Author Topic: Neue Netscreen Firmware 5.3.0 kann den Admin aussperren!  (Read 9630 times)

Offline tankwart

  • Sr. Member
  • ****
  • Posts: 165
  • Karma: 0
Der Update der Juniper / Netscreen Firewall auf die neue Firmware-Version 5.3.0r1.0 ist schon insofern etwas besonderes, als beim Update über die Web-GUI erstmals ein Zwischen-Image eingespielt werden muss, damit man die Connectivity nicht verliert. Die Minderheit der Read-me-lesenden Admins ist also klar im Vorteil :-)

Ganz dumm dran ist aber, wer das neu hinzugekommenden Feld Maximum Ingess Bandwidth von 0 auf den vermeintlich korrekten Wert hochsetzt. Nach dem Klick auf "apply" kann es vorkommen, dass die Firewall sich für mehrere Stunden (!) verabschiedet.

Anschließend scheint zunächst alles wieder in Ordnung zu sein, VPN-Tunnel und Policies sind wieder aktiv, aber sowohl der Zugriff von innen auf das untrusted Interface, als auch der Zugang von außen auf das trusted interface funktionieren nicht mehr, und zwar sowohl für ping als auch sämtliche Management-Ports.

Ein packet-debug zeigt die Ursache: packet dropped by ingress vif policer

Fazit: Hände weg von der ingress bandwith - auf 0 stehen lassen!
« Last Edit: Monday, 12.12.2005 21:54 by tankwart »