Übertragen Config von Lancom 7100+ auf ISG 5000

[w.blecker]

Grüsse von mir

Wir haben hier noch einen Lancom 7100+ der ja inzwischen EOL ist und ich möchte den gegen einen ISG 5000 tauschen. Die Konfiguration konnte ich auch übertragen nur gibt es ein Problem mit den VPN Regeln. Die wurden ja früher unter Firewall Regeln angelegt (Da gab es ein Feld diese Regel für erzeugen von SA verwenden) und wanderten dann irgendwann einmal unter VPN. (wo sie ja auch an und für sich hingehören).
Normalerweise wurde das beim Firmware update konvertiert - Jetzt tut sich aber das Problem auf das es für den 7100+ de Firmware nie gegeben hat, die dieses Konvertierung durchführt und der ISG natürlich die Firmware drauf hat nachdem das geschah. Und beim Hochladen wird nichts konvertiert. Daher stehen jetzt die ganzen Regeln noch unter Firewall Regeln, können aber natürlich nicht funktionieren da es den Punkt mit den SA nicht mehr gibt. Ich habe jetzt aber auch wenig Motivation da ein paar hundert Regeln händisch umzutragen .. gibt es da irgend eine Möglichkeit diese Konvertierung durchzuführen ? Normal würde das wie gesagt passieren wenn man auf die 10.70 (war es meine ich) das update macht, aber wie auch schon gesagt die gibt es für den 7100+ nicht.

gruß
Wolle

[Dr.Einstein]

ISG5000 downgraden auf 10.60, Konfigskript übertragen, ISG auf 10.72RU5 updaten. Müsste doch dann den Konverter anstoßen. Ansonsten leider händisch das Regelwerk anlegen, habe eh keine guten Erfahrungen mit dem Konverter gemacht, zumindest wenn das Regelwerk extrem groß ist.

[tobiasr]

Ich habe auch noch ein paar 7100+ bzw. 9100+ mit 10.42 laufen. Der hat die VPN-SA doch schon unter VPN? Was war jetzt genau das Problem hierbei? Werde ja zwangweise irgendwann die Geräte auch ersetzen müssen.

[backslash]

Hi tobiasr,

Ich habe auch noch ein paar 7100+ bzw. 9100+ mit 10.42 laufen. Der hat die VPN-SA doch schon unter VPN? Was war jetzt genau das Problem hierbei?

Das Problem ist daß bei den Firewallregeln die Spalte "VPN" weggefallen ist. Im LANconfig heißt die Checkbox: "Diese Regel wird zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet".
Wenn du eine Konfig als Script hochlädst, die diese Spalte (noch) enthält sagt das LANCOM "script error" und übernimmt die Regel nicht...

Daher der vorgeschlagene Weg über die 10.50/10.60 - so es diese für das Ersatzgerät gibt. Denn dann wird die Konfiguration automatisch konvertiert, sobald eine 10.72 oder 10.80 ins Gerät kommt.
Gibt es sie nicht, muß du die Spalte händisch aus dem Script entfernen, bevor du es einspielst...
Und wenn du in der Konfig tatsächlich noch Regeln hast, die dieses Flag gesetzt haben, dann muß du passedne Regeln unter VPN -> allgemein -> Netzwerkregeln anlegen

Also am besten vorher schon darauf ahcten, daß die VPN-Regeln aus der Firewall ins VPN wandern (und auch funktionieren) - dann muß nur die VPN-Spalte aus den Regeln gelöscht werden...

Gruß
Backslash

[tobiasr]

Ich habe doch bereits in der 10.42 die VPN Netzregeln unter 'VPN -> allgemein -> Netzwerkregeln'.

Kann es sein, dass die 10.42 BEIDES kann, die 10.50 konvertiert dann 'VPN über Firewall' zu 'VPN über Netzwerkregeln'? Wenn ich also bereits jetzt alles unter VPN->Netzwerkregeln stehen habe, brauche ich nichts mehr tun?

[Dr.Einstein]

Korrekt

[backslash]

Hi tobiasr,

außer halt im Script manuell die VPN-Spalte in den Firewallregeln zu löschen - also das "{VPN-Rule} no", das in jeder Regel steht...

Gruß
Backslash

[tobiasr]

Danke für die Ergänzung. Hoffentlich denke ich daran, sollte es mal soweit sein.