Lancom LCOS 10.80 * - Drei Fragen - evtl. mehr ...

[sixty]

Bei all den gegenseitigen "Nettigkeiten" muß man aufpassen, daß man nicht blind für das Problem wird.

Fakt ist nun mal

• die betreffende Tabelle gibt es her, eine derartige Anzahl von Einträgen zu machen
• vermutlich gibt es noch andere Tabellen (VPN wurde bereits angesprochen, mir fallen z.B. noch die halboffenen Verbindungen während eines Angriffs ein), die ebenfalls sehr viele Einträge haben können
• auf der CLI kann man mit diesen Einträgen umgehen
• bis zur 10.7x konnte man auch im Webinterface damit umgehen
• 10.80 zeigt ein Verhalten, das ich mal als "Denial of service" bezeichnen würde

Das hat GAR NICHTS damit zu tun, ob eine derartige Anzahl Routing-Einträge technisch sinnvoll ist oder nicht, von meinen Jungs in der Softwareentwicklung erwarte ich auch, daß sie ihre Module mit jeder Art von Input testen, so widersinnig er auch sein mag.
"Zero trust" - für die Leute, die Buzzwords mögen.

So lange es technische Lösungen gibt (im konkreten Fall würde ich vorschlagen, die Tabelle in einzelne Seiten von z.B. 50 Einträgen aufzuspalten, durch die man durchblättern kann) hat die Aussage "Das kommt in der Praxis sowieso nicht vor, das müssen wir nicht testen" keinerlei Berechtigung.

[COMCARGRU]

Der werte backslash erinnert sich vielleicht daran, dass ich ihn vor 15 Jahren oder so schon mit einem resultierenden "live Regelwerk" der Firewall mit fast 80.000 Einträgen konfrontiert habe, weil die ca. 200-250 vorhandenen Firewall Regeln so Feinkörnig waren, dass der Router daraus fast 80.000 resultierende Regeln gemacht hat.

[tstimper]

Ein Update auf die 10.80 für unsere Central Gateways ist aktuell nicht geplant.

hat irgendjemand irgendwie eine 10.80 auf ein 7100+ oder 9100+ bringen können?
Oder zumindest die 10.72?

Eine 10.50 für den 9100+ haben wie ja zumindest als Beta.

(ein verstohlenes Nicken von jemandem reicht mir...)

Viele Grüße

ts

[tstimper]

Bei all den gegenseitigen "Nettigkeiten" muß man aufpassen, daß man nicht blind für das Problem wird.

Da bin ich absolut Deiner Meinung.
Wenn Fehler auftauchen, die es vorher nicht gab, ist das zu analysieren und zu fixen.
Oder zu erklären, warum es nicht gefixt werden kann.

Auf keinem Fall ist der Meldende zu beschimpfen, egal was man persönlich von Ihm hält.

Viele Grüße

ts

[tstimper]

Der werte backslash erinnert sich vielleicht daran, dass ich ihn vor 15 Jahren oder so schon mit einem resultierenden "live Regelwerk" der Firewall mit fast 80.000 Einträgen konfrontiert habe, weil die ca. 200-250 vorhandenen Firewall Regeln so Feinkörnig waren, dass der Router daraus fast 80.000 resultierende Regeln gemacht hat.

Da fällt mir ein, das es von 15 jahren auch noch LANCOM Router gab, die haben insgesamt manchmal weit über 10 Jahre Firmware Updates bekommen.

Viele Grüße

ts

[backslash]

Hi COMCARGRU

Der werte backslash erinnert sich vielleicht daran, dass ich ihn vor 15 Jahren oder so schon mit einem resultierenden "live Regelwerk" der Firewall mit fast 80.000 Einträgen konfrontiert habe, weil die ca. 200-250 vorhandenen Firewall Regeln so Feinkörnig waren, dass der Router daraus fast 80.000 resultierende Regeln gemacht hat.

ja, ich erinnere mich daran - ich hab ja auch extra geschrieben, daß die Funktionalität gegeben ist - nur daß das neue Design möglicherweise nicht mit so großen Tabellen umgehen kann

Gruß
Backslash

[plumpsack]

ich hab ja auch extra geschrieben, daß die Funktionalität gegeben ist - nur daß das neue Design möglicherweise nicht mit so großen Tabellen umgehen kann

KISS ?

KISS principle
https://en.wikipedia.org/wiki/KISS_principle

[plumpsack]

Bei all den gegenseitigen "Nettigkeiten" muß man aufpassen, daß man nicht blind für das Problem wird.

Betriebsblind ist die eine Sache, aber werden solche "Probleme" betriebsintern überhaupt noch getestet?

A) Routing-Tabelle
B) DNS-Filter

Router von Lancom waren/sind bis zur 10.72 top was A) und B) angeht!

Wann kommen sie an ihre Grenzen?

[plumpsack]

Frage zur 10.80.0155-Rel. ...

Da ich nach einiger Zeit mal wieder einen Router von Lancom als primäres Gateway angeschlossen habe und mir die "Bösen" gefehlt hatten, oh Wunder, sie sind wieder da

EE, US, JP, BG, BY, BR, RU, CN, UK, AT, ES, IQ, ID, EG, RO, UA, PL, etc.

Netzwerke die niemand benötigt - fliegt alles per Sperrroute raus ...

Frage zur 10.80.0155-Rel und der Kompalibität zu den älteren LCOS-Versionen:

Gibt es in absehbarer Zeit eine Möglichkeit die Sperrrouten von den <= 10.72.xx zu übernehmen ohne das die 10.80.xx abkackt ?


Danke schon einmal für die Informationen vorab.

[ecox]

@plumpsack

ich weiß ja nicht wie lange du jetzt schon und vor allem auf welcher ebene du mit lancom zu tun hast.
mein rat an dich, hör auf verstehen zu wollen was bzgl. des lcos´s vor sicht geht, welche priolisten intern abgearbeiter werden oder sonstiges, bleib immer vorerst bei den dir bekannten "funktionierenden" revisionen und studiere die release-notes, wenn du nicht "wirklich" handlungsbedarf hast, lass lieber sein...gerade große major-sprünge würde ich vermeiden...

grüße
ecox

[plumpsack]

@plumpsack

... , bleib immer vorerst bei den dir bekannten "funktionierenden" revisionen und studiere die release-notes, wenn du nicht "wirklich" handlungsbedarf hast, lass lieber sein...

Das ist ja das Problem:

Gerne wäre ich bei meinem R883VAW bei der 10.42.0284 geblieben, also der 10.42.0284 plus Updates.

SU gab es nicht mehr, obwohl das jetzt bei Lancom auch egal ist ob SU oder RU da RU SU enthalten.


LCOS 10.50.0235 - 10.50.0819 - 10.50.1050 - 10.50.1077 - 10.50.1153 für den R883VAW brachten, für mich, keine Verbesserung, im Gegenteil, die SIP-Leitungen wurden alle Nase lang getrennt.

Der "Fix" kam erst mit der 10.72.xx!

Und die gibt es nicht für die R883VAW !!!

Der R883VAW, baugleich 883VOIP, ist EOL.

Der 883VOIP hat wohl noch "Support" bis 2028.

Support für welches LCOS?

Handlungsbedarf - für welches LCOS ?

[sixty]

Da ich nach einiger Zeit mal wieder einen Router von Lancom als primäres Gateway angeschlossen habe und mir die "Bösen" gefehlt hatten, oh Wunder, sie sind wieder da
EE, US, JP, BG, BY, BR, RU, CN, UK, AT, ES, IQ, ID, EG, RO, UA, PL, etc.
Netzwerke die niemand benötigt - fliegt alles per Sperrroute raus ...

Das nennt sich Country-Blocking oder Geoblocking und erfordert eine "richtige" Firewall.
Eventuell können die Unified Firewalls von R&S (UF-xxx) im LANCOM Portfolio das abdecken (immerhin sprechen sie BGP und können die Länder zuordnen), aber die LANCOM Router haben nur eine rudimentäre Firewallfunktion und sind damit heillos überfordert. Möglicherweise wird man bald die Zahl der Einträge auf ein paar hundert begrenzen, damit das Web-Interface keinen Mist baut, mit mehr rechne ich nicht.

[tstimper]

Das nennt sich Country-Blocking oder Geoblocking und erfordert eine "richtige" Firewall.
Eventuell können die Unified Firewalls von R&S (UF-xxx) im LANCOM Portfolio das abdecken (immerhin sprechen sie BGP und können die Länder zuordnen), aber die LANCOM Router haben nur eine rudimentäre Firewallfunktion und sind damit heillos überfordert. Möglicherweise wird man bald die Zahl der Einträge auf ein paar hundert begrenzen, damit das Web-Interface keinen Mist baut, mit mehr rechne ich nicht.

Die LANCOM LCOS Geräte, die mehr als einen der in der Regel vorhandenden zwei oder vier CPU Cores nutzen können,
sollten das problemlos schaffen.

Mehr als einen Core können Stand heute leider nur der ISG-5000, der ISG-8000 und der vRouter nutzen.

Deshalb halte ich das nicht für ausgeschlossen.

Viele Grüße

ts

[sixty]

Die LANCOM LCOS Geräte, die mehr als einen der in der Regel vorhandenden zwei oder vier CPU Cores nutzen können, sollten das problemlos schaffen.

Wenn ich plumpsack richtig verstanden habe, haben sie das bis zur 10.72 auch zur Zufriedenheit getan.

Leider bietet LANCOM weder im Webinterface noch in der LANconfig (in der traditionell einige Aufbereitungen und Übersetzungen der Firewallkonfiguration vorgenommen werden) eine einfache Landesauswahl (wie z.B. eine Sophos), die die weiteren Daten aus der GeoIP-Datenbank bezieht.

So muß man selbst (z.B. über ein BGP-Lookingglass) die erforderlichen Sperrouten (wie oben zu lesen ~8400) ermitteln und eintragen.
Das scheinen neuere Versionen >= 10.80 nicht mehr in diesem Umfang handhaben zu können.

Ich will an dieser Stelle nicht unbedingt das Für und Wider von Geoblocking diskutieren (bin selbst kein Freund davon), aber es kann legitimer Bestandteil einer Sicherheitspolicy oder einfach eine regulatorische Forderung sein.

Jedenfalls finde ich einige oben zu lesende Aussagen im Stil von "Ich brauche das nicht und verstehe es auch nicht - also braucht es gefälligst niemand" mehr als daneben. Mehr wird die Zukunft zeigen.

[tstimper]

Die LANCOM LCOS Geräte, die mehr als einen der in der Regel vorhandenden zwei oder vier CPU Cores nutzen können, sollten das problemlos schaffen.

Wenn ich plumpsack richtig verstanden habe, haben sie das bis zur 10.72 auch zur Zufriedenheit getan.

exakt. Vorher ging es, jetzt gehts nicht mehr, das ist also ein Bug. Es sei denn, die Funktion wurde abgekündigt.
Oder in der Form geändert wie "Ab 10.80 werden auf Geräten mit dieser und jeder CPU nur noch 50 - 100 Sperrrouten unterstützt."

Was ich mit dem Hinweis auf die CPUs sagen wollte: Die Hardware Performance ist aufgrund der 2 - 4 Core CPUs sehr wohl da.
LCOS kann meines Wissens Stand heute allerdings ausschliesslich auf x86 basierenden Geräten und dem vRouter mehr als einen CPU Core nutzen.

Jedenfalls finde ich einige oben zu lesende Aussagen im Stil von "Ich brauche das nicht und verstehe es auch nicht - also braucht es gefälligst niemand" mehr als daneben. Mehr wird die Zukunft zeigen.

Fully agree.

Viele Grüße

ts