Lancom – ugg.li Schnelle Hilfe für schnelle Admins

Lancom Accesspoints (LW-500) stürzen ständig ab (Denial-of-Service)

Veröffentlicht am Mai 28, 2025 von weed — Keine Kommentare ↓

Problem

LW-500 Accesspoints von Lancom stürzen im laufenden Betrieb sporadisch und scheinbar unvorhersehbar ab. Die Geräte sind dann nicht mehr erreichbar und müssen manuell vom Strom getrennt werden. Nach einem Reboot sind die Geräte wieder da – als wäre nie etwas gewesen. Das passiert unabhängig von VLANs, Management (Cloud/WLC) oder Switch – sogar unabhängig von PoE oder Netzteil.

Der Fehler tritt nicht ständig auf, manchmal funktionieren die Accesspoint auch wochenlang fehlerfrei. Dann gibt es aber auch Tage mit vielen Abstürzen hintereinander.

Lösung

Ursache: Wenn ein LANCOM LW-500 IP-Pakete mit 4 fehlerhaften Bytes im Header empfängt, führt das zum sofortigen Absturz. Sendet man das Paket an den Broadcast (auch WLAN ist betroffen), stürzen alle Geräte im Netzwerk ab. Ein DOS-Angriff ohne weitere Vorbereitung. Solche Pakete stammen oft von alter Hardware, Überwachungstechnik, Flurscannern, WLAN-Clients oder MDE-Geräten und sollten eigentlich verworfen werden.

Zur Fehlerbehebung gibt es (siehe ReleaseNotes) unter Setup/LAN ab Firmware 5.36.0154 RU4 die Option „Hardware-Flow-Dispatching“. Standardmäßig ist die Option, irritierenderweise, eingeschaltet („yes“).

Die Option ist bisher nicht per Web- oder LANconfig erreichbar.

Man verbinde sich via SSH zu jedem Gerät einzeln und gebe ein:

set Setup/LAN/Hardware-Flow-Dispatching No
flash yes

Und schon sind die mysteriösen Abstürze behoben. Die Geheimniskrämerei hat bei Lancom zwar lange Tradition, aber in so einem Fall offensichtlicher Sicherheits- und Stabilitätsprobleme erscheint das gewählte Vorgehen schon etwas ungewöhnlich …

Lancom reverse DNS via DNS-Weiterleitungen einrichten

Veröffentlicht am August 29, 2023 von weed — Keine Kommentare ↓

Eine DNS-Weiterleitung für bestimmte Zonen ist in Lancom-Geräten schnell eingerichtet und wird naturgemäß für lokale (interne) AD-Zonen genutzt. Leider übersieht man als schneller Admin gerne, das eine Weiterleitung für *.EXAMPLE.COM nicht die reverse Zone für die Hosts beinhaltet.

Dann dauern reverse Auflösungen sehr lange, funktionieren nicht und sorgen für längere Wartezeiten.

Lösung

Damit die Rückwärts-Adressauflösung ebenfalls funktioniert, muss man die reversen Adresszonen ebenfalls hinzufügen. Natürlich alle einzeln, denn eine Wildcard endet an einem Punkt.

Das geht unter IPv4 > DNS > Weiterleitungen > … bearbeiten

Beispiele für private 192.168. Netze:

*.2.168.192.in-addr.arpa     # Für die Zone 192.168.2.*
*.42.168.192.in-addr.arpa     # Für die Zone 192.168.42.*

Unerreichbaren Lancom Accesspoint/Router via ll2mdetect und ll2mexec konfigurieren oder zurücksetzen

Veröffentlicht am November 22, 2019 von weed — 1 Kommentar ↓

Problem

Ein Accesspoint ist wegen einer ~~verpfuschten~~ fehlerhaften Konfiguration nicht mehr erreichbar. Manchmal soll das ja mit der unbedachten Verwendung des VLAN-Moduls zu tun haben, dass einem Cisco- oder HPE erfahrenen Admin zugegebenermaßen nicht immer ganz einleuchtend erscheinen mag.

Lösung

Lancom hat glücklicherweise ein Backdoor-Protokoll zur Konsolenkonfiguration eingebaut. Böse Zungen behaupten, das sei exklusiv zur VLAN-Konfiguration geschehen, aber das ist bestimmt nur ein Gerücht.

Wichtig: Die Lancom LL2M-Erfindung ist KEINE Gerätebackdoor. Man muss immernoch passende Anmeldedaten haben; das ist nur ein Protokoll mit dem man via Layer2 (in der Regel Ethernet) auch ohne gültige IP-Konfiguration, korrekte VLANs oder bei zerstörten WLAN-Antennen auf die Gerätekonfiguration zugreifen kann.

Schritt 1: Gerät(e) finden, LL2M testen

„ll2mdetect“ listet alle via Layer2 erreichbarn Geräte auf:

> ll2mdetect
   Address 00:a0:de:ad:be:ef on Interface LAN-1:
     Name WICHTIGERAP28
     Type LANCOM IAP-822
     Serial Number 4123456789123456
     MAC-Address 00:a0:de:ad:be:ef
     HW-Release H
     Firmware-Version 11.82.0093 / 31.10.2021
   Address 00:a0:de:ad:be:eb on Interface LAN-1:
     Name WICHTIGERAP29
     Type LANCOM IAP-822
     Serial Number 4123456789012345
     MAC-Address 00:a0:de:ad:be:eb
     HW-Release H
     Firmware-Version 13.32.0066 / 31.10.2022

Schritt 2: LL2M Verbindung via ll2mexec herstellen

LL2M stellt eine echte interaktive Shell zur Verfügung. Die Verbindung ist sogar (symetrisch) verschlüsselt (mit dem Gerätepasswort) und für solche belange absolut. Sollten die Kennwörter des aktuellen Gerätes von dem die Verbindung ausgeht und des Zielgeräts nicht übereinstimmen, kann man mittels „:“ ein Kennwort in den String einfügen (name:kennwort@mac)

> ll2mexec -i Lan-1 root@00a0deadbeef

Beziehungsweise man kann auch ein anderes Kennwort verwenden:

> ll2mexec -i Lan-1 root:SUPERgeheim123@00a0deadbeef

Schritt 3: Befehle via ll2mexec ausführen

Man landet auf der Konsole des Zielgerätes und kann hier sofort loskonfigurieren. Der Erfahrung zeigt das folgende Kommandos hilfreich sein können. Mit ‚cd‘ wechselt man den Konfigurationskontext, ‚ls‘ zeigt den inhalt und mit ’set‘ werden Werte gesetzt.

LL2M: VLAN-ID eines IP-Netzwerkes ändern

> cd Setup/TCP-IP/Network-list/INTRANET

> set VLAN-ID 1337
   set ok:
   VLAN-ID  VALUE:   0 
>

LL2M: VLAN-Modul deaktivieren

> cd Setup/VLAN

> set operating no

LL2M: Gerät resetten (Auf Werkszustand zurücksetzen und booten)

>  do /other/reset

LANCOM Router und WLCs SYSLOG leeren/löschen

Veröffentlicht am Mai 14, 2019 von weed — Keine Kommentare ↓

Dies ist wieder ein Fall von „Notiz an mich selbst“. Nachdem ich das jetzt 1290843950 mal gegoogelt habe, die die Abkürzung zu „Syslos Protokoll eines Lancom-Router, Accesspoints oder Switches leeren“ 😉 An der SSH oder Telnet-Shell hilft:

do Status/TCP-IP/Syslog/Delete-Values

Syslog-Einträge werden beim LANCOM im RAM und im Flash-Speicher (bootpersistentes Backup) abgelegt. Der Befehl löscht beides, einzeln ist das (meines Wissens nach) nich möglich.

Lancom All-IP Router registriert sich nicht an Telekom SIP Trunk sip-trunk.telekom.de

Veröffentlicht am November 7, 2017 von jon1games — 1 Kommentar ↓

Problem

Nach der Umstellung auf einen IP-basierten Anlagenanschluss der Telekom, kann es vorkommen das sich der bisherige LANCOM All-IP Router nicht an der Domäne sip-trunk.telekom.de anmelden kann.
Im LANmonitor meldet die Leitung u.a. IP-Adresse der Gegenstelle: transport not ready.

Lösung

Nach der Ausführung des LANCOM Wizards muss die Signalisierungs-Verschlüsselung für die SIP-Leitung manuell auf „Keine (TCP)“ gesetzt werden.
Die Option befindet sich unter Voice Call Manager -> Leitungen -> SIP-Leitungen -> betroffene Leitung