Ankündigung

Einklappen
Keine Ankündigung bisher.

Booten benötigt manuelle Auswahl nach DIY Kernel Update

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #16
    Hallo,

    erst mal Danke für die Analyse.

    Grundsätzlich gibt es bei mir keine Probleme mit dem alten Kernel, die ein Update zwingend notwendig machen würden. Ich bin aber der Meinung, dass man Systeme auf einem aktuellen Stand halten sollte. Bei uns in der Fa. werden Systeme auch regelmäßig gewartet. Sei es, weil die Hardware getauscht werden muss, weil Bugs gefixt werden müssen, neue Features benötigt werden, oder einfach weil sonst der Herstellersupport ausläuft.

    Sollte es sich bei meinem konkreten Fall tatsächlich um Folgen aus der "Beta-Version" meines Geräts handeln, stellt sich mir die Frage, ob man sich den Aufwand antut und Fehleranalyse betreibt, oder einfach ein aktuelles Image aufspielt, sofern man das Gerät nicht auf dem alten Stand lassen will.

    Gruß
    Werner

    Kommentar

      #17
      Der neue Kernel ist nur selten erforderlich. Nur bei einer kleinen Gruppe von Geräten hat sich damit die Stabilität wieder herstellen lassen.

      Zitat von cava Beitrag anzeigen
      ...oder einfach ein aktuelles Image aufspielt, sofern man das Gerät nicht auf dem alten Stand lassen will.
      Wir haben kein Image dass wir versenden könnten, da es noch individualisierte Prozesse wegen Keys usw. gibt.

      Was ich Dir anbieten kann, ist, dass Du Dein Wiregate einschickst und wir Dir dieses komplett neu aufsetzen.

      Alternativ, falls Du auf Dein Wiregate nicht mehrere Tage verzichten kannst, würden wir es - allerdings nur gegen Entgelt - vorab gegen ein neues tauschen.

      lg

      Stefan

      Kommentar

        #18
        Hallo Stefan,

        also einschicken möchte ich mein WG nicht, da sonst bestimmte Komfortfunktionen der Heizung nicht mehr laufen. Ein Tausch alt gegen neu muss aber auch nicht sein, die Hardware ist ja in Ordnung.

        Wäre es möglich, dass ihr eine neue CF-Karte entsprechend aufsetzt und schickt? Wechseln ist ja kein Problem. Die alte Karte kann ich dann als Backup für den Notfall verwenden. Die neue Karte zahle ich, und bei den Kosten für das Aufsetzen fände sich sicher auch eine Lösung.

        Gruß
        Werner

        Kommentar

          #19
          Austausch/Einschicken ist in diesem Fall auch nicht angesagt -> Das ist nur die grub-config/menu.lst und nach aktuellem Stand auch nur auf den ersten Beta-Geräten..
          Ich muss nur noch das Fragezeichen auflösen, warum das bei den anderen 50 nunmal partout nicht schieflaufen wollte
          Wenn mir das Wartungs-VPN aufbleibt wird sich das auch auflösen lassen, wenn ich da vorher immer 3x fragen muss: schwierig.. ich will nur gerne den genauen Hergang finden, nicht nur das Problem "überbügeln"

          Zum "auf Stand halten" habe ich aber eine zweischneidig abweichende Meinung:
          0. Security is a process, not a product (Bruce Schneier)
          -> Entscheidend ist, das das Gesamtsystem sauber ist, das kann niemand alleine (auch ich nicht!) auch nur Ansatzweise wissen/beurteilen; mit Hilfe von einer guten Debian-Basis traue ich mir das zu..
          1. Never touch a running system.
          Unsere stabilsten internen Server laufen deswegen seit 10J, weil sie keiner befummelt hat.
          2. Der "alte" Kernel 2.6.32, der da läuft ist der vom aktuellen Debian stable (squeeze), also da guck ma jetzt mal auf die Dreambox, Fritzbox oder lieber nicht auf das DSL-Modem mit nem 10J alten 2.4er (um keine anwensenden zu nennen)
          Nur weil wir da nen frischeren wegen einem konkreten, jedoch seltenen Problem - im August 2012 übrigens! - rausgezogen haben muss der noch nicht "State-of-the-Art" in jeglicher Update-Konstellation sein.

          Frischer ist nicht zwangsweise besser.. Bei dem Kernel 3.5.1 ging es ganz konkret um genau eine etwas nebulöse Sache mit der NIC, die wir jedoch nie nachvollziehen konnten - und auch den 3.5.1 (wurde nur dummerweise nicht LTS) habe ich mir natürlich aus Debian (in dem Fall Ubuntu) genommen, ich bin nicht so irre mir anzumassen Kerneltreiber vorwärts oder backzuporten..


          Will sagen: das Problem lässt sich mit vi in zwei Zeilen lösen, aber ich möchte die Ursache, damit ich es in zwei Zeilen im Package/PL lösen kann bevor noch jemand drüberstolpert..

          Makki
          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
          -> Bitte KEINE PNs!

          Kommentar

            #20
            Nach dem Angebot von Stefan war mir nicht klar, dass du nochmal auf das WG willst. Ich habe das VPN wieder aktiviert. Bitte Info, wann es nicht mehr benötigt wird.

            Zum Thema "auf Stand halten": Ich finde es toll, dass bei Euch Server noch nach 10 Jahren laufen. Bei uns in der Fa. hab ich da andere Erfahrungen gemacht. Da sind selbst bei hochwertigen Sun-Servern in kürzerer Zeit Bauteile ausgefallen und die Rechner mussten stillgelegt werden.

            Im übrigen könnte der einen oder anderen Fritzbox ein Update auch nicht schaden (es muss ja nicht zwingend der Kernel sein). Ich habe letztes Jahr einen Lancom-Router gegen einen Cisco 1921 ausgetauscht, weil die Leistung für Kabel-Internet nicht ausreichend war. Der Lancom war mit drei Fritzboxen (7170 und 7270) per IPsec-VPN verbunden. Mit dem Cisco hat es nicht funktioniert: CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from X.X.X.X failed its sanity check or is malformed

            Die Schlüssel waren auf allen Systemen richtig eingetragen. Nach einigen Wochen gab es ein Update für die 7270. Seitdem funktioniert das VPN. Nur die 7170 will nicht. Aber gut, das gehört hier nicht unbedingt hin.

            Kommentar

              #21
              Zitat von cava Beitrag anzeigen
              CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from X.X.X.X failed its sanity check or is malformed
              Falsches transform, IPSec hat sich seit 15/8J nicht geändert; Kann man natürlich auch mit neuer HW lösen statt es auf der alten richtig einzustellen

              Makki
              EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
              -> Bitte KEINE PNs!

              Kommentar

                #22
                Jetzt wirds off topic:

                Zitat von makki Beitrag anzeigen
                Kann man natürlich auch mit neuer HW lösen statt es auf der alten richtig einzustellen
                Offensichtlich reicht mein Know-How aber nicht aus, es richtig einzustellen.

                Alle Fritzboxen:
                Code:
                phase1ss = "all/all/all";
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                Cisco:
                Code:
                crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2

crypto ipsec transform-set vpn esp-aes 256 esp-sha-hmac
                Die 7270 funktionieren, die 7170 nicht. Wenn ich am Cisco aes 256 gegen 3des tausche funktionieren die 7270 immer noch und die 7170 weiterhin nicht.
                Genausowenig funktioniert die 7170 wenn ich phase1ss = "all/aes/sha"; oder "all/3des/sha" oder "alt/aes/sha", usw. einstelle bzw. phase2ss enstsprechend anpasse. Wobei meiner Meinung nach schon die Phase 1 scheitert und phase2ss noch gar nicht greift. Wenn ich mich recht erinnere hat es vor ein paar Monaten mit MD5 auch nicht funktioniert. Aber wie auch immer, davon geht die Welt jetzt auch nicht unter.

                Werner

                Kommentar

                  #23
                  Ist nun wirklich OT und sollte in was neues aber sowas wie compression und/oder PFS würde ich mal weglassen, das ist schon Zufall wenn das zwischen zwei Ciscos mit unterschiedlichlichen IOS funktioniert
                  Aber richtig, es scheitert bereits die Phase 1; um die wirkliche Ursache im Debug zu sehen (von der FB hab ich wenig Ahnung aber vom Linux darunter) braucht man gewisse hellseherische Fähigkeiten..
                  Daher auch meine Rede: IPSec ist das technisch richtige, perfekt, alles super - aber auch perfekt un-beherrschbar für "Normale Menschen";
                  An so einer Meldung kann auch ich nach > 10J noch gut&gerne 2-3h sitzen, wenn keiner der beiden sagt das er halt z.B. statt identiy "hostname" gerne "address" hätte o.ä.

                  Makki
                  EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                  -> Bitte KEINE PNs!

                  Kommentar

                    #24
                    Hallo,

                    braucht ihr das VPN noch oder kann ich es wieder abschalten?

                    Gruß
                    Werner

                    Kommentar

                      #25
                      Liegt an Dir:
                      kannst es anlassen um zu helfen falls wir noch was nachsehen wollen (wenn mir sonst langweilig ist, hab ich genug andere Hobbys ), ausmachen falls nicht..

                      Makki
                      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
                      -> Bitte KEINE PNs!

                      Kommentar

                      Vorherige 1 2 template Weiter
                      Lädt...
                      X

                      Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                      Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                      Ich stimme zu