Liegt an Dir:
kannst es anlassen um zu helfen falls wir noch was nachsehen wollen (wenn mir sonst langweilig ist, hab ich genug andere Hobbys ), ausmachen falls nicht..

Makki

Hallo,

braucht ihr das VPN noch oder kann ich es wieder abschalten?

Gruß
Werner

Ist nun wirklich OT und sollte in was neues aber sowas wie compression und/oder PFS würde ich mal weglassen, das ist schon Zufall wenn das zwischen zwei Ciscos mit unterschiedlichlichen IOS funktioniert
Aber richtig, es scheitert bereits die Phase 1; um die wirkliche Ursache im Debug zu sehen (von der FB hab ich wenig Ahnung aber vom Linux darunter) braucht man gewisse hellseherische Fähigkeiten..
Daher auch meine Rede: IPSec ist das technisch richtige, perfekt, alles super - aber auch perfekt un-beherrschbar für "Normale Menschen";
An so einer Meldung kann auch ich nach > 10J noch gut&gerne 2-3h sitzen, wenn keiner der beiden sagt das er halt z.B. statt identiy "hostname" gerne "address" hätte o.ä.

Makki

Jetzt wirds off topic:

Offensichtlich reicht mein Know-How aber nicht aus, es richtig einzustellen.

Alle Fritzboxen:
Cisco:
Die 7270 funktionieren, die 7170 nicht. Wenn ich am Cisco aes 256 gegen 3des tausche funktionieren die 7270 immer noch und die 7170 weiterhin nicht.
Genausowenig funktioniert die 7170 wenn ich phase1ss = "all/aes/sha"; oder "all/3des/sha" oder "alt/aes/sha", usw. einstelle bzw. phase2ss enstsprechend anpasse. Wobei meiner Meinung nach schon die Phase 1 scheitert und phase2ss noch gar nicht greift. Wenn ich mich recht erinnere hat es vor ein paar Monaten mit MD5 auch nicht funktioniert. Aber wie auch immer, davon geht die Welt jetzt auch nicht unter.

Werner

Falsches transform, IPSec hat sich seit 15/8J nicht geändert; Kann man natürlich auch mit neuer HW lösen statt es auf der alten richtig einzustellen

Makki

Nach dem Angebot von Stefan war mir nicht klar, dass du nochmal auf das WG willst. Ich habe das VPN wieder aktiviert. Bitte Info, wann es nicht mehr benötigt wird.

Zum Thema "auf Stand halten": Ich finde es toll, dass bei Euch Server noch nach 10 Jahren laufen. Bei uns in der Fa. hab ich da andere Erfahrungen gemacht. Da sind selbst bei hochwertigen Sun-Servern in kürzerer Zeit Bauteile ausgefallen und die Rechner mussten stillgelegt werden.

Im übrigen könnte der einen oder anderen Fritzbox ein Update auch nicht schaden (es muss ja nicht zwingend der Kernel sein). Ich habe letztes Jahr einen Lancom-Router gegen einen Cisco 1921 ausgetauscht, weil die Leistung für Kabel-Internet nicht ausreichend war. Der Lancom war mit drei Fritzboxen (7170 und 7270) per IPsec-VPN verbunden. Mit dem Cisco hat es nicht funktioniert: CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from X.X.X.X failed its sanity check or is malformed

Die Schlüssel waren auf allen Systemen richtig eingetragen. Nach einigen Wochen gab es ein Update für die 7270. Seitdem funktioniert das VPN. Nur die 7170 will nicht. Aber gut, das gehört hier nicht unbedingt hin.

Austausch/Einschicken ist in diesem Fall auch nicht angesagt -> Das ist nur die grub-config/menu.lst und nach aktuellem Stand auch nur auf den ersten Beta-Geräten..
Ich muss nur noch das Fragezeichen auflösen, warum das bei den anderen 50 nunmal partout nicht schieflaufen wollte
Wenn mir das Wartungs-VPN aufbleibt wird sich das auch auflösen lassen, wenn ich da vorher immer 3x fragen muss: schwierig.. ich will nur gerne den genauen Hergang finden, nicht nur das Problem "überbügeln"

Zum "auf Stand halten" habe ich aber eine zweischneidig abweichende Meinung:
0. Security is a process, not a product (Bruce Schneier)
-> Entscheidend ist, das das Gesamtsystem sauber ist, das kann niemand alleine (auch ich nicht!) auch nur Ansatzweise wissen/beurteilen; mit Hilfe von einer guten Debian-Basis traue ich mir das zu..
1. Never touch a running system.
Unsere stabilsten internen Server laufen deswegen seit 10J, weil sie keiner befummelt hat.
2. Der "alte" Kernel 2.6.32, der da läuft ist der vom aktuellen Debian stable (squeeze), also da guck ma jetzt mal auf die Dreambox, Fritzbox oder lieber nicht auf das DSL-Modem mit nem 10J alten 2.4er (um keine anwensenden zu nennen)
Nur weil wir da nen frischeren wegen einem konkreten, jedoch seltenen Problem - im August 2012 übrigens! - rausgezogen haben muss der noch nicht "State-of-the-Art" in jeglicher Update-Konstellation sein.

Frischer ist nicht zwangsweise besser.. Bei dem Kernel 3.5.1 ging es ganz konkret um genau eine etwas nebulöse Sache mit der NIC, die wir jedoch nie nachvollziehen konnten - und auch den 3.5.1 (wurde nur dummerweise nicht LTS) habe ich mir natürlich aus Debian (in dem Fall Ubuntu) genommen, ich bin nicht so irre mir anzumassen Kerneltreiber vorwärts oder backzuporten..


Will sagen: das Problem lässt sich mit vi in zwei Zeilen lösen, aber ich möchte die Ursache, damit ich es in zwei Zeilen im Package/PL lösen kann bevor noch jemand drüberstolpert..

Makki

Hallo Stefan,

also einschicken möchte ich mein WG nicht, da sonst bestimmte Komfortfunktionen der Heizung nicht mehr laufen. Ein Tausch alt gegen neu muss aber auch nicht sein, die Hardware ist ja in Ordnung.

Wäre es möglich, dass ihr eine neue CF-Karte entsprechend aufsetzt und schickt? Wechseln ist ja kein Problem. Die alte Karte kann ich dann als Backup für den Notfall verwenden. Die neue Karte zahle ich, und bei den Kosten für das Aufsetzen fände sich sicher auch eine Lösung.

Gruß
Werner

Der neue Kernel ist nur selten erforderlich. Nur bei einer kleinen Gruppe von Geräten hat sich damit die Stabilität wieder herstellen lassen.

Wir haben kein Image dass wir versenden könnten, da es noch individualisierte Prozesse wegen Keys usw. gibt.

Was ich Dir anbieten kann, ist, dass Du Dein Wiregate einschickst und wir Dir dieses komplett neu aufsetzen.

Alternativ, falls Du auf Dein Wiregate nicht mehrere Tage verzichten kannst, würden wir es - allerdings nur gegen Entgelt - vorab gegen ein neues tauschen.

lg

Stefan

Hallo,

erst mal Danke für die Analyse.

Grundsätzlich gibt es bei mir keine Probleme mit dem alten Kernel, die ein Update zwingend notwendig machen würden. Ich bin aber der Meinung, dass man Systeme auf einem aktuellen Stand halten sollte. Bei uns in der Fa. werden Systeme auch regelmäßig gewartet. Sei es, weil die Hardware getauscht werden muss, weil Bugs gefixt werden müssen, neue Features benötigt werden, oder einfach weil sonst der Herstellersupport ausläuft.

Sollte es sich bei meinem konkreten Fall tatsächlich um Folgen aus der "Beta-Version" meines Geräts handeln, stellt sich mir die Frage, ob man sich den Aufwand antut und Fehleranalyse betreibt, oder einfach ein aktuelles Image aufspielt, sofern man das Gerät nicht auf dem alten Stand lassen will.

Gruß
Werner

Ich hab jetzt lange gegrübelt, was ich anders mache.. Genau deswegen schaue ich mir das lieber ein paar Monate kontrolliert. händisch an..

Ich entfernte vorher immer (unterbewusste Reinigungs-Aktion, wenn man schon da ist) die ganz alten, nie benutzten Kernel von den ganz alten, ersten Maschinen:

Da kommt evtl. - je nach Installationsreihenfolge - was anderes in der /boot/grub/menu.lst bei raus als gewollt.. Muss ich in Ruhe nochmal mit PL0 bis PL34 im Werdegang nachvollziehen, ist ja glaube ich auch noch ein Beta-Gerät aus den ersten Tagen, da war nicht alles 100% rund, deswegen ja auch das "lieber selbst&manuell"

Anyway -> Ich hab den Kernel 3.5.1 jetzt nicht installiert, weil ich könnte die menu.lst nun zwar auf die schnelle so befummeln, das er default bootet aber Lösung ist das für den nächsten auch keine.

Ausgangsfrage: gibt es irgendeinen Indikator/Problem, der zu dem neuen Kernel führt? Es gibt nämlich bei 98% keinen handfesten Grund, der ist weder höher/schöner/weiter/schneller noch in sonstwas besser..
Es gibt nur wohl ein paar wenige, seltene Konstellationen, meist stecken da aber 100 andere Sachen dran, wo es hilft.
Also kein Grund zur Update-Panik, mein Credo ist "never touch a running system" ausser ich hab Probleme, erhoffe mir aus dem Changelog was besseres; das Changelog von 2.6.32 -> 3.5.1 ist allerdings mehr als 5x Abendfüllend

Makki

P.S.: In Anbetracht meiner kommenden Abwesenheit ist das bewusst etwas ausführlich.. Es ist nunmal kritisch aber meist nicht notwendig, aktuelle Geräte werden seit 2012-12 damit eh ausgeliefert..

VPN ist aktiv. Vor Installation war PL34 installiert, so wie es auch von dir beschrieben war.

Also resetten wir das Gespräch doch mal..

Irgendwas ist da wohl, an dem Bootloader (grub) wo's bei dir wohl hängt, wurde allerdings seit dem allerersten WireGate kein einziges Bit geändert..

Vorraussetzung für "jeden der hier schreit" ist aber auch ein permanent aktives Wartungs-VPN; wollte heute Mittag noch was nachsehen, ist nicht an, das kostet unnötig Zeit..

Grundsätzlich aber bitte: wenn man meint ein Kernel-Update machen zu wollen (es hat nen Grund warum ich das lieber manuell - bei Bedarf! - mache), dann brauchen wir mehr Infos, Details, Screenshot/Foto, PL, wo genau was usw.
Nen Verdacht hab ich aber blind: war *vor* dem Kerel-Update >=PL32 installiert?

Makki

Wenn dir mein Ton als fordern vorkommt, dann tut mir das leid, ich kann es aber nicht rückgängig machen. Das Angebot "jeder bekommt es" hätte ich schon als Grundlage gesehen. Wenn du aber keine Lust hast respektiere ich das.

Und genau das ist es, was mich nervt. Jetzt wird mir schon wieder unterstellt, dass es mein Fehler war, dass das Update nicht richtig funktioniert hat. Ich hab nicht was-weiss-ich-sonstnoch gemacht, sondern genau das, was ich bisher beschrieben hatte. Ich kann aus technischer Sicht darin keinen Fehler finden.

Und was bedeutet das jetzt?

Dieser fordernde Ton ist nicht unbedingt hilfreich, denn es gibt dafür keine Grundlage. Es wäre möglich, wenn ich Lust hätte. Warum sollte ich Lust haben? Welches Ereignis/Problem sollte mich dazu bewegen?

Bei den letzten 100++ gings, manuell geprüft, die haben sich aber auch nicht per IPv6 zuletzt per SSH angemeldet und was-weiss-ich-sonstnoch gemacht..



Makki

PS: aber das sch* v6 ist echt wieder aktiv, ist mir entgangen weil es als Problem#1 auch auf sämtlichen anderen System abgeschaltet ist.. Das hat aber nichts mit dem booten zu tun..