Konfigurationsänderung nachvollziehen?

[Bernie137]

Moin,

ich habe hier einen Router 1781EF+ an denen scheinbar auf mysteriöserweise nachweislich eingetragene Konfigurationsänderungen wieder verschwinden.

Kann ich in irgend einer Tabelle prüfen, wann das letzte Mal am Gerät Konfigurationsänderungen durchgeführt worden sind? Das Syslog ist hier gar nicht hilfreich:
Bsp: Es wurde ganz sicher am 26.04.2016 eine Änderung mit LANconfig am Router gemacht, dazu findet sich auf dem PC auch eine Quickrollback Datei. Im Syslog ist alles mögliche vermerkt, aber kein Eintrag mit "Upload", weil er nicht so weit zurückreicht. Er hat sich ja zwischenzeitlich an der Verbindung mithilfe des Zertifikats von VPN-Containers2 gestoßen.

Seltsamerweise meint das Gerät seit letzen Mittwoch das Zertifikat vom VPN-Container2 nicht mehr lesen zu können. "Reading Flash Error" sinngemäß. Habe das Zertifikat wieder neu eingespielt, VPN-Tunnel steht. Was ist das bitte schön?

Auch mit 9.10RU5 hatte ich den Verlust des VPN-Zertifikates1. Keinerlei Scripting ist im Einsatz und ich habe ganz sicher nicht auf Quickrollback gedrückt, um eine alte Konfiguration zu laden...

Gruß Bernie

[alf29]

Moin,

Zertifikate liegen separat im Dateisystem und sind nicht Teil der Konfig, die man mit LANconfig bearbeitet. im LCOS gibt es einige Teile, z.B. den SCEP-Client, die automatisiert Zertifikate anfordern und dort speichern. Ist bei Dir irgendetwas in der Form aktiv?

Gruß Alfred

[Bernie137]

Die Zertifikate erstelle ich mit XCA. SCEP ist nicht im Einsatz.

Also Problem 1: Zertifikat war unbrauchbar und das hatte ich ca. im Februar schon einmal am gleichen Gerät, allerdings VPN-Container1.

Problem 2: Da habe ich mich vermutlich missverständlich ausgedrückt:

Tabelle Setup/IP-Router/Load-Balancer/Buendel-Gegenstellen hatte ich schon 2x mal eine Gegenstelle entfernt und sie ist wie von Geisterhand nun zum 3. Male wieder drin. Daher meine Frage nach der Konfigurationsänderung. Aktions- und Crontabelle enthalten keinerlei Einträge, die den Load-Balancer bearbeiten würden.

Gruß Bernie

[Dr.Einstein]

Hallo Bernie137,

kanns sein, dass nur eine Gegenstelle im Loadbalancer verblieben ist? (was ja ein Konfigfehler wäre...)

[Bernie137]

Hallo Dr.Einstein,

nein. Es wurde von drei Gegenstellen auf zwei reduziert.

Gruß Bernie

[Bernie137]

Moin,

so gerstern habe ich die LB-Gegenstelle entfernt - heute Morgen nach einem Reboot des Routers sind wieder drei Gegenstellen drin.
Router hat die 9.10.0530, verwendetes LANconfig 9.18.0035RU3.

Gruß Bernie

[stefanbunzel]

Hört sich an, als ob deine Konfig-Änderungen nicht in den Flash geschrieben wurden (vgl. CLI: flash yes/no).
Wenn du aber mit LANconfig die Änderungen durchgeführt hast, sollte es ja eigentlich passen. Oder hast du vorher auf der Konsole mit diesem Befehl und / oder mit Skripten, die diesen Befehl nutzen, hantiert?
Ich habe noch nie getestet, ob LANconfig selbst immer den Flash-Befehl vor dem Schreiben einer Konfig richtig setzt?

Viele Grüße,
Stefan

[Dr.Einstein]

Vielleicht alle Flashversuche (10000?, 100000?) verbraucht durch eine frühere falsche Aktion, die jede Sekunde Schreibbefehle abgesetzt hat?

Gruß Dr.Einstein

[Bernie137]

Also mit flash yes/no und Skripten habe ich nicht hantiert und ich kann mir auch nicht vorstellen, dass die Flash Schreibzyklen aufgebraucht sein sollen.

Ich hab jetzt mal per WEBconfig die Tabelle modifiziert.

Gruß Bernie

[Jirka]

Hi Bernie,

langsam finde ich Gefallen an diesem Rätselraten und würde gerne die Ursache wissen.
Tritt das Problem denn nachweislich nach einem Neustart auf?
Gibt es Auffälligkeiten in der Tabelle /Status/Config/Event-Log?
Wollen wir nicht mal eine TeamViewer-Sitzung machen? Nachstellbar sollte das dafür aber schon sein... Vielleicht ist das Problem durch Deinen Eingriff mit WEBconfig ja auch verschwunden... Trotzdem komisch.

Viele Grüße,
Jirka

[Dr.Einstein]

Hmm, wenn ich so Jirka's Antwort lese, fällt mir noch ein alter Fall ein:

Wir hatten mal einen Kunden mit einem Tobit System. Dieses System hatte lange vor unserer Zeit ein Skript hinterlegt, dass immer mal wieder Sachen im Lancom verändert hat (war richtig auswählbar über die Menüführung der Software). Das hatte auch so tolle Sachen wie Statustabellen inkl Geräteuptime, WAN IPs etc. abgefragt. Schlussendlich habe ich das auch nur durch die Event-Log rausbekommen, wobei die IP des Servers auch gleichzeitig die LanConfig IP war. Also näher geschaut mittels HTTP-Server Trace und siehe da ...

Gruß Dr.Einstein

[Bernie137]

Moin,

Jirka, danke für Dein Angebot.
@Einstein: Nein, es skriptet wirklich nichts und dennoch glaube ich der Flashspeicher hat vielleicht doch eine Macke? Ich mache sinngemäß
6. Vermeidung einer Mail durch die Zwangstrennung der zugrundeliegenden DSL-Anbindung. Sind nach 5 Jahren schon mal mindestens 3700 Schreibvorgänge.
Gestern war ich unterwegs und hatte nur mal zwischenrein geschaut, der LB war noch so, wie ich ihn vorgestern per WEBconfig eingerichtet hatte. In der Tabelle /Status/Config/Event-Log habe ich keine Auffälligkeiten bemerkt und ich wollte heute Morgen abwarten, ob Zufall oder nicht. Denn selbst mit LANconfig bin ich der Meinung, war die Konfig eine Weile drin und nciht nach jedem Neustart weg.

Heute morgen dann begrüßt mich das Gerät mit einer orange blinkenden Power LED und es ist nicht das Netzteil. Per Outband erzählt es mir NO VALID FIRMWARE! Bootloader ist 4.12.0001, Firmware war 9.10.0530. Nun hab ich den Reserve-1781EF aus dem Schrank geholt, damit die Zentrale wieder läuft.

Ich überlege nun, einen Supportfall zu eröffnen. Oder sollte ich das Gerät einfach wiederbeleben per Outband? Was würdet ihr an meiner Stelle tun?

Gruß Bernie

[stefanbunzel]

Hallo Bernie,

du wirst das Gerät sicher wiederbeleben können - aber damit ist ja die Fehlerursache vermutlich nicht beseitigt, so dass der gleiche Fehler inkl. Geräteausfall wieder auftreten wird. Daher würde ich dir empfehlen, das Gerät zur Reparatur bzw. ggf. Austausch zum Support einzusenden.

Ich nutze auch seit Jahren derartige Konstrukte zur Vermeidung von unnötigen E-Mail-Nachrichten. Bisher führte das noch nie zu Geräte- bzw. Flash-Ausfällen.

Viele Grüße,
Stefan

[Bernie137]

Hallo Stefan,

danke für die Einschätzung. Ich habe nun einen Supportfall eröffnet. Das Gerät ist knapp 3 Jahre alt und unterliegt doch noch der Garantie. Die Vermeidung von E-Mail Nachrichten hatte ich auch gar nicht von Anfang an in Benutzung. Selbst wenn, bei großzügig 2 Schreibvorgängen am Tag in 3 Jahren sind das höchstens 2200 Vorgänge, eher weniger.

Unfreiwillig teste ich nun exakt die gleiche Konfiguration mit einem 1781EF, bei dem ich heute Morgen per LANconfig den LB auf 2 Gegenstellen gesetzt habe (Backup war noch mit 3 Gegenstellen). Bin gespannt...

Gruß Bernie

[Bernie137]

Hallo,

zur Info: Bislang haben die zwei LB-Gegenstellen im Ersatzgerät bestand.

Gruß Bernie