ozer
Goto Top

Cisco 1812 ISR Hardwaredefekt?

Hallo zusammen,

ich habe hier eine Cisco 1812 ISR, die mit als Internetrouter, als Firewall und VPN Server dient.

Seit Montag habe ich folgendes Phänomen.
Nach einer variablen Zeit, fällt der Router scheinbar einfach aus. Anscheinend ist das Last bedingt. Nachts läuft der Router problemlos, sobald viele Clients darauf zugreifen, stürzt er wohl ab.

Der Internettraffic wird dann zwar noch weiter geroutet, aber alle anderen Dienste und Funktionen fallen scheinbar aus.

Externe und interne IPSEC VPN Clients können sich nicht mehr einloggen. Der VPN Client bekommt keine Maske zur Benutzer/Passworteingabe.
Ich kann mich mit putty / ssh nicht mehr einloggen. Es kommt die Abfrage nach Benutzername und Passwort. Dieses wird aber immer als falsch zurückgegeben.

Falls ich mit SSH eingeloggt war, bevor das Gerät "abgestürzt" ist, wird meine Verbindung zwar nicht getrennt, aber ich bekomme keine sauberen Response. Zum Bespiel show version führt zu der Meldung "Der Befehler show kann nicht gefunden werden" etc...
Wenn ich das Gerät dann per Stromschalter neustarte funktioniert alles für eine variable Zeit.

Am Sonntag funktionierte noch alles.

Ich denke das kann ja nur Hardware bedingt sein. Seit Wochen / Monaten wurde an der Konfig des Routers nichts geändert.
Letzte Woche hatten wir nur etwas Stress mit dem Router des ISPs und vor paar Wochen habe ich den Radius in der Konfig des Ciscos geändert. Nichts großartiges.

Es ist kein weiteres RAM Modul gesteckt, die Cisco läuft also mit 128MB.
CPU und Memory Auslastung sehen eigentlich auch gut aus. Und Booten tut das Gerät ohne Mucken.

Habt ihr noch nen Tipp für mich?

Content-ID: 266527

Url: https://administrator.de/forum/cisco-1812-isr-hardwaredefekt-266527.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

aqui
aqui 18.03.2015, aktualisiert am 19.03.2015 um 08:45:22 Uhr
Goto Top
Hast du die aktuelle Firmware geflasht auf dem Router ??
Was sagt ein "show ver" ?
ozer
ozer 19.03.2015 um 08:48:31 Uhr
Goto Top
Ich habe vorgestern den Router mal komplett zurückgesetzt und neu konfiguriert.
Bis heute läuft der gerade, wobei ich erst heute am Ende des Tages sagen kann, ob es dauerhaft ist oder nicht.

sh ver spuckt folgendes aus:
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(24)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Thu 26-Feb-09 03:22 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YH6, RELEASE SOFTWARE (fc1)

deffmcs0001 uptime is 1 day, 16 hours, 34 minutes
System returned to ROM by power-on
System image file is "flash:c181x-advipservicesk9-mz.124-24.T.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1812 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of memory.
Processor board ID FCZ1101217Z, with hardware revision 0000

10 FastEthernet interfaces
1 ISDN Basic Rate interface
31360K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102
aqui
aqui 19.03.2015 um 08:58:35 Uhr
Goto Top
Die Software ist ja ur, uralt !! Außerdem gar nicht mehr supportet.
Aktuell ist das Release 15.1.4M9
https://software.cisco.com/download/release.html?mdfid=279612297&sof ...
Da solltest du wohl mal allerdringenst die Firmware updaten.
ozer
ozer 19.03.2015 aktualisiert um 11:00:32 Uhr
Goto Top
Danke für den Tipp, werd ich mal machen.
Kann mir aber nicht vorstellen, dass das damit zu tun hat.

Der Router hat sich auch gerade wieder aufgehangen.
Per Consolenport kann ich mich aber anmelden und mal schauen.

Vielleicht einen Anhaltspunkt, wo ich anfangen sollte?

Wenn ich mich per VPN einloggen möchte, sehe ich auf dem Consolen Logging folgende meldung:

*Mar 19 10:53:34.933: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 192.168.100.1


EDIT:

Ich glaub ich hab hier was gefunden:
AAA-3-ACCT_LOW_MEM_UID_FAIL: AAA unable to create UID for incoming calls due to insufficient processor memory
aqui
Lösung aqui 19.03.2015 aktualisiert um 14:50:24 Uhr
Goto Top
Kann mir aber nicht vorstellen, dass das damit zu tun hat.
Hast du mal die Release Notes zu deiner Version gelesen ?
Per Consolenport kann ich mich aber anmelden und mal schauen.
Zeigt ja das der Router nicht komplett weg ist sondern nur bestimmte Prozesse. Spricht eher wieder für ein IOS Problem.
Steht irgendwas im Log dazu ? (show logg)
Die zweite Message ist eher ein Indiz das dort ein Memory Leak ist.
Du solltest es wirklich erstmal mit einem Update versuchen !
Die erste Meldung besagt nur das der IPsec Peer zu diesem Ziel nicht aufgebaut werden kann.
ozer
ozer 19.03.2015 um 12:05:26 Uhr
Goto Top
Ich hatte extrem viele Datenpakete auf Port 6881.
*Jan 2 20:57:15: %SEC-6-IPACCESSLOGP: list 101 denied tcp 99.237.6.72(64123) -> xx.xx.xx.xx(6881), 1 packet

Pro Sekunde bestimmt 10 Pakete. Übeltäter scheint laut Nat Tabelle ein Rechner im Netz zu sein. Hab den Rechner soweit erst einmal deaktiviert.
Es sind zwar immer noch die Meldungen zu finden, aber weniger.
Kann es daran liegen? Verworfene Pakete dürften doch eigentlich nicht zu solch einem Verhalten führen.

Die ACL 101 ist per "ip access-group 101 in" an dem WAN Port gebunden.


Ich müsste die aktuellste FW erst einmal im Lab testen.
aqui
Lösung aqui 19.03.2015 aktualisiert um 14:50:39 Uhr
Goto Top
TCP 6881 ist ein typischer Bit Torrent Port ! Bei der Masse der Pakete ist das eindeutig.
Sieht so aus als ob es dann massig P2P Sharing bei euch gibt ! Da stellt wohl jemand seinen private Audio oder Video Sammlung ins Netz !
Möglich das da Malware drauf ist ?!
ozer
ozer 19.03.2015 um 13:11:22 Uhr
Goto Top
Aber kann dadurch der Speicher so voll laufen?
Komisch
aqui
aqui 19.03.2015 um 16:00:56 Uhr
Goto Top
Ja sicher. Wenn ein prozees temporären Speicher nicht wieder freigibt durch einen Bug ist das möglich. Sogar gar nicht mal so unüblich bei komplexeren Systemen.
Der Cisco bietet die Möglichkeiten einen Crashdump extern wegzuschreiben in solchen Situationen. Diesen Crashdump kann man auf einer Service Seite bei Cisco cut and pasten und analysieren lassen.
Wäre ggf. mal ganz sinnvoll. Das Manual beschreibt wie man das macht.