LCOS-Update 10.70 RU2 löscht VPN-Regeln aus der Firewall

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

LCOS-Update 10.70 RU2 löscht VPN-Regeln aus der Firewall

Beitrag von Hagen2000 »

Nach der Installation von LCOS 10.70 RU2 funktionierte ein Teil unserer VPN-Zugänge nicht mehr. Betroffen waren die zertifikatsbasierten IPSec-Zugänge für iOS und macOS.

In den Release Notes LCOS 10.70 RU2 wird erwähnt, dass ab dieser Version VPN-Regeln zur Erzeugung von Netzbeziehungen (SAs) in der IPv4-Firewall nicht mehr unterstützt werden. Statt dessen müssen nun die Netzwerk-Regeln im VPN-Menü benutzt werden.

Wie in diesem Thread erwähnt, gibt es anscheinend einen Config-Konverter, der die vorhandenen Regeln aus der Firewall-Tabelle in die VPN Netzwerk-Regeln überführen soll.

Dies hat jedoch für folgende Regel nicht funktioniert, sie wurde einfach gelöscht. Ich stelle die Regel hier mal als Auszug aus der LCF-Datei ein:

Code: Alles auswählen

(1.2.8.10.2.50.1) = WIZ_VPN-CLIENT_VPN_IPHONE
(1.2.8.10.2.50.2) = ANY
(1.2.8.10.2.50.3) = ANYHOST
(1.2.8.10.2.50.4) = %HVPN_IPHONE
(1.2.8.10.2.50.7) = %Lcds0 %A
(1.2.8.10.2.50.16) = 
(1.2.8.10.2.50.17) = 0
(1.2.8.10.2.50.8) = 0
(1.2.8.10.2.50.9) = 0
(1.2.8.10.2.50.10) = 1
(1.2.8.10.2.50.11) = 1    <== Markiert als VPN-Regel
(1.2.8.10.2.50.12) = 0
(1.2.8.10.2.50.15) = 0
(1.2.8.10.2.50.14) = 0
(1.2.8.10.2.50.13) = 
Wie man sieht, war die Regel als VPN-Regel markiert, sie wurde also zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet.
Wie man außerdem sieht, wurde sie offensichtlich einmal durch den Konfigurations-Wizard (aka Setup-Assistent) erzeugt, da sie mit "WIZ_" beginnt.

Reparatur: Zur Reparatur der betroffenen VPN-Zugänge habe ich in der Verbindungs-Liste jeweils unter IPv4-Regeln die vordefinierte Regel RAS-WITH-CONFIG-PAYLOAD ergänzt (die Regelerzeugung dieser VPN-Zugänge steht auf manuell. Eine versuchsweise Umstellung auf automatisch brachte keine Abhilfe).

Mittlerweile befindet sich die LCOS-Version 10.70 im Produktstatus "abgeschlossen" und wird nicht weiter gepflegt, sie wurde durch die Version 10.72 abgelöst. Daher werden auch die Release Notes zur Version 10.70 im normalen Download-Bereich nicht mehr angeboten. In diesen (Edit: 10.72 Release Notes) fehlt jedoch dieser m. E. wichtige Hinweis auf die Umstellung bzgl. der VPN-Regeln.

Edit 17.10.2023: Seit geraumer Zeit findet sich dieser wichtige Hinweis wieder in den Release Notes.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
Antworten