übernommen hat. Allerdings hatte der 1811'er damals die Firmware 7.54, heute die 8.00RU2; der 1724 hat die 8.62RU7 bzw. 8.80RC2.
Jeder Hinweis zur Lösung des Problems ist herzlich willkommen, denn ohne eine gleiche Funktionalität der beiden Router bringt mir das VRRP ja nicht wirklich was.
Gruß
Dirk
FW-Regeln führen zum Firmware-Crash
Moderator: Lancom-Systems Moderatoren
Moin,
das 1811 hat nur 16 MByte RAM, im Gegensatz zum 1724 mit 32 MByte, und in den 16 MByte muss zusaetzlich noch der WLAN-Stack 'unterkommen'. Nach 10 Abstuerzen in Folge sollte das Geraet auf die Minimalfirmware zurueckfallen, mit der kannst Du dann ein 'show bootlog' machen. Wenn in der dort abgelegten Crash-Meldung am Ende eine Meldung 'largest available memory block xxx bytes' kommt und 'xxx' kleiner als 100 KByte ist, dann war's einfach zuviel fuer dieses Geraet. Du kannst noch versuchen, auf eine aeltere LCOS-Version zurueckzugehen, aeltere LCOS-Versionen sind ueblicherweise kleiner. Generell gibt's aber schon einen Grund, weshalb der Firmware-Support fuer das 1811 eingestellt wurde und es das 1811+ bzw. 1811n als Nachfolger gab...
Gruss Alfred
das 1811 hat nur 16 MByte RAM, im Gegensatz zum 1724 mit 32 MByte, und in den 16 MByte muss zusaetzlich noch der WLAN-Stack 'unterkommen'. Nach 10 Abstuerzen in Folge sollte das Geraet auf die Minimalfirmware zurueckfallen, mit der kannst Du dann ein 'show bootlog' machen. Wenn in der dort abgelegten Crash-Meldung am Ende eine Meldung 'largest available memory block xxx bytes' kommt und 'xxx' kleiner als 100 KByte ist, dann war's einfach zuviel fuer dieses Geraet. Du kannst noch versuchen, auf eine aeltere LCOS-Version zurueckzugehen, aeltere LCOS-Versionen sind ueblicherweise kleiner. Generell gibt's aber schon einen Grund, weshalb der Firmware-Support fuer das 1811 eingestellt wurde und es das 1811+ bzw. 1811n als Nachfolger gab...
Gruss Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
Sicher gibt es gute Gründe den Firmware-Support für den (von Haus aus unterdimensionierten) 1811'er einzustellen, aber es gibt eben auch Gründe ein eigentlich ncoh funktionstüchtiges Gerät weiter zu betreiben
Gruß
Dirk
Hat er eben leider nicht gemacht.alf29 hat geschrieben:Nach 10 Abstuerzen in Folge sollte das Geraet auf die Minimalfirmware zurueckfallen,
Danke! Guter Hinweis!alf29 hat geschrieben:mit der kannst Du dann ein 'show bootlog' machen. Wenn in der dort abgelegten Crash-Meldung am Ende eine Meldung 'largest available memory block xxx bytes' kommt und 'xxx' kleiner als 100 KByte ist, dann war's einfach zuviel fuer dieses Geraet.
Kannst du mir bitte auch noch sagen, ob du dann die letzte 7'er Version empfehlen würdest, oder die 7.6 (die mit noch VoIP-Support)? Ist die 8.0'er erst so groß geworden?alf29 hat geschrieben:Du kannst noch versuchen, auf eine aeltere LCOS-Version zurueckzugehen, aeltere LCOS-Versionen sind ueblicherweise kleiner. Generell gibt's aber schon einen Grund, weshalb der Firmware-Support fuer das 1811 eingestellt wurde und es das 1811+ bzw. 1811n als Nachfolger gab...
Sicher gibt es gute Gründe den Firmware-Support für den (von Haus aus unterdimensionierten) 1811'er einzustellen, aber es gibt eben auch Gründe ein eigentlich ncoh funktionstüchtiges Gerät weiter zu betreiben
Gruß
Dirk
Moin.
Gruß Alfred
Das wirst Du letzten Endes selber ausprobieren müssen, welche Firmware für Dich den besten Kompromiß darstellt. Ältere LCOS-Versionen braucehn generell weniger Speicher und lassen damit mehr Platz für Verbindungsdaten, haben aber vielleicht gerade das eine Feature oder den einen Bugfix nicht, den Du brauchst. In der 8.00 sind in der Tat sehr viele Sachen geändert worden, das deutet schon der Versionssprung an, aber andersherum belegt eine VoIP-Option auch eine ganze Menge Speicher, selbst wenn man das Feature nicht nutzt.Kannst du mir bitte auch noch sagen, ob du dann die letzte 7'er Version empfehlen würdest, oder die 7.6 (die mit noch VoIP-Support)? Ist die 8.0'er erst so groß geworden?
Da rennst Du bei mir offene Türen ein...ich schmeiße auch ungerne Sachen weg, die noch funktionieren.Sicher gibt es gute Gründe den Firmware-Support für den (von Haus aus unterdimensionierten) 1811'er einzustellen, aber es gibt eben auch Gründe ein eigentlich ncoh funktionstüchtiges Gerät weiter zu betreiben Wink
Gruß Alfred
Hallo Alfred,
Der freie Speicher liegt mit der 8.00 bei 1,4MB bevor die FW-Regeln eingespielt habe, danach ja der Crash.
Bei der 7.82 lag der freie Speicher bei 2,8MB bevor ich die FW-Regeln eingespielt habe, danach bei 1,5MB
Auch ohne das explizit nochmal verifiziert zu haben, dürft Deine Vermutung mit der Speicherknappheit genau der richtige Punkt gewesen sein.
Ich glaube mit der 7.82 kann ich leben, die hat wenigstens schon die neue Web-Oberfläche.
Danke nochmal!!!
Gruß
Dirk
ich habe gerade die 7.82 ausprobiert und siehe da es funktioniertalf29 hat geschrieben:Das wirst Du letzten Endes selber ausprobieren müssen, welche Firmware für Dich den besten Kompromiß darstellt. Ältere LCOS-Versionen braucehn generell weniger Speicher und lassen damit mehr Platz für Verbindungsdaten, haben aber vielleicht gerade das eine Feature oder den einen Bugfix nicht, den Du brauchst.
Der freie Speicher liegt mit der 8.00 bei 1,4MB bevor die FW-Regeln eingespielt habe, danach ja der Crash.
Bei der 7.82 lag der freie Speicher bei 2,8MB bevor ich die FW-Regeln eingespielt habe, danach bei 1,5MB
Auch ohne das explizit nochmal verifiziert zu haben, dürft Deine Vermutung mit der Speicherknappheit genau der richtige Punkt gewesen sein.
Ich glaube mit der 7.82 kann ich leben, die hat wenigstens schon die neue Web-Oberfläche.
Danke nochmal!!!
Gruß
Dirk