Wie? Bei Änderungen an der Konfig Nachricht per Email?

[cpuprofi]

Hallo,

wie ist es möglich, dass man bei Änderungen an der Konfig (wenn der Kunde meint, es selber zu können...) per Email benachrichtigt wird?

Vielen Dank für Tips.

Grüße
Cpuprofi

[MariusP]

Hi,
Wenn der Kunde die Konfig ändert, würde ein entsprechender Eintrag die geänderte Konfig überleben?
Warum hat der Kunde denn Konfigurationsrechte?

Du könntest unter deinem Windows/Linux schreiben der sich die Konfig neu holt und sie mit deiner alten vergleicht. Wenn ein Unterschied besteht könntest du ja dann eine Email absenden.
Alternativ könntest du alle SSH und oder Telnet Verbindungen die auf das Lancom selber gehen in der Firewall registrieren und eine Email-Sende-Aktion definieren.
Bin mal gespannt ob jemand etwas Eleganteres weis.

Gruß

Marius

[cpuprofi]

Hallo Marius,

seit Edward Snowden sind die Kunden alle verrückt, haben Paranoia und sehen Gespenster...!!!

Warum hat der Kunde denn Konfigurationsrechte?

Tja, weil der (selbst ernannte) Admin in den Firmen alle Unterlagen und Daten zu den eingesetzten Geräten haben will und dazu gehören ja auch nun mal die Zugangs-Passwörter...

Optimal wäre es, eine Lösung zu finden, die bei Änderungen der Konfig greift und mir dann z.B. die komplette "neue" Konfig per Email sendet... oder falls das nicht geht, eine Lösung, die mir jeden Monat die aktuelle Konfig per Email sendet.

Kann man da nicht was per Cron-Job machen?

Grüße
Cpuprofi

[MariusP]

Hi,
Der Cron job setzt nur Befehle um die auf der Konsole auch gehen, aber ich wüsste nicht wie der Inhalt eines Skriptes das ausgelesen wird in eine Mail packbar ist, jedenfalls von Innen heraus.
Ansonsten

Du könntest unter deinem Windows/Linux schreiben der sich die Konfig neu holt und sie mit deiner alten vergleicht. Wenn ein Unterschied besteht könntest du ja dann eine Email absenden.

Das halt jeden Monat das von Hand macht.
Kommst du denn überhaupt von deiner Arbeit aus auf jedes Gerät der Kunden?

Gruß

[cpuprofi]

Hallo Marius,

Kommst du denn überhaupt von deiner Arbeit aus auf jedes Gerät der Kunden?

leider kann ich nur per Fernwartung auf das betreffende Gerät zugreifen bzw. könnte ich... da der "schlaue" Kunde aber anscheinend das Passwort geändert hat, ist dieses nicht möglich und somit auch keine Fernwartung...

Und mal eben hin fahren...? Na ja es sind 200Km pro Strecke...

Um diese leider immer öfter vorkommende Problematik zu lösen, wäre es gut, wenn der Lancom die Konfig senden würde.

Vielleicht auch per Aktions-Tabelle

Grüße
Cpuprofi

[Dr.Einstein]

Ich glaube, mit TACACS+ kannst du sowas realisieren. Dafür müsste der Router aber mit deinem Server verbunden sein...

[Jirka]

Hallo zusammen,

für solche Zwecke ist eigentlich im sysinfo die Zeile "CONFIG-STATUS:" gedacht. Leider funktioniert die nicht ganz Bug-frei.
Die letzte Ziffer zählt die Konfigänderungen hoch, die Ziffern vor dem letzten Punkt sind ein Zeitstempel.

Eine Konfig selber versenden kann ein LANCOM-Router nicht, das wäre ein Feature-Wunsch.

Viele Grüße,
Jirka

[alf29]

Moin,

seit Edward Snowden sind die Kunden alle verrückt, haben Paranoia und sehen Gespenster...!!!

Also jemand der die Rechte hat, die Konfig auf einem LANCOM zu ändern, und dabei nicht geloggt werden möchte, schaltet als erstes eine entsprechende Benachrichtigung ab bzw. sorgt mit anderen Mitteln dafür, daß die Mail ihr Ziel nicht erreicht. Wenn ein Kunde verhindern will, daß irgendein 'böser Bube' die Konfig seines Gerätes verändert, dann soll er zum einen ein vernünftiges Paßwort wählen, zum anderen die Anzahl der Zugangsmöglichkeiten reduzieren (dazu gehört auch, alle unverschlüsselten Wege wie TFTP oder Telnet abzuschalten).

Eine Konfig selber versenden kann ein LANCOM-Router nicht, das wäre ein Feature-Wunsch.

Es gibt da die Möglichkeit, mittels des attach=`....`-Parameters in einer mailto-Aktion die Ausgaben beliebiger Kommandos als Mail-Anhang mitzusenden. Das kann prinzipiell auch die Ausgabe eines 'readscript'- oder 'readconfig'-Kommandos sein. Das Limit für solche Anhänge liegt aber bei 32 KiByte, das wird vermutlich nicht in allen Fällen reichen.

Gruß Alfred

[MoinMoin]

Moin, moin!

Und das Versenden eine Konfiguration per unverschlüsselter eMail ist sicherlich auch keine sonderlich gute Idee. Wer will schon, daß seine Paswörter in Klartext irgendwo bei einem eMail-Provider rumliegen?

Ciao, Georg

[cpuprofi]

Hallo Alfred, hallo Georg,

Wenn ein Kunde verhindern will, daß irgendein 'böser Bube' die Konfig seines Gerätes verändert, dann soll er zum einen ein vernünftiges Paßwort wählen, zum anderen die Anzahl der Zugangsmöglichkeiten reduzieren (dazu gehört auch, alle unverschlüsselten Wege wie TFTP oder Telnet abzuschalten)

Das war alles schon gemacht, dass Problem ist, das der "selbst ernannte Admin" des Kunden meint, er wäre schlauer und er hat erstmal das Haupt-Geräte-Passwort geändert... Somit hatte ich nun bei einem Problem keinen Zugriff aufs Gerät und der "selbst ernannte Admin" ist im Urlaub und nicht erreichbar und keiner in der Firma sonst weis das Passwort...

Es gibt da die Möglichkeit, mittels des attach=`....`-Parameters in einer mailto-Aktion die Ausgaben beliebiger Kommandos als Mail-Anhang mitzusenden. Das kann prinzipiell auch die Ausgabe eines 'readscript'- oder 'readconfig'-Kommandos sein.

Ok, das ist schon mal eine Idee! Wie würde denn die Abfrage des Haupt-Geräte-Passwort aussehen bzw. wo findet man dieses auf der Konsole?

Und das Versenden eine Konfiguration per unverschlüsselter eMail ist sicherlich auch keine sonderlich gute Idee.

Naja, das Passwort alleine würde keinen etwas nützen, er müsste dazu noch den Dyndns kennen. Per Email geht ja auch per SSL auf eigenen Server, dass sollte sicher genug sein. Nachtrag: Ich habe eben festgestellt, das Lancom anscheinend kein SSL für den Email-Versand unterstützt...

Grüße
Cpuprofi

[Jirka]

Hallo Cpuprofi,

Ok, das ist schon mal eine Idee! Wie würde denn die Abfrage des Haupt-Geräte-Passwort aussehen bzw. wo findet man dieses auf der Konsole?

Da gibt es keine Abfrage für und auf der Konsole findet man es auch nicht..., jedenfalls nicht mit offiziellen Mitteln.

Naja, das Passwort alleine würde keinen etwas nützen, er müsste dazu noch den Dyndns kennen.

Nun ja, am gleichen Tag reicht auch die Absende-IP in der E-Mail...

Viele Grüße,
Jirka

[Dr.Einstein]

Hallo Alfred, hallo Georg,
Das war alles schon gemacht, dass Problem ist, das der "selbst ernannte Admin" des Kunden meint, er wäre schlauer und er hat erstmal das Haupt-Geräte-Passwort geändert... Somit hatte ich nun bei einem Problem keinen Zugriff aufs Gerät und der "selbst ernannte Admin" ist im Urlaub und nicht erreichbar und keiner in der Firma sonst weis das Passwort...

Was besseres kann dir doch gar nicht passieren. Gerät plattmachen, alte Konfig einspielen seit deiner letzten Datensicherung, Änderungen vornehmen, und der Kunde muss alles bezahlen, kannst ja nix dafür, wenn jemand der Meinung ist, selbst Expirimente vorzunehmen.

Lancom kann aktuell kein SSL per Mail, somit niemals Konfig per Mail verschicken ...

Gruß Dr.Einstein

[cpuprofi]

Hallo Dr.Einstein,

Was besseres kann dir doch gar nicht passieren. Gerät plattmachen, alte Konfig einspielen seit deiner letzten Datensicherung, Änderungen vornehmen, und der Kunde muss alles bezahlen, kannst ja nix dafür, wenn jemand der Meinung ist, selbst Expirimente vorzunehmen.

Leider ist das nicht so einfach... Ich habe mit der Firma einen Wartungsvertrag und bin demnach auch verpflichtet diese Wartung auszuführen und auch wenn in diesem Vertrag steht, das die Wartung per Fernwartung über Internet/VPN erfolgt, ist das Juristisch so eine Sache...

Der Firmen-Inhaber meint ja, dass das Passwort nicht geändert wurde und daher die Firma keine Schuld trifft. Aber das von mir vergebene Passwort funktioniert nicht mehr, also hat Jemand = "der spezielle Admin", der ja auch das alte Passwort kannte, dieses geändert. Und nun muß man abwarten was passiert wenn der wieder da ist ...

Ich für meinen Fall werde nicht für nichts 400Km fahren um dann die Backup-Konfig einzuspielen. Wie Du schon sagtest, dass sollen die dann auch bezahlen!

Aber damit diese Problem nicht noch öfter Auftritt, suche ich nach Lösungen dieses zu vermeiden, zu umgehen oder zu Belegen.

Wie sieht es aus, kann man sich wenigstens eine Email senden lassen, sobald auf die Konfig zugegriffen wird?

Grüße
Cpuprofi

[Cytor]

Hi,

nutze auf deinen Routern doch zusätzlich Public Key Authentifizierung für SSH, um in solchen Fällen noch ranzukommen. Gut, den Public Key kann der Admin auch wieder runterwerfen. Aber er ist nicht so offensichtlich sichtbar wie das Hauptgerätepasswort.

[cpuprofi]

Hallo Cytor,

...nutze auf deinen Routern doch zusätzlich Public Key Authentifizierung für SSH, um in solchen Fällen noch ranzukommen...

ja, das ist ein guter Ansatz um diese Problematik zu umgehen. Das werde ich ausprobieren, sobald die Knowledgebase-Server von Lancom wieder erreichbar sind und ich das "How To" herunterladen kann. Im Moment sind die ja mal wieder offline...

Grüße
Cpuprofi