Was ist WEBservices-HTTPS via TCP auf Port 1?

[plumpsack]

Wenn Du wirklich 100% wissen willst, welche Ports geöffnet sind, musst Du halt ein nmap auf das Gerät machen.
[/quote]

Ich wäre ja schon glücklich, wenn ich wüsste wie man so etwas wie netstat "in" dem Lancom machen könnte.


nmap zeigt auch nicht alles an.

[tstimper]

Wird da etwa garnicht der aktuell gültige Port Wert geprüft und angezeigt, auf dem der jeweilige Service läuft?

Nein, wird er nicht. Jedes Modul im LCOS, das einen irgendwie gearteten Listener implementiert, ist gehalten, die Informationen darüber an diese Seite in der WEBconfig eigenständig zu melden. Es wäre schön, wenn diese Seite einfach auf die im IP-Stack aktuell angemeldeten Listener zugreifen würde, so wie man das auf einem Linux mit einem 'netstat --listening' machen kann, so ist es aber nicht, das läuft unabhängig voneinander und wenn in den gemeldeten Daten ein Fehler drin ist, wie in diesem Fall, dann wird auf der Seite halt was anderes angezeigt als der Ist-Zustand ist.

Wenn Du wirklich 100% wissen willst, welche Ports geöffnet sind, musst Du halt ein nmap auf das Gerät machen. Diese Seite ist hübsch und bunt, und sie war seinerzeit gut genug für die Anforderungen des Kunden, der sie haben wollte, und der beschriebene Weg war halt der in der gegebenen Zeit realisierbare.

Hi Rotwang,

kannst Du mal bitte einen Kontakt zu dem Kunden herstellen, der das so wollte?
Ich kann mir nicht vorstellen, das dessen Anforderung war, das die Seite primär hübsch und bunt sein soll, die Genauigkeit der angezeigten Daten allerdings zweitrangig ist.

Also wie konkret wurde das wirklich spezifiziert und entspricht die Umsetzung der Spezifikation?

Das eine Status Seite für Dienste einen SOLL Zustand der Dienste, nicht aber den IST Zustand der Dienste anzeigt,
kann niemand ernsthaft wollen, der im Security Bereich unterwegs ist.

Was ich für sinnvoll halten würde, wäre die Gegenüberstellung von SOLL (also wie wurde konfiguriert) und IST ( also wie ist der aktuelle Status).

Alternativ würden wir eine genaue Darstellung benötigen, welche Werte bei Anzeigen aus der Konfig gelesen und nicht auf den aktuellen Status geprüft werden und bei welchen Anzeigen die jeweils aktuell gültige Status angezeigt wird.

Also Klarheit darüber, woauf wir uns verlassen können und worauf nicht.

Viele Grüße

ts

[Jirka]

Ich denke das Ziel dieser Liste war eine übersichtliche, komplette Zusammenfassung aller Dienste mit den entsprechenden Ports auf einer Seite. Quasi welche Dienste laufen auf welchen Seiten (WAN, LAN, WLAN) aufgrund der derzeit an den unterschiedlichsten, verzweigten Konfigurationspunkten eingestellten Werte. Man wollte also mit dieser Liste vermutlich erreichen, dass man auf einen Blick sehen kann, ob alles ok ist oder ob es sicherheitstechnisch grobe Konfigurationsfehler gibt.

Was mir neu war ist der Fakt, dass es dafür offenbar eines Kundenwunsches bedurfte. Ich hätte jetzt gedacht, die Sache käme aus dem eigenen PM, die vielleicht mal in eine FRITZ!Box geschaut haben und feststellen mussten, dass diese die Sicherheitseinstellungen recht ordentlich zusammenfasst und dass man selber so eine Darstellung nicht wirklich hat.

[Dr.Einstein]

Ich denke das Ziel dieser Liste war eine übersichtliche, komplette Zusammenfassung aller Dienste mit den entsprechenden Ports auf einer Seite. Quasi welche Dienste laufen auf welchen Seiten (WAN, LAN, WLAN) aufgrund der derzeit an den unterschiedlichsten, verzweigten Konfigurationspunkten eingestellten Werte. [..] Ich hätte jetzt gedacht, die Sache käme aus dem eigenen PM

Wäre es aus eigener Feder gekommen, so hätte man die Seite direkt ordentlich gemacht, Verlinkungen zu den jeweiligen Konfigurationspfaden hinterlegt für die verschiedenen Dienste/Protokolle. Außerdem gäbe es dann einen Button wie "empfohlene Einstellungen setzen". Hier wurde nur das absolute Minimum erzeugt, damit die Ausschreibung / der Kundenwunsch abgehakt ist.

Wenn du dir da im Vergleich die Seite von AVM anguckst, da siehst du eine gewisse Leidenschaft dahinter.

[tstimper]

Ich denke das Ziel dieser Liste war eine übersichtliche, komplette Zusammenfassung aller Dienste mit den entsprechenden Ports auf einer Seite. Quasi welche Dienste laufen auf welchen Seiten (WAN, LAN, WLAN) aufgrund der derzeit an den unterschiedlichsten, verzweigten Konfigurationspunkten eingestellten Werte. [..] Ich hätte jetzt gedacht, die Sache käme aus dem eigenen PM

Hier wurde nur das absolute Minimum erzeugt, damit die Ausschreibung / der Kundenwunsch abgehakt ist.

Ich kann mir nicht vorstellen, das der Kundenwunsch wirklich war, macht bitte was Buntes, es muss aber nicht stimmen, was da steht.

Implizit hat das der Kunde sicher erwartet, das die Seite, die er da gefordert hat, auch exakte Daten liefert.

Wenn das also halbherzig umgesetzt wurde (und es nicht nur ein dummer Fehler war), kann dieser Kunde ggf. noch Nachbesserung verlangen.

Viele Grüße

ts

[COMCARGRU]

Bei dem was in den letzten Wochen (Monaten) hier im Forum so zu lesen ist, stellt sich nur die Frage: Was ist da bei Lancom los? Wie kann es sein, das Lancom in kurzer Zeit jegliches Porzellan zerschlägt, das vorher Mühsam erworben worden ist?

Wenn man vor 10-15 Jahren einen Lancom Router gekauft hat wusste man, das man ein Spitzenprodukt zu fairem Preis mit exzellentem Service erhält. Das scheint sich tatsächlich 180° ins Gegenteil gedreht zu haben? Wenn man früher auf Microsoft gezeigt hat, konnte man immer sagen: Seht - Lancom - es geht auch anders - die Entwickler und Programmierer dort WISSEN was sie tun. Aktuell scheint es so, dass man Lancom in die Reihe des Gruselkabinett einreihen kann?

[tstimper]

Ich glaube, die Entwickler bei LANCOM wissen schon was sie tun. Aus den Sessions, die wir im Projekt
auf den verschiedenen Ebenen mit LANCOM hatten,
war der starke Wille zum lösen von Problemen erkennbar und auch merkbar und wir kamen auch zu einer Lösung.

Was sich mir nicht erschließt, warum es dennoch
1,5 Jahre später zu solchen Merkwürdigkeiten wie diesem
konkreten Problem und dem interessanten Umgang damit kommt.

Erstaunlich ist auch das Getriebensein von LANCOM durch
ggf. merkwürdige, sinnlose, fragwürdige Anforderungen.

Ein anderes Beispiel als dieser Thread sind die WLC Tunnel.
Irgendwann war es mal erforderlich, das der WLC 32 WLC-Tunnel kann. Also wurde das eingebaut.
Nutzen kann man aber nur 8. Warum? Weil WLC-Tunnel an Bridge Groups gebunden werden müssen, sonst gibt es eine UDP Flut.
Und Bridge Groups gibt es nur 8.

Ich denke, LANCOM ist als Hersteller stark genug,
um wieder technisch Zeichen zusetzen.

Dazu gehört auch eine starke Community wie das Forum.

Und die Geräte sind ja gut und lange haltbar.

Diese Stärke auszuspielen, das muss LANCOM wieder lernen.

Da kann und muss die Community unterstützen.

Viele Grüße

ts

[Jirka]

Wenn du dir da im Vergleich die Seite von AVM anguckst, da siehst du eine gewisse Leidenschaft dahinter.

Lange nicht mehr angeschaut, habe es jetzt mal gemacht. Also bei LANCOM geht es bunter zu
Aber grundsätzlich gebe ich Dir Recht, wobei sich im Detail auch in der FRITZ!Box Unzulänglichkeiten finden. So ist unter der Rubrik Heimnetz der ein oder andere Port mit dem FRITZ!Box-Dienst Unbenannt bezeichnet.

Implizit hat das der Kunde sicher erwartet, das die Seite, die er da gefordert hat, auch exakte Daten liefert.

Es ist ein Fehler. Nicht schön, das habe ich auch geschrieben, aber es gibt sicher Schlimmeres. Der ursprüngliche Fehler existiert seit Jahren und niemand hat sich aufgeregt. Vielleicht gehe ich auch anders ran, weil ich seit Jahren weiß, dass es an der Stelle Probleme gibt. Aber das sind ja auch nicht die einzigen Stellen. Man sieht sowas ständig, siehe z. B. nachfolgender Screenshot, Ethernet-Ports werden als Verbunden grün angezeigt, obwohl sie gar nicht verbunden sind (es steckten nicht mal Stecker in 3 Ports). Normal. Könnte sein, dass das die ganze 10.50 so war, ich weiß es nicht, bin erst sehr spät eingestiegen, das Gerät hier heute Abend hatte die 10.50-RU10 von vor kurzem und das Problem ist immer noch da, ich denke das wird sich auch nicht mehr ändern. Der 1781VAW wird damit leben müssen und in Rente gehen, alle Bugs werden nie gefixt.
.

2023-03-15 19_03_47-kevins-air.intern - TeamViewer.png

.

Ein anderes Beispiel als dieser Thread sind die WLC Tunnel.
Irgendwann war es mal erforderlich, das der WLC 32 WLC-Tunnel kann. Also wurde das eingebaut.
Nutzen kann man aber nur 8. Warum? Weil WLC-Tunnel an Bridge Groups gebunden werden müssen, sonst gibt es eine UDP Flut.
Und Bridge Groups gibt es nur 8.

Wieso müssen WLC-Tunnel an Bridge-Gruppen gebunden werden? Die können ganz normal im WLC enden, fertig. Habe ich mehrfach so. Du betrachtest vermutlich nur den Fall, dass der WLC die Netze aus dem LAN eingespeist bekommt. Da müsstest Du aufgrund der in der Anzahl beschränkten Ethernet-Ports sowieso irgendwie auf VLAN erweitern und dann gehen Dir auch die Bridge-Gruppen nicht vorher aus.

[tstimper]

Implizit hat das der Kunde sicher erwartet, das die Seite, die er da gefordert hat, auch exakte Daten liefert.

Es ist ein Fehler. Nicht schön, das habe ich auch geschrieben, aber es gibt sicher Schlimmeres. Der ursprüngliche Fehler existiert seit Jahren und niemand hat sich aufgeregt. Vielleicht gehe ich auch anders ran, weil ich seit Jahren weiß, dass es an der Stelle Probleme gibt. Aber das sind ja auch nicht die einzigen Stellen. Man sieht sowas ständig, siehe z. B. nachfolgender Screenshot, Ethernet-Ports werden als Verbunden grün angezeigt, obwohl sie gar nicht verbunden sind (es steckten nicht mal Stecker in 3 Ports). Normal. Könnte sein, dass das die ganze 10.50 so war, ich weiß es nicht, bin erst sehr spät eingestiegen, das Gerät hier heute Abend hatte die 10.50-RU10 von vor kurzem und das Problem ist immer noch da, ich denke das wird sich auch nicht mehr ändern. Der 1781VAW wird damit leben müssen und in Rente gehen, alle Bugs werden nie gefixt.

Ob sich jemand aufregt, kann nicht Basis für die Einscheidung sein, ein Problem zu fixen.

Ein anderes Beispiel als dieser Thread sind die WLC Tunnel.
Irgendwann war es mal erforderlich, das der WLC 32 WLC-Tunnel kann. Also wurde das eingebaut.
Nutzen kann man aber nur 8. Warum? Weil WLC-Tunnel an Bridge Groups gebunden werden müssen, sonst gibt es eine UDP Flut.
Und Bridge Groups gibt es nur 8.

Wieso müssen WLC-Tunnel an Bridge-Gruppen gebunden werden? Die können ganz normal im WLC enden, fertig. Habe ich mehrfach so. Du betrachtest vermutlich nur den Fall, dass der WLC die Netze aus dem LAN eingespeist bekommt. Da müsstest Du aufgrund der in der Anzahl beschränkten Ethernet-Ports sowieso irgendwie auf VLAN erweitern und dann gehen Dir auch die Bridge-Gruppen nicht vorher aus.
[/quote]

Schau mal hier alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... ml#p108647

und auch hier

Code: Alles auswählen

https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=61147760

Zitate aus dem KB EIntrag:

Ab LCOS 10.32 wird die MAC-Adresse eines per WLC-Tunnel angebundenen WLAN-Teilnehmers nicht mehr nachgehalten, wenn der WLC-Tunnel dem IP-Netzwerk direkt zugeordnet ist. Dadurch müssen Antworten an diesen Teilnehmer an alle Access Points gesendet werden, die mit diesem WLC-Tunnel verbunden sind. Dies führt zu einer erhöhten CPU- und vor Allem zu einer stark erhöhten Netzwerk-Auslastung.

Das führt ab LCOS 10.32 zum Beispiel dazu, das UDP DNS Replies auf DNS Anfragen eines WLAn Clains an ALLE APs geschickt werden, da der WLC
sich nicht mehr merkt, mit welchem AP denn der Client verbunden ist. und Multicast DNS z.B. bringt mit der UDP Flut das ganze WLAN zum Zusammenbrechen.

Da die LAN-Bridge die MAC-Adressen der verbunden Geräte nachhält, kann der WLC-Tunnel einer Bridge-Gruppe zugewiesen werden, welche dann dem jeweiligen IP-Netzwerk zugeordnet wird. Dabei ist zu beachten, dass nur ein einzelner WLC-Tunnel in der Bridge-Gruppe enthalten sein darf.

Da es nur 8 Bridges im WLC gibt, heist das in Folge, das nur 8 WLC-Tunnel produktiv einsetzbar sind.

Lustiger Nebeneffekt.

Der WLC-30 kann 16 WLC-Tunnel konfiguriert haben, der WLC-1000 und der vRouter sogar 32 WLC-Tunnel.

Produktiv nutzen können alle drei aufgrund der konfigurierbaren 8 Bridge Groups nur 8 WLC-Tunnel.

Die 32 WLC-Tunnel Eigenschaft war wohl auch eine Projekt Forderung, das nur 8 WLC-Tunnel nutzbar sind, ist wohl erst später aufgefallen.

In einem Netzwerk, in dem es kein UDP Traffic sondern nur TCP Traffic gibt, sind ie weiteren WLC-Tunnel , dann gebunden an ein LAN Interface, nutzbar.

Das ist OffTopic bezogen auf den konkreten Fehler,den dieser Thread beschreibt.
Unseren Kunden, und und LANCOm hat das viele aufreibende Stunden gekostet, herauszufinden, was eigentlich die Ursache ist.

Code: Alles auswählen

Ab LCOS 10.32 wird die MAC-Adresse eines per WLC-Tunnel angebundenen WLAN-Teilnehmers nicht mehr nachgehalten, wenn der WLC-Tunnel dem IP-Netzwerk direkt zugeordnet ist

Das war schon dem Einen oder Anderen bei LANCOM bekannt, auf dem Schirm hatte es Einer ...
Und es Pandemie Hochzeit, also alle waren gestresst.

Wir müssen sowas halt proaktiv kommunizieren und die Daten, die uns die Systeme liefern, müssen auch stimmen.
Womit wir wieder beim ursprünglichen Thema the Threads sind.

Viele Grüße

ts

[plumpsack]

Nein, tun sie nicht, das ist ein Anzeigefehler.

Kommen da noch mehr "Anzeigefehler" ?

Siehe hierzu "Bananenprinzip" :
fragen-zur-lancom-systems-routern-und-g ... ml#p112175

[tstimper]

Vom Supportbhabe ich die 10.72.0174 für den 1793AV bekommen.

Da ist die Anzeige wieder korrekt.

Viele Grüße

ts

[plumpsack]

Der ursprüngliche Fehler existiert seit Jahren und niemand hat sich aufgeregt.

Doch, ich!

Nur das das Problem von (WEBservices-HTTPS) Port 443 auf (WEBservices-HTTPS) Port 1 verlagert wurde!

Und dieser Umstand ist in der Dienst-Liste, nach dem "Upgrade", nunmal ersichtlich!

Wenn man es nicht kann/will, dann sollte man es besser lassen!

[Dr.Einstein]

Man sieht sowas ständig, siehe z. B. nachfolgender Screenshot, Ethernet-Ports werden als Verbunden grün angezeigt, obwohl sie gar nicht verbunden sind (es steckten nicht mal Stecker in 3 Ports). Normal. Könnte sein, dass das die ganze 10.50 so war, ich weiß es nicht, bin erst sehr spät eingestiegen, das Gerät hier heute Abend hatte die 10.50-RU10 von vor kurzem und das Problem ist immer noch da, ich denke das wird sich auch nicht mehr ändern. Der 1781VAW wird damit leben müssen und in Rente gehen, alle Bugs werden nie gefixt.
.
2023-03-15 19_03_47-kevins-air.intern - TeamViewer.png

Das Problem wurde nun scheinbar erkannt und behoben (10.72RU5 / 10.80Rel).