Probleme Aufbau ausgehender Verbindungen nach gewisser Zeit

[Harold]

Hallo,

wir haben einen LANCOM 9100+ wo über 300 VPN Tunnel konfiguriert und aktiv sind. Nach einer Betriebszeit von 40 bis 80 Tagen können keine VPN Tunnel mehr nach aussen aufgebaut werden. Im LanMonitor sieht man "Protokollverhandelung" in Wirklichkeit geht jedoch kein IKE Paket über die Leitung. Dies habe ich mit einem Sniffer (mehrfach) nachgewiesen.
In anderer Richtung funktioniert der Verbindungsaufbau der Tunnel ohne Probleme.
Nach einen Reboot des Gerätes ist erstmal alles für 1 bis 2 Monate wieder gut.

Firmwareversion ist 8.84.0262 (RU7). Das Problem ist jedoch auch schon mit vorherigen Firmwaren der 8.84 Reihe aufgetreten.

Wer weiß hier Rat oder Abhilfe? Wie kann ich das Thema evtl. tiefer Troubleshooten oder gibt es vielleicht sogar einen bekannten Bug dazu?

Für Rückfragen stehe ich gerne zur Verfügung.


Gruss

Harold

[garfield0815]

bau dir einen cron jop der deinen router 1x im monat neu startet

[Harold]

@garfield0815

Das ist aber für ein professionelles Umfeld keine Lösung.

[garfield0815]

naja ich kenne jemanden der hat einen 1821n bei den der speicher voll lauft
ist ein bekanter käfer bei lancom

nur die haben da kein interesse den bug zu beheben
profesionalität währe den käfer raus zu schmeisen


also blieb nur die lösung mit dem regelmäsigen reboot
auch wen es keine profesionele lösung ist

die profesionelle lösung die er in zukun ft einsetzen wird ist eine utm auf "pc freeware" basis einzusetzen
da sein vertrauen in lezter zeit genauso wie meins in lancom gewaltig geschrumpft ist
auch in sachen preis leistung

da haben andere gewaltig nachgezogen

und bevor wir dan wieder hardware in der preisklasse 500€+ in die tonne werfen

n alter pention dual core oder intel atom hat mehr leistung als so mancher lancom router

[Dr.Einstein]

Ich selbst hab den Bug auch schon bei diversen großen Lancoms gesehen, im Schnitt nach 6-12 Monaten Laufzeit, verteilt über diverse Firmwarestände. Man kann halt nix machen, im Trace sieht wie du selbst sagst alles super aus. Bei der Gegenseite kommt es nicht an, bzw wenn die Gegenseite IKE Pakete zum betroffenen Gerät schickt, wird dieses nicht verarbeitet. Fehlerlösung muss schnell gehen, als fix das Gateway neustarten. Auf den Support kann man da leider keine 3..4 Tage warten.

Gruß Dr.Einstein

[Koppelfeld]

ist eine utm auf "pc freeware" basis einzusetzen da sein vertrauen in lezter zeit genauso wie meins in lancom gewaltig geschrumpft ist auch in sachen preis leistung

Also, mit genau so etwas muß ich mich zur Stunde herumquälen. Übrigens richtig teuer, es sind "Abonnements" erforderlich (und zwar für jedes Featurechen extra).
Ich habe davor ausdrücklich gewarnt, allein schon wegen des rot lackierten Gehäuses. Das reicht mir als Beleg, "von Spinnern für Spinner". Dann heißt es auch noch "Watchguard".

Momentan frißt mir das Ding DHCP-Unicasts und Videotelephonie über einen damit aufgebauten IPsec-Tunnel sind unter aller Sau. Aber was viel schlimmer ist:
Die Liste mit den "Features" ist unanständig lang, aber keines ist wirklich verwendbar. Wenn ich z.B. die Möglichkeit bekomme, Linkaggregation zu verwenden, dann will ich da in der Regel auch VLANs drüber laufenlassen. Geht nicht. Eine DMZ mit öffentlichen IP-Adressen geht laut Feature-Liste, aber ich müßte das Netz intern aufteilen. Bei einem /29 ist das, äh, nicht gerade effizient.

Wenn ich jetzt die Kosten sehe, die der unfreiwillige, buchstäbliche Zeitvertreib mit diesem Produkt verursacht hat, dann nähern wir uns der Juniper-Klasse.

Der Tip mit dem gebrauchten Intel Penndumm (oder wie die Dinger heißen, taugen eh' alle nix) kann übel nach hinten losgehen. Auch wenn das LANCOM-Horrorrelease 9.04 ein lokales Maximum der Ärgerlichkeiten markiert.

[garfield0815]

Ja die Dinger gibt es als kostenpflichtige dan auch mit support und Wartung

Aber es gibt auch freeware und die ist auch wirklich freeware

Allerdings auch nur bedingt mit support

Und die indem dual core haben mich nichts gekostet
Außer die 20€ für die 14 gigabit LAN Schnittstellen

Lagen noch auf Halde

Und wenn du Geld ausgeben willst wurde ich dir die sophos empfehlen
Für privat ist die auch kostenlos (max 50 user)

[5624]

@garfield0815:
Keine Software ist fehlerfrei und je mehr Funktionen eine Software hat, um so mehr Fehler sind drin. Ganz einfache Tatsache.

Wenn deine Freeware-Lösung so super gut ist, was machst du dann noch hier? Wechsel doch in deren Forum. Deine Beiträge sind streckenweise extrem schwer zu lesen und in den meisten Beiträgen der letzten Zeit schiebst du alles auf irgendwelche Bugs und schwärmst von deinen Fremdanbieterlösungen. Wenn hier eine Frage gestellt wird, geht es um Geräte von LANCOM und nicht was deiner Meinung nach als Alternative genutzt werden sollte.

Warum kann es sich der Anbieter finanziell erlauben, die Software kostenfrei anzubieten? Gibt es da irgendwelche Einschränkungen oder wie läuft es mit der Pflege ab? Oder kommen da doch irgendwann irgendwelche Kosten auf mich zu? Desweiteren kostet die Software nichts, ja, aber was ist mit der Hardware? Welche Hardware brauche ich und was kostet die? Wie zuverlässig ist die Hardware und welchen Umsatz macht die dann? Dazu kommt dann noch der erhöhte Stromverbrauch. Ein LANCOM 1781EF+ braucht im Normalbetrieb etwa 7W, ein PC mit irgendeiner UTM-Lösung wird ein vielfaches verbrauchen.
Klar, manchmal hat man Hardware übrig, aber auch die hat mal was gekostet und was kommen für Kosten auf dich zu, wenn die Hardware stirbt?

Und was Sophos angeht: Ich hatte, bevor ich zu LANCOM gewechselt bin, einen Astaro im Keller stehen. Das Ding war eingeschränkt wie sonstwas und lief nicht stabil. Dabei brauchte ich nur eine Sache, Multi-WAN mit Load Balancing.

Beruflich setz ich Fortinet als UTM ein. Ständig Hardwareprobleme, mit jedem größeren Update verschwinden bestehende Funktionen, um andere Funktionen mit Abo-Modell zu forcieren. Diese findet man zwar auf der CLI wieder, aber wenn ich ein ordentliches Web-Interface habe, will ich nicht für jeden VPN-Benutzer auf ein beschissen zu bedienendes CLI-Interface wechseln, nur damit ich für OTP eine Handynummer setzen kann. Der VPN-Client wird nicht mehr gepflegt und funktioniert seit Win8.1 nicht mehr richtig als non-Admin. Lizenzpolitik ist auch fürn Arsch. Ich musste vor kurzem eine inaktive Fortigate wieder reaktivieren, also die Lizenzen verlängert. 1 Jahr bestellt, ein halbes Jahr bekommen, Lizenzpolitik Typ "ist halt so".

Ganz ehrlich, da ist LANCOM besser. Mit Ausnahme der Zukaufoption Content-Filter gibt es alle Optionen als an oder aus. Bei Updates verschwindet nichts einfach so im Hintergrund und die Hardware hält. Und wenn etwas entfernt wird, dann steht es in den Release Notes.

---------------------------------------------------------------------

Das VPN-Problem hatte ich auch, zwei 7100 im VRRP-Verbund. Über die VRRP-Verbindung war keine eingehende VPN-Verbindung mehr möglich. Lag nur vor, wenn ein bestimmtes Gateway VRRP-Master war. Hab dann ein Loader Update bekommen und seit dem läuft es. Die Loader Updates gibts aber nur direkt beim Support.

[win]

Wenn nur fehlerfreie Software professionell wäre, dann würden wir heute im Profibereich mit absolut nichts dastehen. Was hab ich mich im Leben schon mit tausenden Fehlern im Windows-, Linux- und Embedded-Umfeld rumgequält.

Es ist doch auch im professionellen Bereich völlig normal, an allen Ecken Workarounds für Fehler zu basteln. Was spricht denn gegen ein Reboot so einmal im Monat?

[garfield0815]

@garfield0815:
Keine Software ist fehlerfrei und je mehr Funktionen eine Software hat, um so mehr Fehler sind drin. Ganz einfache Tatsache.

Wenn deine Freeware-Lösung so super gut ist, was machst du dann noch hier? Wechsel doch in deren Forum. Deine Beiträge sind streckenweise extrem schwer zu lesen und in den meisten Beiträgen der letzten Zeit schiebst du alles auf irgendwelche Bugs und schwärmst von deinen Fremdanbieterlösungen. Wenn hier eine Frage gestellt wird, geht es um Geräte von LANCOM und nicht was deiner Meinung nach als Alternative genutzt werden sollte.

Warum kann es sich der Anbieter finanziell erlauben, die Software kostenfrei anzubieten? Gibt es da irgendwelche Einschränkungen oder wie läuft es mit der Pflege ab? Oder kommen da doch irgendwann irgendwelche Kosten auf mich zu? Desweiteren kostet die Software nichts, ja, aber was ist mit der Hardware? Welche Hardware brauche ich und was kostet die? Wie zuverlässig ist die Hardware und welchen Umsatz macht die dann? Dazu kommt dann noch der erhöhte Stromverbrauch. Ein LANCOM 1781EF+ braucht im Normalbetrieb etwa 7W, ein PC mit irgendeiner UTM-Lösung wird ein vielfaches verbrauchen.
Klar, manchmal hat man Hardware übrig, aber auch die hat mal was gekostet und was kommen für Kosten auf dich zu, wenn die Hardware stirbt?

Und was Sophos angeht: Ich hatte, bevor ich zu LANCOM gewechselt bin, einen Astaro im Keller stehen. Das Ding war eingeschränkt wie sonstwas und lief nicht stabil. Dabei brauchte ich nur eine Sache, Multi-WAN mit Load Balancing.

Beruflich setz ich Fortinet als UTM ein. Ständig Hardwareprobleme, mit jedem größeren Update verschwinden bestehende Funktionen, um andere Funktionen mit Abo-Modell zu forcieren. Diese findet man zwar auf der CLI wieder, aber wenn ich ein ordentliches Web-Interface habe, will ich nicht für jeden VPN-Benutzer auf ein beschissen zu bedienendes CLI-Interface wechseln, nur damit ich für OTP eine Handynummer setzen kann. Der VPN-Client wird nicht mehr gepflegt und funktioniert seit Win8.1 nicht mehr richtig als non-Admin. Lizenzpolitik ist auch fürn Arsch. Ich musste vor kurzem eine inaktive Fortigate wieder reaktivieren, also die Lizenzen verlängert. 1 Jahr bestellt, ein halbes Jahr bekommen, Lizenzpolitik Typ "ist halt so".

Ganz ehrlich, da ist LANCOM besser. Mit Ausnahme der Zukaufoption Content-Filter gibt es alle Optionen als an oder aus. Bei Updates verschwindet nichts einfach so im Hintergrund und die Hardware hält. Und wenn etwas entfernt wird, dann steht es in den Release Notes.

---------------------------------------------------------------------

Das VPN-Problem hatte ich auch, zwei 7100 im VRRP-Verbund. Über die VRRP-Verbindung war keine eingehende VPN-Verbindung mehr möglich. Lag nur vor, wenn ein bestimmtes Gateway VRRP-Master war. Hab dann ein Loader Update bekommen und seit dem läuft es. Die Loader Updates gibts aber nur direkt beim Support.

na bei lancom sind aber auch schon so einige zukauf optionen ins nirvana verschwunden

naja wie die sich es leisen können is nicht mein proplen

aber sophos ist für priat kostenloos
endian bietet die firewall kostenloos an und ist nahu identisch mit der utm
freeswan ist n open sorce projekt

und was die hartware angeht da nehme ich nen "alten server"

[5624]

aber sophos ist für priat kostenloos
endian bietet die firewall kostenloos an und ist nahu identisch mit der utm
freeswan ist n open sorce projekt

Wir reden hier von einem 9100+ mit 300 aktiven Verbindungen. Die Wahrscheinlichkeit, dass das privat ist, ist schon so gering, dass wir fast unter 0 sind.
Klar kann man FreeSwan auch geschäftlich nutzen, nur was passiert bei irgendeinem Fehler, der abhängig von Zeitfunktionen ist (z.B. der Unix Timestamp Überlauf). Ein Unternehmen, was so viele Tunnel aktiv hat, braucht zuverlässige Hardware mit fixem Support dahinter. Alternativ müsste es fünf Entwickler einstellen, die sowas pflegen und den ganzen Tag an der Pflege arbeiten.

Open Source ist schön und gut, nutz ich an einigen Stellen auch, aber nur in unkritischen Bereichen, mit doppeltem Boden und wenn möglich mit kommerziellem Support dahinter.

Das ein zwangsweiser Neustart nicht akzeptabel ist, ok, aber teilweise ist es wirklich nötig bzw. passiert einfach. Und da mir Sicherheit der Perimetersysteme lieber ist, gibt es regelmäßig Updates und damit Neustarts.

[garfield0815]

aber sophos ist für priat kostenloos
endian bietet die firewall kostenloos an und ist nahu identisch mit der utm
freeswan ist n open sorce projekt

Wir reden hier von einem 9100+ mit 300 aktiven Verbindungen. Die Wahrscheinlichkeit, dass das privat ist, ist schon so gering, dass wir fast unter 0 sind.
Klar kann man FreeSwan auch geschäftlich nutzen, nur was passiert bei irgendeinem Fehler, der abhängig von Zeitfunktionen ist (z.B. der Unix Timestamp Überlauf). Ein Unternehmen, was so viele Tunnel aktiv hat, braucht zuverlässige Hardware mit fixem Support dahinter. Alternativ müsste es fünf Entwickler einstellen, die sowas pflegen und den ganzen Tag an der Pflege arbeiten.

Open Source ist schön und gut, nutz ich an einigen Stellen auch, aber nur in unkritischen Bereichen, mit doppeltem Boden und wenn möglich mit kommerziellem Support dahinter.

Das ein zwangsweiser Neustart nicht akzeptabel ist, ok, aber teilweise ist es wirklich nötig bzw. passiert einfach. Und da mir Sicherheit der Perimetersysteme lieber ist, gibt es regelmäßig Updates und damit Neustarts.

also ich möchte irgend einen hersteller sehen der wirklich bei fehlern virenbefall oder der gleichen dafür gerade steht und nicht versucht das ganze auf den lieferanten .... abwalst von wegen falscher config und der gleichen

und wenn ich nur noch support bzw schellen support bekomme wenn ich dafür bezahle naja

füher war alles besser sogar die zukunft

[garfield0815]

das wichtigste ist für mich scneller und vernünftiger support

wen ich den in einem forum schneller bekomme als von dem hersteller direkt
dan sehe ich es nicht ein ein gerat zu kaufen

sonder setze auf ein opensorce produkt dei solchen ist zumeist die dazugehörige comyunity nicht zu unterschetzen

[5624]

http://www.lancom.de/produkte/service-s ... eberblick/

Community schön und gut. Und was passiert, wenn das Problem ein definitiver Programmierfehler ist? Setzt du dich dann daran, ziehst dir einen Snapshot, änderst es und kompilierst es dann? Und wenn in der Community noch niemand dieses Problem hatte? Wo bekomme ich die Supportzeiten in der Community garantiert?

Es kann Vorteile haben, es kann aber auch massive Nachteile haben. Und bei Open Source-Anwendungen kostet der kommerzielle im Regelfall um einiges mehr.

Ganz ehrlich: Ich hab früher auch sehr gerne Open Source-Anwendungen eingesetzt, aber wenn man dann teilweise Monate auf Fehlerbehebungen warten muss, weil einfach keine Pflege mehr da ist, man vom einen Produkt zum gleichen wechseln muss, mit anderem Namen, um dann zwei Jahre später wieder ne komplette Migration zu machen, damit es Sicherheitsupdates gibt, dann ist es absolut nichts. Durch Open Source gibt es mittlerweile so viele identische Produkte, wobei jedes irgendein Feature hat, was interessant ist, statt einfach zusammen zu arbeiten, dann ist es für die Tonne.

Schau dir mal den Werdegang von SmoothWall an. SmoothWall => IPCop => Endian => IPFire. Macht effektiv das gleiche, aber keine großartigen Fortschritte.

[garfield0815]

http://www.lancom.de/produkte/service-s ... eberblick/

Community schön und gut. Und was passiert, wenn das Problem ein definitiver Programmierfehler ist? Setzt du dich dann daran, ziehst dir einen Snapshot, änderst es und kompilierst es dann? Und wenn in der Community noch niemand dieses Problem hatte? Wo bekomme ich die Supportzeiten in der Community garantiert?

Es kann Vorteile haben, es kann aber auch massive Nachteile haben. Und bei Open Source-Anwendungen kostet der kommerzielle im Regelfall um einiges mehr.

Ganz ehrlich: Ich hab früher auch sehr gerne Open Source-Anwendungen eingesetzt, aber wenn man dann teilweise Monate auf Fehlerbehebungen warten muss, weil einfach keine Pflege mehr da ist, man vom einen Produkt zum gleichen wechseln muss, mit anderem Namen, um dann zwei Jahre später wieder ne komplette Migration zu machen, damit es Sicherheitsupdates gibt, dann ist es absolut nichts. Durch Open Source gibt es mittlerweile so viele identische Produkte, wobei jedes irgendein Feature hat, was interessant ist, statt einfach zusammen zu arbeiten, dann ist es für die Tonne.

Schau dir mal den Werdegang von SmoothWall an. SmoothWall => IPCop => Endian => IPFire. Macht effektiv das gleiche, aber keine großartigen Fortschritte.

aber produckte einfach aus dem support zu nehme auch wen bugs bekant sind

da kann ich gleich auf billig dinger zurück greifen da weis ich das wenns nicht mehr funst kommt es in die tonne