Re: GUI wird nicht angezeigt IP Adresse antwortet aber

---

@julian-w  schrieb:

Schade, dass Netgear nicht in der Lage war, den Workaround selbst zu erwähnen.

---

...oder selbst zu finden.  😛

@Alexxx

Könntest Du bitte etwas präziser sein, was Du mit "könnte was mit MTU-Wert zu tun haben" meinst? Wenn ich mir auf meinem Windows system mit "Netsh interface ipv4 show interfaces" die MTU meiner Adaper ansehen nutzen die alle 1500. Auch meine OpenVPN Verbindung hat eine MTU von 1500. Dennoch kann ich auf keinen meiner beiden GS108Ev3 auf die Weboberfläche durch das VPN zugreifen. Bei meinen beiden GS116Ev2 funktioniert es noch bei dem Swwitch, der die altere Firmware (2.6.0.43) installiert hat. Nach einem Update auf die derzeit aktuelle Version 2.6.0.48 klappt der Zugriff durch das VPN auch nicht mehr (Fehler: Verbindung fehlgeschlagen). Anpingen kann ich sie alle und auch die DNS Auflösung ist zuverlässig.

Von einem Rechner im lokalen Netz vor Ort hingegen kann ich auf alle Switche gleichermaßen zugreifen....

Ich wüsste nicht, welche MTU ich anpassen sollte?

Deine OpenVPN Verbindung mag auf eine MTU von 1500 eingestellt sein, wird diese aber sicher nicht haben (da dann die komplette Strecke Jumbo Frames untersützen müsste, was übers Internet sicherlich nicht der Fall ist). Wenn die MTU zu hoch eingestellt ist, werden die Pakete trotzdem fragmentiert. Eventuell wird vorher noch eine Path MTU Discovery gemacht und der voreingestellte MTU Wert überschrieben.

Wenn dein normaler Adapter eine MTU von 1500 hat (über den OpenVPN aufs Internet zugreift) und OpenVPN eine MTU von 1500 haben soll, ist dies schon schlicht unmöglich, da die OpenVPN-Header platz benötigen.

Ich kann bestätigen, dass im lokalen Netzwerk unter Windows eine Änderung der MTU von 1492 (DSL mit PPPoE) auf 1500 abhilfe brachte. Da die Switches scheinbar wegen eines Firmware Bugs nur mit der MTU 1500 über http funktionieren, ist ein Zugriff über VPN aktuell unmöglich (da über das Internet in einem VPN niemals eine MTU von 1500 erreicht werden kann).

@julian-w 

Danke für die Erläuterung, das leuchtet ein. Ich habe vorhin lediglich ins Logfile der OpenVPN geschaut, dort nach MTU gesucht und fand "IPv4 MTU set to 1500 on interface 7 using service". An den Overhead von OpenVPN habe ich dabei nicht geacht. Ich werde mal versuchen meine Switche auf ältere FW Stände zu bringen, um zu sehen, bis wann das Problem bei den GS108Ev3 zurück reicht. Leider spielt man sich dabei auch die behobenen Sicherheitslüken wieder ein...

Kleiner Nachtrag: Hinsichtlich den positiven Ergebnissen in diesem Thread kann ich mich nur anschließen.

Mit Hilfe des Prosafe Plus-Konfigurationsprogramms 2.7.8 habe ich zwei GS108Ev3 wieder auf die Firmware Version GS108Ev3_V2.06.10GR zurückgesetzt. Dazu habe ich zunächst eine VM in lokalen Netzwerk benutzt, um per Webinterface des Switch die Konfiguration über das Utility wieder zu erlauben. Den Downgrade der Firmware selbst habe ich dann über der Utility durchgeführt. Im Anschluss kann ich das Webinterface auch wieder per Remote über ein VPN ereichen, gut möglich, dass hierbei die MTU eine Rolle spielt, die in der aktuellen Firmware GS108Ev3_V2.06.14GR einen Bug hat.

Im 16-Port Switch GS116Ev2 ist ein ähnliches Verhalten zu beobachten. In der Firmware JGS516PE_GS116Ev2_V2.6.0.43 funktionert alles problemlos (davon habe ich einen Switch), mit der Firmware JGS516PE_GS116Ev2_V2.6.0.48 ist ein Switch nicht durch ein VPN erreichbar (auch davon habe ich einen Switch). Leider ist der Switch mit der JGS516PE_GS116Ev2_V2.6.0.48 NICHT über das Utility erreichbar, so dass ich derzeit keine Möglichkeit habe, ein Firmware Downgrade durchzuführen. Für einen Versuch per WLAN müsste ich erst 150km fahren.

Hallo,

ich kann auch bestätigen nach ändern des MTU Werts meiner NIC auf 1500 kann ich auch wieder die WebOberfläche erreichen!

Zumindest ist es ein Workaround für die Firmware V2.06.14GR!

@DamianM

 Kannst du das mit der MTU-Größe mal weiterleiten ?

Hallo @Alexxx,

ich informiere unsere Ingenieure über eure Erfahrungen auf dem Laufenden.

Ich bedanke mich herzlich für alle eure Einträge! 

Soll ein offizielles Statement veröffentlicht sein, werde ich euch umgehend informieren.

Freundliche Grüße,
DamianM
NETGEAR Team 

Hallo @Alexxx, @sunnshine, @spuch, @julian-w,

ich möchte Euch darüber informieren, dass wegen Sicherheitsgründen eine Beschränkung von MTU auf den neuesten FW-Versionen eingeführt wurde. Es bezieht sich auf eine Gruppe von Switches, vor allem auf GS108Ev3. 

Man soll jetzt den MTU-Wert mindestens auf 1500 einstellen, damit der HTTP-Zugriff richtig funktionieren kann. Die entsprechende Information wird in den nächsten Tagen auf unseren Seiten veröffentlicht werden. 

Ich bedanke mich bei Euch herzlich für alle eure Einträge und Tests!

Freundliche Grüße,
DamianM
NETGEAR Team 

Hallo @DamianM 

vielen Dank für das Feedback, wenngleich ich nicht wirklich glauben kann, dass es keine andere Lösung gibt!

Das bedeutet doch für alle Admins, die betroffene Switche per Remote administrieren wollen und z.B. via VPN (was auf Grund des Protokoll Overheads eine MTU von 1500 schlicht nicht möglich ist) auf das Webinterface zugreifen wollen/müssen, keine Möglichkeit mehr dazu haben? Ich bin jetzt kein Protokollexperte, aber wenn man aus "Sicherheitsgründen" eine Mindestgröße der MTU von 1500 benötigt, dann muss doch beim Design der Architektur etwas grundlegendes schief gelaufen sein!

Für die Remoteadministration ist dieser Zustand doch ein Armutszeugnis! Es wäre zumindest eine konfigurierbare Größe in einem bestimmten Intervall notwendig, die z.B. gängige Größen die via VPN zu erwarten sind erlaubt. Falls die fixe MTU des Problems Lösung sein soll, kann ich in Zukunft tatsächlich keine Hardware mehr von Netgear empfehlen.

Erst wurden derartig "künstliche"  Einschränkungen in den Business AccessPoints eingeführt, wo der Zugriff auf das Webinterface nur noch per IP-Adresse und nicht per DNS funktionierte und nun auch noch eine Beschränkung der MTU? WTF?!?

Kann mich da nur @spuch anschließen. Die MTU auf 1500 zu Beschränken aus "Gründen der Sicherheit" ist kompletter Bull**bleep**. Quasi das komplette Internet aktzeptiert eine MTU jenseits der 1500. Teilweise macht es aus Performancengründen Sinn, eine ander MTU wie 1500 zu nutzen.

Mir ist bisher noch kein Gerät untergekommen, was die MTU statisch festlegt. Sowas dann noch ohne Ankündigung/Vorwarnung einzuführen ist schon dreist, da damit plötzlich viele Use Cases kaputt gehen.

Dann muss ich wohl Netgrear in Zukunft meiden, solch ein grfricket will ich nicht unterstützen.

---

@julian-w wrote:

Die MTU auf 1500 zu Beschränken aus "Gründen der Sicherheit" ist kompletter Bull**bleep**.

---

Ja, da stinkt etwas zum Himmel.

---

@julian-w wrote:

Quasi das komplette Internet aktzeptiert eine MTU jenseits der 1500.

---

Im Internet eher nicht ... hier zählen Standards ... nur die Netzwerke drum herum.

---

@julian-w wrote:

Mir ist bisher noch kein Gerät untergekommen, was die MTU statisch festlegt.

---

Na eigentlich macht das jeder DSL Anschluss mit PPPoE so nen *****. ... und wer DSL so im 1990er Design einrichtet macht dann ebenso schräge Dinge wir die -Verkleinerung- der Standard-MTU.

@julian-w wrote:

Teilweise macht es aus Performancengründen Sinn, eine ander MTU wie 1500 zu nutzen.

---

Nach oben bestimmt, ja - SMB performt mit Jumbo Frames besser. Nach unten gibt es eingentlich im Jahr 2021 keinen Grund mehr - denn das geschieht dank PMTUD automatisch.

@DamianM 

Ich habe leider auch Switchs auf die neueste Firmware gebracht und wegen des fehlenden Zugriffs via VPN bin ich hier gelandet und habe diese Thread gefunden.

Die Antwort dass man die MTU aus Sicherheitsgründen kastriert und somit die Administration über VPN beschränkt ist an Lächerlichkeit nicht mehr zu überbieten. Auch dass man auf diesen Umstand nicht hingewiesen wird beim Update. Und ja: ich lese immer die Release Notes.

Durch solche Aktionen versaut man es sich wirklich selbst. So kann ich Netgear nicht mehr empfehlen und werde es nicht mehr einsetzen.