[Gelöst] V11.5.2 - FALLBACK funktioniert nicht nach UTM-Neustart

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

[Gelöst] V11.5.2 - FALLBACK funktioniert nicht nach UTM-Neustart

Beitrag von Franz »

Bei einem Kunden ist momentan der Internetzugang über Kabel Deutschland ausgefallen. Das Kabelmodem ist an eth0 angeschlossen. Die IP-Adresse und das Gateway bezieht eth0 per DHCP.

Als Fallback dient ein schwacher ADSL-Internetzugang der Telekom (ppp0 über ADSL-Modem an eth2). Auch hier werden IP-Adresse und Gateway per DHCP  bezogen.

Fallback wurde wie in der Wiki beschrieben eingerichtet und funktionierte auf Anhieb. Sogar die IPSec-Tunnel (SPDNS und ID/Auth über Zertifikate in Phase 1) liefen problemlos über die Fallback-Internetverbindung.

Das änderte sich nach einem Neustart der UTM (bei weiterhin gestörter Internetverbindung an eth0). Das Gerät war bis auf eine Ausnahme (SSL-VPN) nicht mehr aus dem Internet erreichbar. Per SSL-VPN, das ich eigentlich nur für Fernwartungszwecke benutze, konnte ich auf die Geräte im LAN zugreifen und mich so von einem Server im LAN am Web-Interface der UTM anmelden. Obwohl die Fallbackverbindung hergestellt war, konnte man aus dem lokalen Netz nicht aufs Internet zugreifen und die IPSec-Tunnel wurden nicht aufgebaut.

Das änderte sich unmittelbar nachdem ich unter "Firewall", "Portfilter" auf "Regeln aktualisieren" klickte. Sofort war Internetzugriff aus dem LAN wieder möglich, das Admin-Web-Interface war wieder von außen erreichbar und die IPSec-Tunnel bauten sich auf.

Das Verhalten ist reproduzierbar: Nach jedem Neustart bei ausgefallener Haupt-Internetverbindung muss man erst die Regeln aktualisieren. Das sollte doch eigentlich automatisch geschehen. Wenn im laufenden Betrieb der Internetzgang ausfällt, funktioniert die Umschaltung auf Fallback einwandfrei.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo!

Ich hab die Sache bei uns im Büro mit einem Black Dwarf nachgestellt.

Das oben geschilderte Problem tritt immer dann auf, wenn an eth0 (dem primären Internetzugang) beim Neustart ein Netzwerkgerät (Modem, Router, Switch etc.) angeschlossen ist. Im vorliegenden Fall beim Kunden ist es das Kabelmodem. Sobald in dem Zustand das Netzwerkkabel an eth0 entfernt wird, erfolgt unmittelbar die Umschaltung aufs Fallback. Steckt man das Kabel anschließend wieder ein, hat das bis zum nächsten Neustart keine störenden Auswirkungen.

Die Sache scheint also ein eindeutig reproduzierbarer Bug zu sein.

Schöne Grüße

Franz

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Der Fehler ist auch noch in der V11.5.3 enthalten.

Gruß

Franz

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Auch mit der UTM V11.5.4 ist der Fehler leider weiterhin vorhanden. Beispielsweise ist das Admin-Webinterface erst nach dem "Regeln aktualisieren" aus dem Internet erreichbar, wenn das Gerät zuvor unter den oben beschriebenen Bedingungen neu gestartet wurde.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

In der UTM V11.5.5 ist das Problem weiterhin vorhanden.

Man sollte also das UTM nicht aus der Ferne neu starten, solange noch Fallback-Betrieb aktiv ist.

Schade, denn eigentlich ist "Fallback" ein recht sinnvolles Feature, aber es müsste zuverlässig funktionieren.

Christian Beyer
Securepoint
Beiträge: 170
Registriert: Mo 17.11.2008, 21:38
Kontaktdaten:

Beitrag von Christian Beyer »

Hallo Franz,

leider scheint der Thread im Forum untergegangen zu sein.
Wir würden uns gerne den Aufbau anschauen. Ein Kollege wird sich bei Ihnen melden.

Beste Grüße

Christian Beyer
Securepoint
Beiträge: 170
Registriert: Mo 17.11.2008, 21:38
Kontaktdaten:

Beitrag von Christian Beyer »

Hallo Franz,

mit der bald erscheinenden 11.6 haben wir einige Optimierungen im Bereich Fallback vorgenommen.
Die Problematik sollte nachdem Update nicht mehr bestehen.

Beste Grüße

Antworten