Bei einem Kunden ist momentan der Internetzugang über Kabel Deutschland ausgefallen. Das Kabelmodem ist an eth0 angeschlossen. Die IP-Adresse und das Gateway bezieht eth0 per DHCP.
Als Fallback dient ein schwacher ADSL-Internetzugang der Telekom (ppp0 über ADSL-Modem an eth2). Auch hier werden IP-Adresse und Gateway per DHCP bezogen.
Fallback wurde wie in der Wiki beschrieben eingerichtet und funktionierte auf Anhieb. Sogar die IPSec-Tunnel (SPDNS und ID/Auth über Zertifikate in Phase 1) liefen problemlos über die Fallback-Internetverbindung.
Das änderte sich nach einem Neustart der UTM (bei weiterhin gestörter Internetverbindung an eth0). Das Gerät war bis auf eine Ausnahme (SSL-VPN) nicht mehr aus dem Internet erreichbar. Per SSL-VPN, das ich eigentlich nur für Fernwartungszwecke benutze, konnte ich auf die Geräte im LAN zugreifen und mich so von einem Server im LAN am Web-Interface der UTM anmelden. Obwohl die Fallbackverbindung hergestellt war, konnte man aus dem lokalen Netz nicht aufs Internet zugreifen und die IPSec-Tunnel wurden nicht aufgebaut.
Das änderte sich unmittelbar nachdem ich unter "Firewall", "Portfilter" auf "Regeln aktualisieren" klickte. Sofort war Internetzugriff aus dem LAN wieder möglich, das Admin-Web-Interface war wieder von außen erreichbar und die IPSec-Tunnel bauten sich auf.
Das Verhalten ist reproduzierbar: Nach jedem Neustart bei ausgefallener Haupt-Internetverbindung muss man erst die Regeln aktualisieren. Das sollte doch eigentlich automatisch geschehen. Wenn im laufenden Betrieb der Internetzgang ausfällt, funktioniert die Umschaltung auf Fallback einwandfrei.
[Gelöst] V11.5.2 - FALLBACK funktioniert nicht nach UTM-Neustart
Moderator: Securepoint
Hallo!
Ich hab die Sache bei uns im Büro mit einem Black Dwarf nachgestellt.
Das oben geschilderte Problem tritt immer dann auf, wenn an eth0 (dem primären Internetzugang) beim Neustart ein Netzwerkgerät (Modem, Router, Switch etc.) angeschlossen ist. Im vorliegenden Fall beim Kunden ist es das Kabelmodem. Sobald in dem Zustand das Netzwerkkabel an eth0 entfernt wird, erfolgt unmittelbar die Umschaltung aufs Fallback. Steckt man das Kabel anschließend wieder ein, hat das bis zum nächsten Neustart keine störenden Auswirkungen.
Die Sache scheint also ein eindeutig reproduzierbarer Bug zu sein.
Schöne Grüße
Franz
Ich hab die Sache bei uns im Büro mit einem Black Dwarf nachgestellt.
Das oben geschilderte Problem tritt immer dann auf, wenn an eth0 (dem primären Internetzugang) beim Neustart ein Netzwerkgerät (Modem, Router, Switch etc.) angeschlossen ist. Im vorliegenden Fall beim Kunden ist es das Kabelmodem. Sobald in dem Zustand das Netzwerkkabel an eth0 entfernt wird, erfolgt unmittelbar die Umschaltung aufs Fallback. Steckt man das Kabel anschließend wieder ein, hat das bis zum nächsten Neustart keine störenden Auswirkungen.
Die Sache scheint also ein eindeutig reproduzierbarer Bug zu sein.
Schöne Grüße
Franz
Der Fehler ist auch noch in der V11.5.3 enthalten.
Gruß
Franz
Gruß
Franz
Auch mit der UTM V11.5.4 ist der Fehler leider weiterhin vorhanden. Beispielsweise ist das Admin-Webinterface erst nach dem "Regeln aktualisieren" aus dem Internet erreichbar, wenn das Gerät zuvor unter den oben beschriebenen Bedingungen neu gestartet wurde.
In der UTM V11.5.5 ist das Problem weiterhin vorhanden.
Man sollte also das UTM nicht aus der Ferne neu starten, solange noch Fallback-Betrieb aktiv ist.
Schade, denn eigentlich ist "Fallback" ein recht sinnvolles Feature, aber es müsste zuverlässig funktionieren.
Man sollte also das UTM nicht aus der Ferne neu starten, solange noch Fallback-Betrieb aktiv ist.
Schade, denn eigentlich ist "Fallback" ein recht sinnvolles Feature, aber es müsste zuverlässig funktionieren.
-
- Securepoint
- Beiträge: 170
- Registriert: Mo 17.11.2008, 21:38
- Kontaktdaten:
Hallo Franz,
leider scheint der Thread im Forum untergegangen zu sein.
Wir würden uns gerne den Aufbau anschauen. Ein Kollege wird sich bei Ihnen melden.
Beste Grüße
leider scheint der Thread im Forum untergegangen zu sein.
Wir würden uns gerne den Aufbau anschauen. Ein Kollege wird sich bei Ihnen melden.
Beste Grüße
-
- Securepoint
- Beiträge: 170
- Registriert: Mo 17.11.2008, 21:38
- Kontaktdaten:
Hallo Franz,
mit der bald erscheinenden 11.6 haben wir einige Optimierungen im Bereich Fallback vorgenommen.
Die Problematik sollte nachdem Update nicht mehr bestehen.
Beste Grüße
mit der bald erscheinenden 11.6 haben wir einige Optimierungen im Bereich Fallback vorgenommen.
Die Problematik sollte nachdem Update nicht mehr bestehen.
Beste Grüße