LCOS-Watchdog, Task name = SSL/TLS-Connection, 9.24.0217

[Jirka]

Code: Alles auswählen

03/20/2017 15:00:15  LCOS-Watchdog
Task name = SSL/TLS-Connection  Type=e300: DSI Interrupt (Protection error on load access @0x00000020)
Code=0x00000300 Thread=043b3788 Task=043b3780 Nest=0x00000000

 R00=0x007cd834  SP =0x043b7370  R02=0x01672000  R03=0x00000001 
 R04=0x043b7570  R05=0x043b72e8  R06=0x043b7a08  R07=0x00000002 
 R08=0x00000001  R09=0x00000020  R10=0x00000001  R11=0x007c201c 
 R12=0x82044084  R13=0x02246f80  R14=0x0145b844  R15=0x041ecbe0 
 R16=0x014590b0  R17=0x000000c4  R18=0x0000007f  R19=0x0332ed39 
 R20=0x00000004  R21=0x03b9ec40  R22=0x03b9ec40  R23=0x00000000 
 R24=0x03b9ec40  R25=0x0409f120  R26=0x00000000  R27=0x043b2c80 
 R28=0x02232918  R29=0x041f2960  R30=0x00000000  R31=0x03b9ec40 

 CR  =0x22044082  XER =0x00000000  LR  =0x007cd834  CTR =0x00f93204 
 DAR =0x00000020  DSR =0x08000000  TBL =0x9ab34def  TBU =0x00000003 
 IBCR=0x00e20000  DBCR=0x00e20000  DBR =0x00000000  DBR2=0x00000000 
 HID0=0xc090c000  HID1=0x0c000000  HID2=0x04e40000  MBAR=0x00000000 
 SPR0=0x007c201c  SPR1=0x00000001  SPR2=0x043b7570  SPR3=0x000010b6 
 SPR4=0x00000000  SPR5=0x00000000  SPR6=0x00000000  SPR7=0x00000005 
 TGR0=0x00000020  TGR1=0x00000010  TGR2=0x00200040  TGR3=0x200a90b2 

 SRR0(PC) =0x007cd8cc
 SRR1(MSR)=0x000090b2

 possible error location: [BT] 00f6f49c 00bd0758 00f6f7a0 007cd834

 exception, additional backtrace: [BT] 007cec78 007c201c 007c57c0 007c76c8 007b51c8 007b33e0 00f811e4 00f82d04 00bd84c4

Stack dump (1024 bytes):
Adr:= 043b7370
Len:= 00000400
043B7370:  04 3B 75 20 00 7C D8 34  22 00 40 22 04 3B 18 AC | .;u .|.4 ".@".;..
043B7380:  00 00 00 00 01 4E 68 5C  01 4E 3C A8 00 00 04 A4 | .....Nh\ .N<.....
043B7390:  04 3B 18 AC 00 00 00 00  04 3B 74 10 00 C4 B2 D4 | .;...... .;t.....
043B73A0:  04 3B 73 B8 00 00 00 B6  04 09 EE 24 00 00 00 00 | .;s..... ...$....
043B73B0:  01 4E 3B 40 01 4E 68 5C  04 3B 73 F0 00 C4 A1 3C | .N;@.Nh\ .;s....<
043B73C0:  04 3B 73 E8 22 00 40 22  00 00 00 08 00 00 00 01 | .;s.".@" ........
043B73D0:  FF FF FF FF 00 C2 6E 38  00 00 00 10 00 00 00 09 | ......n8 ........
043B73E0:  01 4E 3C BC 00 00 00 00  00 00 00 01 04 3B 74 E8 | .N<..... .....;t.
043B73F0:  FF FF FF FF 04 3B 74 EC  00 00 00 00 00 00 00 00 | .....;t. ........
043B7400:  01 4E 3C A8 00 00 04 A4  04 3B 18 AC 00 00 00 00 | .N<..... .;......
043B7410:  04 3B 74 68 00 C4 B6 34  04 3B 74 70 22 00 40 24 | .;th...4 .;tp".@$
043B7420:  00 00 00 00 00 00 00 01  FF FF FF FF 22 00 40 24 | ........ ....".@$
043B7430:  00 00 00 10 00 00 00 09  01 4E 3C BC 00 00 00 00 | ........ .N<.....
043B7440:  04 3B 74 E8 00 00 00 00  7F FF FF FF 04 3B 74 EC | .;t..... .....;t.
043B7450:  00 00 00 00 01 4E 3B 40  04 3B 74 68 00 00 04 A4 | .....N;@ .;th....
043B7460:  01 4E 3C A8 01 4E 3C A8  04 3B 74 E0 00 C4 B3 08 | .N<..N<. .;t.....
043B7470:  00 00 00 28 00 00 04 A0  04 3B 74 90 00 F8 D3 04 | ...(.... .;t.....
043B7480:  04 3B 7A 08 00 00 00 01  00 00 00 01 02 2E 5F 68 | .;z..... ......_h
043B7490:  04 3B 74 B0 42 00 40 88  01 45 B8 44 04 1E CB E0 | .;t.B.@. .E.D....
043B74A0:  01 45 90 B0 00 00 00 C4  00 00 00 7F 03 32 ED 39 | .E...... .....2.9
043B74B0:  00 00 00 04 03 B9 EC 40  03 B9 EC 40 04 1E CC 80 | .......@ ...@....
043B74C0:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B74D0:  00 00 04 A4 03 BC A4 60  22 00 40 24 04 1E CB E0 | .......` ".@$....
043B74E0:  01 45 90 B0 00 00 00 C4  00 00 00 7F 03 32 ED 39 | .E...... .....2.9
043B74F0:  00 00 00 04 03 B9 EC 40  03 B9 EC 40 04 1F 84 40 | .......@ ...@...@
043B7500:  04 09 F1 20 04 3B 78 4C  04 3B 75 F0 02 26 0A 34 | ... .;xL .;u..&.4
043B7510:  04 09 F4 40 02 26 0A 28  04 3B 2C 80 04 3B 75 30 | ...@.&.( .;,..;u0
043B7520:  04 3B 75 70 00 7C EC 78  01 54 67 10 04 3B 37 80 | .;up.|.x .Tg..;7.
043B7530:  00 00 00 00 00 B6 A8 D0  00 00 00 02 22 00 80 82 | ........ ...."...
043B7540:  00 00 00 04 00 00 00 1E  00 00 00 00 04 1E CC 80 | ........ ........
043B7550:  04 09 FA 68 00 00 00 04  04 1E CC 64 03 32 EC F4 | ...h.... ...d.2..
043B7560:  04 09 F4 40 00 00 00 C4  04 3B 78 4C 04 1E CB E0 | ...@.... .;xL....
043B7570:  04 3B 76 08 00 7C 20 1C  00 00 00 00 00 00 00 00 | .;v..| . ........
043B7580:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 C8 | ........ ........
043B7590:  00 00 00 00 04 09 B0 E0  04 3B 75 E8 00 B6 B0 E8 | ........ .;u.....
043B75A0:  00 C0 02 00 03 32 EC F0  04 3B 75 C0 00 00 00 00 | .....2.. .;u.....
043B75B0:  04 3B 7A 08 00 00 00 03  02 24 00 00 02 2E 5F 68 | .;z..... .$...._h
043B75C0:  04 3B 75 E0 00 F8 DB EC  00 00 90 B2 03 32 EC F4 | .;u..... .....2..
043B75D0:  04 09 F4 40 04 3B 76 24  04 3B 2C 80 02 2E 5F 68 | ...@.;v$ .;,..._h
043B75E0:  04 3B 75 F0 00 F9 64 20  04 3B 2C 80 00 00 00 10 | .;u...d  .;,.....
043B75F0:  00 00 00 00 00 FA 1B D0  04 09 F4 40 00 00 00 C4 | ........ ...@....
043B7600:  04 1E CB E0 04 3B 78 4C  04 3B 78 90 00 7C 57 C0 | .....;xL .;x..|W.
043B7610:  00 00 00 00 04 3B 78 2C  00 00 00 01 00 00 00 00 | .....;x, ........
043B7620:  00 00 00 01 77 65 62 2E  77 68 61 74 73 61 70 70 | ....web. whatsapp
043B7630:  2E 63 6F 6D 00 00 00 00  00 00 00 00 00 00 00 00 | .com.... ........
043B7640:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B7650:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B7660:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B7670:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B7680:  00 00 00 00 00 00 00 00  00 00 00 01 00 00 00 00 | ........ ........
043B7690:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B76A0:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B76B0:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B76C0:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B76D0:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B76E0:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B76F0:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B7700:  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 | ........ ........
043B7710:  00 00 00 04 00 00 00 03  00 00 00 05 00 00 00 03 | ........ ........
043B7720:  00 00 00 06 00 00 00 03  00 00 00 02 00 00 00 03 | ........ ........
043B7730:  00 00 00 08 00 00 00 04  00 00 00 08 00 00 00 05 | ........ ........
043B7740:  00 00 00 08 00 00 00 06  00 00 00 04 00 00 00 01 | ........ ........
043B7750:  00 00 00 05 00 00 00 01  00 00 00 06 00 00 00 01 | ........ ........
043B7760:  00 00 00 02 00 00 00 01  00 00 00 04 00 00 00 02 | ........ ........
largest available memory block: 63210816 bytes


DEVICE:                LANCOM L-322agn dual Wireless (R2)
HW-RELEASE:            H
VERSION:               9.24.0217 / 16.03.2017

[alf29]

Kommt mir bekannt vor, den hatte ich Freitag für die 10.00 auf dem Tisch. Hattest Du auf dem Gerät kurz vorher irgendetwas konfig-technisch gemacht?

Gruß Alfred

[Jirka]

Hallo Alfred,

definitiv, ja. Gerät mit Strom versorgt, Loader-Update, Firmware-Update. Anschließend eine Konfig(sicherung) eines L-322agn (R1) eingespielt mit LANconfig (dies hier ist ja ein L-322agn (R2)). Die Konfigsicherung war von der 9.10.0332 - eine neuere hatte ich nicht, es gab aber auch kaum Konfig-Änderungen seitdem.
Das Einspielen der Konfig mit LANconfig (9.24-RU3) lief wie folgt ab:
1) derzeitige Konfiguration per HTTPS ausgelesen und gesichert (hat für mich natürlich keinen Wert, da war ja nichts konfiguriert, aber so macht LANconfig das)
2) die ausgewählte Konfiguration in das Gerät geschrieben per HTTPS (was LANconfig da noch an der Konfig ändert, weil es ein anderes Gerät ist, ist mir unklar, LANconfig erzeugt eine dubiose Log-Datei dabei, wo z. B. ganz viel 'unknown key -> not written' drin steht, selbst bei Parametern die genau so an der selben Stelle in der Konfig des neuen Gerätes auch stehen, man muss die Log-Datei erfahrungsgemäß völlig ignorieren)
3) Gerät wird normal mit SSH geprüft, dazu kam es aber nicht, weil sich die IP des Gerätes (ursprünglich 172.23.56.254) nun natürlich geändert hatte, wo LANconfig normal auch nachzieht, allerdings ist das Gerät über die IP nur noch VLAN-getaggt zu erreichen, weswegen das natürlich scheiterte

Viele Grüße,
Jirka

[alf29]

Moin,

Dann hat irgendein HTTPS-Zugriff das Gerät möglicherweise in dem Zustand 'erwischt' , in dem es sein selbst erzeugtes Pseudo-CA-Zertifikat nach dem Löschen nicht wieder neu erzeugt hatte. Der Fehler wurde am Freitag behoben.

In der RU4 ist ein geändertes Verfahren drin, mit dem im Gerät selber HTTPS-Zertifikate erzeugt werden, wenn man kein eigenes hochgeladen hat. Die Zertifikatskette ist wieder zweistufig, und das eigentliche Server-Zertifikat (also das am Ende der Kette) hat wieder den Hostnamen bzw. die IP-Addresse als CN. Der Unterschied zu den zweistufigen Ketten, die wir früher hatten, ist daß das 'Pseudo-CA-Zertifikat' am oberen Ende der Kette den für jedes Gerät spezifischen Schlüssel hat, statt wie früher einen auf allen LANCOMs gleichen Schlüssel. Diese Änderung war eine Forderung von einem Großkunden (der, der auch die Software-Wartung fürs 1781EF bezahlt...). Ich bin übrigens sehr gespannt, was Christoph_vW dazu sagt...

Gruß Alfred

[Jirka]

Hallo Alfred,

vielen Dank für die ausführliche Erklärung. Und diese dezenten Anspielungen

Viele Grüße,
Jirka

[Christoph_vW]

> Der Unterschied zu den zweistufigen Ketten, die wir früher hatten, ist daß das 'Pseudo-CA-Zertifikat' am oberen Ende der Kette den für jedes Gerät spezifischen Schlüssel hat, statt wie früher einen >auf allen LANCOMs gleichen Schlüssel.
Na endlich. Wenigstens wurde vorher eine nachträgliche Entschlüsselung durch DH verhindert.

>(der, der auch die Software-Wartung fürs 1781EF bezahlt...).
1781EF und EW habe ich ein so kleinen Stückzahlen - die fliegen beim Release von LCOS 10 dann wohl in den Müll. Aber warum sollte ich jetzt z.B. noch einen neuen 9100+ oder einen WLC 4100 kaufen, wenn ich nicht weiß ob das Gerät vielleicht nächste Woche abgekündigt wird... Ich investiere doch nicht solche Summen, wenn dann nach zwei Jahren Schluss ist mit neuen Features. Oder garantiert mir jemand das TLS 1.3 als RU kommt? Oder funktionierendes IKEv2? Oder PPTP Tunnel die sich zuverlässig wieder aufbauen, ... ?

[alf29]

Moin,

Oder garantiert mir jemand das TLS 1.3 als RU kommt?

TLS 1.3 (wenn es denn irgendwann mal kommt, ich bin darüber auch nicht glücklich) wird ein solcher Brocken werden, daß es garantiert nicht mit einem RU kommt. Ich persönlich sehe das nicht vor einer 10.20.

Oder funktionierendes IKEv2? Oder PPTP Tunnel die sich zuverlässig wieder aufbauen, ... ?

Das klingt mir eher nach Bugfixes. Hast Du dafür beim LANCOM-Support irgendwelche Fälle offen?

Gruß Alfred

[Christoph_vW]

Das klingt mir eher nach Bugfixes. Hast Du dafür beim LANCOM-Support irgendwelche Fälle offen?

Ja, beim IKEv2 Problem versuche ich noch Traces zu erstellen, tritt aber unregelmäßig auf.
PPTP hatte ich mal einen Fall offen, der wurde aber ohne eine Lösung gefunden zu haben geschlossen. Lässt sich auch nicht so gut nachstellen...