Migration Lancom 1711+ auf neues Gerät

[oviwankinovi]

Hallo zusammen,

ich betreibe eine ganze Reihe Lancom 1711+ Router an verschiedenen Standorten, die alle über eine Site to Site Verbindung mit der Zentrale verbunden sind. Da der Router der Zentrale leider nur noch unzuverlässig läuft, würde ich ihn gerne ablösen. Wie es aussieht, ist das der Nachfolger:
http://www.lancom-systems.de/produkte/s ... eberblick/

Ich habe zur Migration ein paar Fragen, vielleicht kann mir hier jemand helfen:

- gibt es einen direkten Migrationspfad? Aktuell läuft auf dem 1711 in der Zentrale Firmware 8.84.0132. Ich habe irgendwo gelesen, dass bei einer direkten Migration beide Geräte identische Firmware haben müssen. Vielleicht gibt es ja trotzdem eine Möglichkeit.

- Können vorhandene zusätzliche VPN_Kanäle auf das neue Gerät übertragen werden?

- Ist das aktuelle LCOS voll abwärtskompatibel zu älteren Geräten wie dem 1711+, 1711 oder 54gn?

- Ist vielleicht ein anderes Gerät empfehlenswerter als der 1781ef+?

Danke und viele Grüße,
Christian

[MariusP]

Hi,

- Ist das aktuelle LCOS voll abwärtskompatibel zu älteren Geräten wie dem 1711+, 1711 oder 54gn?

Die Frage ist so unpräzise gestellt, das darauf keine Antwort die für dich wahr ist möglich ist.
Meinst du in der Art wie Geräte untereinandern kommunizieren, wenn ja welche Art der Kommunikation?
Oder meinst du die Übertragung der Konfig?
Welche Firmware meinst du genau?
Gruß

[Bernie137]

Hi,

Die Frage ist so unpräzise gestellt, das darauf keine Antwort die für dich wahr ist möglich ist.

Ich denke schon, dass man ein paar Antworten geben kann.

- Ist vielleicht ein anderes Gerät empfehlenswerter als der 1781ef+?

Der 1781ef+ ist einer der leistungsstärksten VPN Router in Bezug auf Datendurchsatz, kann aber maximal 25 VPN-Tunnel gleichzeitig nutzen und hat keine internen Modems. Der derzeit ein 1711 in der Zentrale ist, der auch max. 25 Kanäle beherrscht, sollte es passen.

- Ist das aktuelle LCOS voll abwärtskompatibel zu älteren Geräten wie dem 1711+, 1711 oder 54gn?

Ja, Du kannst mit den Alt-Geräten wieder VPN Tunnel zum 1781EF+ aufbauen, auch wenn diese eine wesentlich ältere Firmware haben.

- gibt es einen direkten Migrationspfad? Aktuell läuft auf dem 1711 in der Zentrale Firmware 8.84.0132. Ich habe irgendwo gelesen, dass bei einer direkten Migration beide Geräte identische Firmware haben müssen. Vielleicht gibt es ja trotzdem eine Möglichkeit.

Es ist immer gut, wenn beide Geräte die gleiche Firmware haben und für den 1781ef+ gibt es auch noch die Firmware 8.84.0132 auf dem FTP Server. Somit könnte man die Konfig auf dem Neugerät aufspielen.

Jedoch ist eine Neukonfiguration der VPN-Umgebung und auch des neuen Routers vorzuziehen. Alt- und Neugerät unterscheiden sich erheblich, so dass die konfig ohnehin auf dem Neugerät angepasst werden muss. Es ist nicht ausgeschlossen, dass man sich unnötige Folgeprobleme beim Umzug der Konfig ins Gerät holt. Außerdem werden bei Verwendung des Assistenten für VPN-Standort Vernetzung auch neuere Verschlüsselungsmethoden verwendet, als sie wohl derzeit im Einsatz sind.

vg Bernie

[oviwankinovi]

Hi,

- Ist das aktuelle LCOS voll abwärtskompatibel zu älteren Geräten wie dem 1711+, 1711 oder 54gn?

Die Frage ist so unpräzise gestellt, das darauf keine Antwort die für dich wahr ist möglich ist.
Meinst du in der Art wie Geräte untereinandern kommunizieren, wenn ja welche Art der Kommunikation?
Oder meinst du die Übertragung der Konfig?
Welche Firmware meinst du genau?
Gruß

Wenn ich einen neuen Router mit aktuellem LCOS betreibe, funktionieren dann noch die S2S-Verbindungen in die anderen Standorte? Dort in den anderen Standorten laufen 1711+ mit LCOS 8.84 und 8.80.
Außerdem betreibe ich hinter dem abzulösenden Router drei Access-Points (L-54ag, LCOS 8.62), die zwei WLANs aufspannen (WPA2 und Radius-Authentifizierung). Der DHCP für die WLANs läuft auf dem abzulösenden Router.

[oviwankinovi]

Hi,

Jedoch ist eine Neukonfiguration der VPN-Umgebung und auch des neuen Routers vorzuziehen. Alt- und Neugerät unterscheiden sich erheblich, so dass die konfig ohnehin auf dem Neugerät angepasst werden muss. Es ist nicht ausgeschlossen, dass man sich unnötige Folgeprobleme beim Umzug der Konfig ins Gerät holt. Außerdem werden bei Verwendung des Assistenten für VPN-Standort Vernetzung auch neuere Verschlüsselungsmethoden verwendet, als sie wohl derzeit im Einsatz sind.

vg Bernie

Hi,

Dankeschön für die Antwort, auch wenn sie meine schlimmsten Befürchtungen wahr werden lässt . Auf dem abzulösenden Router sind halt um die 150 Firewall-Regeln eingerichtet, entsprechend viele Stations-Objekte, VLANs und vermutlich einiges, was der bisherige Herr der Firewall nicht dokumentiert hat. Letzteres war bisher für mich der Grund, eine Neukonfiguration zu scheuen. Aber ich werde wohl nicht drumherum kommen.

viele Grüße,
Christian

[Dr.Einstein]

Hallo Christian,

probier es doch einfach aus. Skriptdatei aus dem alten runter raus, und in den neuen rein. Eventuell musst du minimal nachjustieren, was die Zuordnung von Schnittstellen -> WAN angeht aber sonst.

Zu 99% wird alles klappen inkl Firewall / VPN. Wenn nicht, altes Gerät wieder ran und händische Teile oder alles neu machen.

Zur Info: Lizenz ist hardwaregebunden und im Normalfall nicht übertragbar.

Gruß Dr.Einstein

[MariusP]

Hi,
Noch wurde die IPv4 Firewall nicht umgebaut. Daher ist dort bei einen Umzug nichts zu befürchten.
Besteht noch die Frage die du für dich klären solltest/könntest, möchtest du die 9.10 wählen oder die darauf folgende Version warten.
Gruß

[Jirka]

Hallo zusammen,

Noch wurde die IPv4 Firewall nicht umgebaut. Daher ist dort bei einen Umzug nichts zu befürchten.

Überhaupt nichts. Ich verstehe die ganze Diskussion nicht. 1711+ und 1781EF+ unterscheiden sich marginal an den Schnittstellen (und im Featureumfang, aber der steigt lediglich mit dem 1781EF+, was somit egal ist). Damit ist die Konfigübernahme per Script überhaupt kein Problem (gleiche Firmwareversion vorausgesetzt) und ist in 15 Min. abgeschlossen, incl. Firmware-Update auf die 8.84.

Besteht noch die Frage die du für dich klären solltest/könntest, möchtest du die 9.10 wählen oder die darauf folgende Version warten.

Da gibt es doch gar keine Diskussion. Erstmal nimmt er die 8.84, führt einen Reset durch, übernimmt die Konfig per Script (ggf. auch nur Teile oder manuell nachbearbeitet), übernimmt manuell das Passwort und die Zertifikate und ggf. die Public-Spot-Seiten oder sonstigen Kleinkram, dann spielt er die 9.10 ein. Dann hat er schon genug Probleme, z. B. mit den Schnittstellen in den ARF-Netzen (any). Die nächste Firmware ist doch frühestens in 8 Wochen eine Option, und bei dem was ich so gehört habe, vermutlich noch nicht mal dann, jedenfalls nicht für ihn.

Viele Grüße,
Jirka

[oviwankinovi]

Moin,

wieso ist es denn besser, die Config als Script zu sichern und nicht als Datei? Letzteres habe ich eigentlich immer gemacht, bevor ich Änderungen an einem Gerät vorgenommen habe.

Danke und viele Grüße,
Christian

[Dr.Einstein]

Hey Christian,

die Configdatei bietet sich eher bei 1zu1 Komplettausch an. Sollten Sachen fehlschlagen, kann es passieren, dass du die Datei gar nicht reinbekommst. Dann musst du ziemlich mühsam einzelne Zeilen mittels Texteditor anpassen in einem OID Format (schau dir mal eine .lcf mit Editor an)

Die Scriptdatei ist eher Gerätetyp-unabhängiger und wirft dir einzelne Zeilen als Fehler aus. Der Rest wird aber ohne zu Meckern direkt abgenommen (schau dir mal eine .lcs mit Editor an).

Gruß Dr.Einstein

[MariusP]

Hi,
Eine Scriptdatei, kann immer und auch wahlweise nur in Teilen auf der Consolen wieder eingespielt werden.
Dies ist möglich da eine Scriptdatei immer nur Consolen(CLI)Befehle verwendet.
Ich empfehle dir mal eine Konfig als Skript zu speichern und dir dieses anzuschauen.
Gruß