UF LCOS FX Version

[UKernchen]

LCOS FX 10.12 RU1 ist raus!

Laut Releasenotes neben vielen Bugfixes mit:
* Wireguard VPN
* Hardware-Monitoring (CPU, RAM, Festplatte) mit Zuordnung des Ressourcenverbrauches zu Features und Prozessen

2023-07-05_175527.png

* DNS-basierte Firewall-Regeln (Regeln mit Host-Namen statt IP-Adressen)
* automat. E-Mail-Versand von Security Reportings

Gibt es schon Erfahrungen?

[tstimper]

LCOS FX 10.12 RU1 ist raus!

Laut Releasenotes neben vielen Bugfixes mit:
* Wireguard VPN
* Hardware-Monitoring (CPU, RAM, Festplatte) mit Zuordnung des Ressourcenverbrauches zu Features und Prozessen
2023-07-05_175527.png
* DNS-basierte Firewall-Regeln (Regeln mit Host-Namen statt IP-Adressen)
* automat. E-Mail-Versand von Security Reportings

Gibt es schon Erfahrungen?

Hallo Uwe,

Hab meine UF-300 soeben upgedated.

Kann keine Fehler feststellen.

Viele Grüße

Thomas

[XJ8]

Hallo,

habe gestern abend noch mal zwei UF-260 mit dem Update versorgt.
Hat soweit problemlos geklappt.

Heute früh kamen dann jedoch nicht wie üblich die Mail der Geräte.
Ein Blick in die Config förderte dann den Grund zu Tage, alle Benachrichtigungen waren deaktiviert.
Da es bei beiden Geräten so war gehe ich davon aus, dass es eine Folge des Updates war.
In den Release Notes habe ich dazu nichts gefunden ...

Wo steckt da die Logik - wenn es denn eine gibt.

Beste Grüße und einen hohen Wirkungsgrad

[tstimper]

Das neue Hardware Moinitoring ist cool.
Endlich sieht an, womit die UF sich am meisten beschäftigt

Viele Grüße

ts

[UKernchen]

Hat schon jemand Wireguard zum Laufen bekommen?
Prinzipiell sind die Einstellungen logisch, aber in den Firewall VPN-Objekten gibt es nur IPSec und SSL.

Ich bin für jeden Hinweis dankbar!

2023-07-12_195043.png

Gruß Uwe

[tstimper]

Hat schon jemand Wireguard zum Laufen bekommen?
Prinzipiell sind die Einstellungen logisch, aber in den Firewall VPN-Objekten gibt es nur IPSec und SSL.

Ich bin für jeden Hinweis dankbar!

2023-07-12_195043.png

Gruß Uwe

Hi Uwe,

Ich wollte Dich heute schon fragen, hätte ich es nur getan…

Ich habe mich heute beim Wireguard konfigurieren
aus meiner Dstacenter UF ausgesperrt
und darf morgen mit dem seriellen Konsolen Kabel
anrücken.

Ich hatte die Allowed Networks nicht verstanden
und dort das LAN Netz eingetragen.

Viele Grüße

td

[UKernchen]

beim Wireguard konfigurieren aus meiner Datacenter UF ausgesperrt

Genau das ist mir beim ersten Mal auch passiert!
Ich habe dort mein LAN eingetragen und danach war das nicht mehr erreichbar.
Die Logik ist zumindest unklar.
Aber du mußt jetzt nur an einen anderen Port gehen, die haben ja alle unterschiedliche LANs.
Du wirst sie ja nicht gleich alle eingetragen haben.

Viele Grüße!

[UKernchen]

Die Wireguard-Verbindung steht bei mir jetzt, es fließen erste Daten.
Ich komme vom WG-Client zum WireGuard-Server und bis auf das LAN-Interface der UF-xxx.
Weiter noch nicht.
Das könnte an den "erlaubten IP-Adressen" im WG-Peer liegen, aber diese Logik erschließt sich mir noch nicht.
Wie oben gesagt,- trägt man hier das LAN ein, kommt man nicht mehr auf die Firewall.
Oder es fehlt noch eine Route oder Firewall-Beziehung.

Hier meine vorläufige Anleitung:
https://uwe-kernchen.de/phpmyfaq/index. ... on_id=1435

Vielleicht kommen wir gemeinsam weiter?
Lancom ist ja leider keine Hilfe.

Grüße Uwe

[tstimper]

Die Wireguard-Verbindung steht bei mir jetzt, es fließen erste Daten.
Ich komme vom WG-Client zum WireGuard-Server und bis auf das LAN-Interface der UF-xxx.
Weiter noch nicht.
Das könnte an den "erlaubten IP-Adressen" im WG-Peer liegen, aber diese Logik erschließt sich mir noch nicht.
Wie oben gesagt,- trägt man hier das LAN ein, kommt man nicht mehr auf die Firewall.
Oder es fehlt noch eine Route oder Firewall-Beziehung.

Hier meine vorläufige Anleitung:
https://uwe-kernchen.de/phpmyfaq/index. ... on_id=1435

Vielleicht kommen wir gemeinsam weiter?
Lancom ist ja leider keine Hilfe.

Grüße Uwe

Ja lass uns gemeinsam eine vernünftige benutzbare Anleitung schreiben.

Mit Wireguard sollten dann ja auch die Verbindung zu allen anderen Wireguard fähigen Systemen einfach möglich sein.

Wir denken auch grad über das Massen Rollout von Wireguard Clients nach. Das scheint mir relativ einfach
machbar.

Unser -------Lancom-LCOS-FX connector soll sie UF Einstellungen erzeugen und ebenso die Client Profiles erzeugen. Die könnten dann gleich mittels MDM an Clients zugewiesen werden.

Eine andere Variante wäre eine einfache Get-My-Profile App. Die meldet sich am Verzeichnisdienst an, ruft das Wireguard Profil ab und übergibt es an den Wiregard Client.

Damit wäre das Rollout vom hundert Wireguard Clients
in Minuten möglich… (zumindest für mittels MDM oder Configuration Management verwaltete Clients.

Ich denke da noch weiter. Wireguard wird ja auch für Container genutzt.

So könnte man die Erzeugung der Client Profile
mit der Container Nutzung synchronisieren…

Möglichkeiten über Möglichkeiten.

Jetzt müssen wir erstmal LANCOMs Implementation
verstehen und die fehlenden Infos zusammen sammeln.

Viele Grüße

ts

[UKernchen]

Deine Pläne zum Ausrollen klingen gut, aber erst mal muß es funktionieren.
Dann können wir gerne eine Anleitung machen.

Hast du jemanden bei Lancom, den du fragen könntest?
Auf eine Anleitung von Lancom kann man so schnell wohl nicht hoffen?

Wichtigste Frage wären die "Erlaubten Adressen" im Peer.
Mir scheint, dass es sich hier um einen Bug handelt, der das Erreichen des eigenen LAN unmöglich macht.
Zu gut deutsch: WireGuard funktioniert noch nicht.

Gruß Uwe

[tstimper]

Deine Pläne zum Ausrollen klingen gut, aber erst mal muß es funktionieren.
Dann können wir gerne eine Anleitung machen.

Hast du jemanden bei Lancom, den du fragen könntest?
Auf eine Anleitung von Lancom kann man so schnell wohl nicht hoffen?

Wichtigste Frage wären die "Erlaubten Adressen" im Peer.
Mir scheint, dass es sich hier um einen Bug handelt, der das Erreichen des eigenen LAN unmöglich macht.
Zu gut deutsch: WireGuard funktioniert noch nicht.

Gruß Uwe

Hi Uwe,

Ja ich rede mal mit Presales und ggf. Support

Viele Grüße

ts

[hyperjojo]

hi,

vielleicht hilft das schon mal?
https://support.lancom-systems.com/know ... =141459491

Gruß hyperjojo

[tstimper]

hi,

vielleicht hilft das schon mal?
https://support.lancom-systems.com/know ... =141459491

Gruß hyperjojo

Hi hyperjojo,

genau dieser Anleitung sind weri gefolgt...

Ausgesperrt haben wir uns an dieser Stelle

Erlaubte IP-Adressen: Tragen Sie ein oder mehrere IP-Netzwerke der Gegenseite in CIDR-Schreibweise (Classless Inter Domain Routing) ein, welche über die WireGuard-Verbindung mit den lokalen Netzwerken kommunizieren sollen (in diesem Beispiel 192.168.1.0/24).

Da ja der Remote Teilnehmer das lokale Netz der Firewall erreichen soll,
haben wier da das lokale LAN der Firewall eingratragen.
Und schon haben wir die Firewall aus dem LAN nicht mehr erreicht...
Dese Änderung war entgegen vielen anderen Einstellingen sofott aktiv und musste nicht erst aktiviert werden.
Deshalb half es nicht, die Firewall neu starten zu lasssen...

Bin jetzt grad im Datacenter und baue meir die Serielle verbindung zusammen ...

Da UKernchen dasselbe passiert ist, zweifle ich grad nicht nur an mir.
Vielleicht haben wier beide ja was überlesen ...
Zumindest darf wohl in der Liste der erlaubte Netze das lokale Netz nicht mit drinstehen oder?


Viele Grüße

ts

[tstimper]

Mit Hilfe des excellenten LANCOM Supports haben wir jetzt an der CLI der UF den fehlerhaften EIntrag gefixt.

Vielen Dank dafür

Ich kann die UF wieder erreichen, nach Hause fahren und nachdenken

Viele Grüße

ts

[UKernchen]

vielleicht hilft das schon mal?
https://support.lancom-systems.com/know ... =141459491

Vielen Dank!
Das hilft.