LCOS 10.30 RC1

comet · Beitrag von **comet** » 23 Feb 2019, 13:05

Hallo,

seit geraumer Zeit funktioniert das DHCP Forwarding nicht mehr. Hat sich auch mit dem neuen Release nicht geändert.
Auch scheint, es dass die Firewallregeln nicht sauber abgearbeitet werden.

Daher habe ich wieder auf die LCOS Version10.00.0171 / 13.06.2017 zurückgeswitcht, wo das alles noch funktioniert.
Gehe aber davon aus, dass wir Lancom nach Umzug unserer Büroräume komplett rausschmeißen werden, da sich in den letzten 2 Jahren nichts bewegt hat.

Dr.Einstein · Beitrag von **Dr.Einstein** » 23 Feb 2019, 14:35

Hey comet,

wenn ich mir dein letztes Ticket zum DHCP Relay anschaue (viewtopic.php?f=41&t=16682&p=94372#p94372), kann ich mir nicht vorstellen, dass hier im Bug im LCOS vorliegt. Ich persönlich nutze den DHCP Relay des LCOS in einem ziemlich wilden Szenario an rund 500 Standorten mit VRRP, ARF Routing uvm und alles klappt sauber, LCOS 10.12 RUx.

Du mir mal den Gefallen und poste mal folgenden CLI Inhalt:

Code: Alles auswählen

l /Setup/DHCP/Network-list
l /Setup/DHCP/Ports/
l /Setup/TCP-IP/Network-list/

Wenn ich mir deinen alten DHCP Trace anschaue, fällt mir direkt auf, dass LAN-1 und LAN-2 den gleichen Netzwerknamen haben:

Code: Alles auswählen

DHCP Rx (LAN-2, CLIENTS): 
[..]
DHCP Rx (LAN-1, CLIENTS):

Kann das sein?

Genauso die Lancom Firewall. Ich meine, ich hab jetzt seit mehreren Jahren keinen einzigen Firewallbug mehr gehabt, QoS etc mal ausgeklammert. Jeder Fehler war doch ein Logikproblem der eigenen Regeln enstanden, also reine Konfigurationsfehler. Hier macht es also Sinn, ei.nmal dein Regelwerk zu posten und dann die entsprechende Firewall-Traceausgabe von einem Paket, dass durchkommt/blockiert wird, deiner Meinung nach aber blockert/durchkommen müsste.

Gruß Dr.Einstein

Jirka · Beitrag von **Jirka** » 25 Feb 2019, 12:05

Hallo Dr. Einstein,

Dr.Einstein hat geschrieben: 23 Feb 2019, 14:35Genauso die Lancom Firewall. Ich meine, ich hab jetzt seit mehreren Jahren keinen einzigen Firewallbug mehr gehabt

das bedeutet, dass Du die mitunter falsche Sortierung von Regeln in LANconfig davon ausnimmst?

Viele Grüße,
Jirka

Dr.Einstein · Beitrag von **Dr.Einstein** » 25 Feb 2019, 16:47

Hi Jirka,

guter Hinweis: Ich rede ausschließlich von LCOS, im Beitrag ging es auch um Down- / Upgrade vom LCOS und nicht LanConfig. Aber einfach Sätze in den Raum stellen, ohne Hinweise zur Konfig, oder/und Debugs, wie soll man da helfen...

Gruß Dr.Einstein

comet · Beitrag von **comet** » 26 Feb 2019, 09:31

> ls /Setup/TCP-IP/Network-list/

Network-name IP-Address IP-Netmask VLAN-ID Interface Src-check Type Rtg-tag Comment
==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------
CLIENTS 10.78.1.1 255.255.255.0 0 BRG-1 loose Intranet 0
MANAGEMENT 10.154.3.1 255.255.255.0 0 LAN-3 loose Intranet 0 Management
SERVER 10.42.6.1 255.255.255.0 0 LAN-1 loose Intranet 0
SERVER2 172.23.56.1 255.255.255.0 0 LAN-1 loose Intranet 0
EDGE 192.168.139.1 255.255.255.0 25 LAN-4 loose DMZ 0 Mail-Gateway
WEB 192.168.185.1 255.255.255.0 88 LAN-4 loose DMZ 0 Webserver
BLACKBERRY 192.168.76.1 255.255.255.0 3101 LAN-4 loose DMZ 0 BlackBerry Router
GAESTE 192.168.30.1 255.255.255.0 0 WLAN-1-2 loose Intranet 30

comet · Beitrag von **comet** » 26 Feb 2019, 09:31

> ls /Setup/DHCP/Ports/

Port Enable-DHCP
=================---------------
LAN-1 No
LAN-2 Yes
LAN-3 No
LAN-4 No
WLAN-1 Yes
P2P-1-1 Yes
P2P-1-2 Yes
P2P-1-3 Yes
P2P-1-4 Yes
P2P-1-5 Yes
P2P-1-6 Yes
P2P-1-7 Yes
P2P-1-8 Yes
P2P-1-9 Yes
P2P-1-10 Yes
P2P-1-11 Yes
P2P-1-12 Yes
P2P-1-13 Yes
P2P-1-14 Yes
P2P-1-15 Yes
P2P-1-16 Yes
WLAN-1-2 Yes
WLAN-1-3 Yes
WLAN-1-4 Yes
WLAN-1-5 Yes
WLAN-1-6 Yes
WLAN-1-7 Yes
WLAN-1-8 Yes
WLC-TUNNEL-1 Yes
WLC-TUNNEL-2 Yes
WLC-TUNNEL-3 Yes
WLC-TUNNEL-4 Yes
WLC-TUNNEL-5 Yes
WLC-TUNNEL-6 Yes
WLC-TUNNEL-7 Yes
WLC-TUNNEL-8 Yes
WLC-TUNNEL-9 Yes
WLC-TUNNEL-10 Yes
WLC-TUNNEL-11 Yes
WLC-TUNNEL-12 Yes

comet · Beitrag von **comet** » 26 Feb 2019, 09:34

> ls /Setup/DHCP/Network-list

Network-name Start-Address-Pool End-Address-Pool Netmask Broadcast-Address Gateway-Address DNS-Default DNS-Backup NBNS-Default NBNS-Backup Operating Broadcast-Bit Master-Server 2nd-Master-Server 3rd-Master-Server 4th-Master-Server Cache Adaption Cluster Max.-Lease Def.-Lease
==================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
MANAGEMENT 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0
CLIENTS 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Relay No 10.42.6.21 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0
SERVER 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0
BLACKBERRY 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0
EDGE 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0
WEB 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0
GAESTE 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 192.168.30.1 192.168.30.1 0.0.0.0 0.0.0.0 0.0.0.0 Yes No 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 No No No 0 0

comet · Beitrag von **comet** » 26 Feb 2019, 09:38

Also Fakt ist, dass ich mit der Firmware Version [LANCOM 1781VAW (over ISDN)] v10.00.0171 / 13.06.2017 13.06.17 NULL Probleme mit meiner Konfiguration habe. Bei jeder späteren LCOS Version funktioniert das DHCP Relaying mit meiner Konfiguration nicht mehr.

Will heißen, entweder ist meine Konfiguration "falsch" und LCOS war bis dahin fehlertolerant oder meine Konfiguration ist "richtig" und Lancom muss nachbessern.

comet · Beitrag von **comet** » 26 Feb 2019, 09:57

Dr.Einstein hat geschrieben: 23 Feb 2019, 14:35 Wenn ich mir deinen alten DHCP Trace anschaue, fällt mir direkt auf, dass LAN-1 und LAN-2 den gleichen Netzwerknamen haben:
Code: Alles auswählen
DHCP Rx (LAN-2, CLIENTS): 
[..]
DHCP Rx (LAN-1, CLIENTS): 
Kann das sein?

Gruß Dr.Einstein

nope, war ein Fehler beim Replacement

> ls LAN-Bridge/Port-Data

Port Active Bridge-Group Private-Mode DHCP-Limit Point-To-Point-Port
====================-----------------------------------------------------------------------------
LAN-1 Yes none No 0 Auto
LAN-2 Yes BRG-1 No 0 Auto
LAN-3 Yes none No 0 Auto
LAN-4 Yes none No 0 Auto
WLAN-1 Yes BRG-1 No 0 Auto

LAN2 sind die Clients, LAN 1 die Server

Dr.Einstein · Beitrag von **Dr.Einstein** » 26 Feb 2019, 17:51

Hi Comet,

also ich bekomme mit deiner Konfig den DHCP Relay angesprochen:

Code: Alles auswählen

[DHCP] 2019/02/26 17:43:37,577
DHCP Rx (LAN-2, CLIENTS):
DHCP Client Message (request) from 0.0.0.0: DHCPDISCOVER
  Op    = 01       | HType = 01   | HLen  = 06   | Hops  = 00
  XId   = 05Axxxx | Secs  = 0B00 | Flags = 8000
  CIAdr =          0.0.0.0 | YIAdr =          0.0.0.0
  SIAdr =          0.0.0.0 | GIAdr =          0.0.0.0
  CHAdr = 00 03 0d xx xx xx 00 00 00 00 00 00 00 00 00 00

Hostname:               6H76NB1-Phone
 => forwarded to master server 10.42.6.21

Code: Alles auswählen

l /set/tcp/net

Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment
==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------
CLIENTS           10.78.1.1        255.255.255.0    0        BRG-1               loose          Intranet  0
MANAGEMENT        10.154.3.1       255.255.255.0    0        LAN-3               loose          Intranet  0
SERVER            10.42.6.1        255.255.255.0    0        LAN-1               loose          Intranet  0
SERVER2           172.23.56.1      255.255.255.0    0        LAN-1               loose          Intranet  0
EDGE              192.168.139.1    255.255.255.0    25       LAN-4               loose          DMZ       0
WEB               192.168.185.1    255.255.255.0    88       LAN-4               loose          DMZ       0
BLACKBERRY        192.168.76.1     255.255.255.0    3104     LAN-4               loose          DMZ       0
GAESTE            192.168.30.1     255.255.255.0    0        WLAN-1-2            loose          Intranet  30

Code: Alles auswählen

l /Setup/DHCP/net

Network-name      Start-Address-Pool  End-Address-Pool    Netmask             Broadcast-Address   Gateway-Address     DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup      Operating  Broadcast-Bit  Master-Server    2nd-Master-Server   3rd-Master-Server   4th-Master-Server   Cache   Adaption   Cluster  Max.-Lease        Def.-Lease
==================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
MANAGEMENT        0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          No         No             0.0.0.0          0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0
CLIENTS           0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          Relay      No             10.42.6.21       0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0
SERVER            0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          No         No             0.0.0.0          0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0
BLACKBERRY        0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          No         No             0.0.0.0          0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0
EDGE              0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          No         No             0.0.0.0          0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0
WEB               0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          No         No             0.0.0.0          0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0
GAESTE            192.168.30.1        192.168.30.1        0.0.0.0             0.0.0.0             0.0.0.0             0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          Yes        No             0.0.0.0          0.0.0.0             0.0.0.0             0.0.0.0             No      No         No       0                 0

Code: Alles auswählen

l /Setup/LAN-Bridge/Port-Data/

Port                Active      Bridge-Group   Private-Mode    DHCP-Limit    Point-To-Point-Port
====================-----------------------------------------------------------------------------
LAN-1               Yes         none           No              0             Auto
LAN-2               Yes         BRG-1          No              0             Auto
LAN-3               Yes         none           No              0             Auto
LAN-4               Yes         none           No              0             Auto
WLAN-1            Yes         BRG-1          No              0             Auto
WLAN-1-2         Yes         none          No              0             Auto
[..]

Code: Alles auswählen

l /Setup/DHCP/Ports/

Port                Enable-DHCP
====================---------------
LAN-1               No
LAN-2               Yes
LAN-3               No
LAN-4               No
WLAN-1            No
WLAN-1-2         Yes
[..]

nackiger Router. Intranet / DMZ rausgeworfen, deine Netze eingefügt, fertig. Du musst irgendwas tolles auf deinem Router implementiert haben wie Layer 2 Filterung oder sowas. Ich glaube fast, man kommt bei dem Fall nur dann weiter, wenn du die komplette Konfig bereitstellst exkl. Passwörter.

LCOS 10.12RU11

Gruß Dr.Einstein

comet · Beitrag von **comet** » 27 Feb 2019, 08:44

Hi Dr. Einstein,

ja es gibt noch Firewallregeln, bei denen nur die notwendigen Ports Richtung DHCP Server und Rückroute ins Client Netz freigeschaltet sind.
Werde die Firewall Richtung DHCP Server mal auf Durchzug stellen, da ich in der Tat noch nicht geschaut habe, ob das Forwarding oder die Rückroute nach dem Firmwareupgrade nicht mehr funktioniert.

Weil hier aber gerade die Jecken ausbrechen, wird das erst nächste Woche was.

Gruss

comet

LANCOM-Forum.de

LCOS 10.30 RC1

LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1

Re: LCOS 10.30 RC1