Der Lancom 1781VAW – Ein Review, Test mit meinen Augen

Update (26.10.2014) Wer mich öfters in den sozialen Medien liest, der könnte den Eindruck haben, ich hätte mich in den 1781VAW „verliebt“. Dem ist so. Zu einer „Liebe“ gehört Respekt und Anerkennung, auch das Bewusstsein über Schwächen offen zu sprechen. Dem will ich hiermit nachkommen. Alle Features könnt Ihr Euch bei Lancom schon einmal ansehen, das brauche ich hier sicherlich nicht im Detail erläutern: Link.

Lancom Systems ist ein deutscher Hersteller aus Würselen, welcher aus der ehemaligen ELSA AG hervorging. Ich hatte im Oktober die Gelegenheit, im Rahmen eines Anwendertreffens das Unternehmen kennenzulernen. In Folge dessen muss ich meine Äußerungen hinsichtlich WLC ein wenig korrigieren. Bestärkt hat mich der Besuch aber allemal hinsichtlich meiner persönlichen Gerätewahl. 

Bildschirmfoto 2014-10-26 um 13.57.20

Einsatzort
Mein 1781VAW ist das wichtigste Element, welches meine „Arbeit“ überhaupt erst ermöglichte. Er stellt insgesamt 12 Tunnel in unterschiedliche Netze bereit, die vier wichtigsten sind die Knoten meiner Arbeitgeber. Das wichtigste Netz befindet sich jedoch im Rechenzentrum in Rostock, dort befindet sich mein Domänencontroller, mein DMS-System, der Exchange und meine Telefonanlage (Starface) jeweils als virtuelle Anwendung.

Anbindung
Der Lancom hält sich im Moment noch an reines DSL2+ von Vodafone, welches in der letzten Zeit „mehr oder weniger zuverlässig“ bereitgestellt wurde.

Ich hatte tatsächlich zu kämpfen mit dem Vorgänger (1821n), denn jener konnte mit dem Betrieb an meinem DSLAM schon gar nichts anfangen – Link – und ich war auf ein externes Modem angewiesen, von denen ich eine ganze Reihe ausprobierte. Am stabilsten war die Leitung mit einer dummgemachten Fritzbox 7270v3 zu betreiben, was jedoch zum einen zu erhöhtem Strombedarf und zum anderen einen weiteren POE+ Port belegte. Immer wenn bei Vodafone eine Störung anlag, musste ich die vielen Fehlerquellen bei mir ausschließen und das war – mit Verlaub – absolut nervig.

IMG_0119
Das Prachtstück mit einem Surfstick der Telekom

Das jetzige Modem synchronisiert perfekt an einem fürchterlich zickigen DSL2+ Anschluss mit 16/1M, eine absolute Seltenheit für Router mit integriertem Modem, jene für VDSL und Vectoring gebaut worden sind. Das mag zum einen daran liegen, dass Lancom aus den Fauxpas mit Globespan gelernt hat, und zum anderen daran, so wie ich von Jirka höre, das Lancom der Kiste gleich mal zwei Modemchipsätze gegeben hat, sofern ich ihn denn richtig verstanden habe. Eines für VDSL und eines für ADSL2+. Das funktioniert bestens. Und so kann ich, wenn die Telekom ihre Arbeiten hier in Krefeld Königshof „endlich“ mal abgeschlossen hat, auch in den Genuss von VDSL kommen. Dennoch, Störungen liegen auch bei Vodafone an. Dank eines USB-Modems habe ich jetzt endlich funktionierendes Fallback auf HSDPA. Das gefällt mir. Da die Tunnel in meinem T-Mobile Vertrag dann immer noch funktionieren, habe ich im Störungsfall in kurzer Zeit auch wieder Telefonie. Die 5GB, die ich in einem Abrechnungszeitraum nutzen kann, reichen gerade so, um eine Störungszeit pro Monat zu überbrücken. Ansonsten verarbeite ich im Monat im Schnitt zwischen 350-500GB, das mag unter anderem auch an dem reichhaltigen Konsum von medialen Inhalten liegen.

Sicherheit/VPN
Mein Lancom ist eine Schwachstelle in meiner Vernetzung, das ist mir wohl bewusst. Ich wüsste jedoch keinen Ausweg, um FX‘ Aussage zu begegnen „Wer Perimetersicherheit betreibt, hat keines von beidem“. Er ist mit Sicherheit nicht in der Lage, meine persönlichen Fehler selbst zu korrigieren. Aber er hilft mir wirklich gut, jene zu entdecken. Dazu gehören SNMP-Meldungen, das gute Tracing und der Lan-Monitor, jener mir auf Knopfdruck einen guten Überblick über mögliche Probleme bietet.

Bildschirmfoto 2014-08-23 um 15.12.15

Fehler erkennen und beheben mit „Lanmonitor“

Sicherlich ist er keine Applikationsfilterfirewall, er besitzt keine SNORT-Regelsätze. Bestimmt wäre letzteres erstrebenswert, jedoch könnte ich ihn dann mit Sicherheit nicht mehr mit einer POE+ Stromquelle betreiben und das Thema „Bezahlbarkeit“ wäre obsolet. Das Fehlen von SNORT jedoch schränkt seinen Einsatzradius ein wenig ein. Es ist dennoch gut so. Mit der Angriffsfläche, die er bietet, ist das Risiko, je nach Konfiguration, momentan abschätzbar. Ich kann in den Ereignissen und im Tracing gut nachsehen, wo der Fehler liegt oder die Ursache eines möglichen Angriffs erkennen oder einen Konfigurationsfehler meinerseits korrigieren. Er bricht auch nach Beschuss aus Packetkitchen nicht zusammen. Das gesamte Repertoire aus KALI ist für einen Lancom mit meinen Fähigkeiten nicht geeignet. Das liegt zum einen am guten DoS-Schutz, als auch an der performanten Arbeitsweise und Stabilität des LCOS-Betriebssystems.

Er hat nicht nur das Wissen über extrem viele Netze und kann diese erreichen, auch sind die Informationen, die sich in ihm selbst und auch in den erreichbaren Netzen befinden recht sensibel. In sofern sind meine Regelsätze, die ich in der Firewall hinterlege über 120 Einträge lang. Das hat nichts mit Faulheit zu tun, denn sie werden regelmäßig kontrolliert. Ich bleibe dem Deny-All-Prinzip von Lancom treu, ohne Regel geht also erstmal nichts. Die Objektorientierte Arbeitsweise erleichtert das Leben mit der Firewall deutlich. Mit der neuen CPU komme ich jetzt problemlos zurecht, ganz im Gegensatz zum Vorgänger, dazu jedoch später mehr. Die Geräte sind auch in einer BSI-Zertifizierten Variante (EAL 4+) erhältlich, man muss jedoch in diesem Fall auf das ein oder andere Merkmal (Luxus) verzichten. Hier gibt es für mich jedoch noch viel zu viel zu lernen, um eine adäquate Antwort zum Thema EAL4+ bieten zu können, die muss ich Euch also schuldig bleiben. Da ich dem BSI nicht kritiklos gegenüberstehe, erleichtert das zwar nicht meinen Lerneifer, jedoch halte ich EAL4+ für eine wirklich gute Sache.

Was die Tunnelherstellung betrifft, kann ich alle marktüblichen Varianten nutzen. Zugegeben, das Handling mit Zertifikaten ist immer noch umständlich, jedoch erleichtern einem die guten Assistenten von Lancom das Arbeiten in vielerlei Hinsicht, ich wüsste keinen Ansatzpunkt, bei dem man es besser machen könnte. Problematisch werden die von Assistenten generierten Tunnel erst dann, wenn vom Lancom mehrere Netze bereitgestellt werden. Hier helfe ich mir im Moment mit einer BRG-Gruppe, um das Tunnelverhalten nicht zu stören. Das wäre eventuell ein Kritikpunkt an den Assistenten, jedoch wüsste ich mangels Fachkenntnis hier auch keine Möglichkeit, eine Besserung herbeizuführen. 5 Tunnel beherrscht Lancom aus dem Stand, bei meinen 12 genutzten musste ich jedoch die Advanced VPN Option käuflich erwerben, mit der sind bis zu 25 Kanäle gleichzeitig drin.

Für die Clients setzt Lancom auf den klassischen – fast schon überall auffindbaren – NCP-Client. Ich stehe dem Client jedoch aus Erfahrung äußerst kritisch gegenüber. Zum einen sind die Lizenzkosten sehr hoch, zum anderen hat der Client in Ansätzen immer wieder problematische Auswirkungen auf den IP-Stack von Windows – Weniger stressbehaftet ist er auf Macintosh-Clients. Er ist nicht ganz alternativlos, jedoch gut zu managen. Da der Client ein Massenprodukt ist, erhöht sich die Angriffsfläche deutlich, jener ist jedoch auch bei Secunia – wenn überhaupt – sehr selten vertreten.

Weiterhin verzichtet Lancom bewusst auf den ganzen Multimedia-USB-UPNP-MEDIA-Blödsinn, den man z.B. bei AVM käuflich erwerben kann. Gerade das Fehlen von Features kann auch für SOHO-Kunden gerade bei so wichtigen Geräten ein Kaufargument sein, für mich absolut entscheidend. Ein Router hat nicht im Geringsten die Aufgabe, eine Applikation, wie z.B. einen DLNA Medienserver zu bedienen.

Vertrauen in Lancom
Das Vertrauen ist nach Snowden in Netzwerkprodukte in vielerlei Hinsicht gestört. Es führte nicht nur bei mir persönlich dazu, dass ich mein Verhalten komplett auf links gedreht habe. Viele Produkte sind bei mir schlicht „rausgeflogen“ und haben bei mir direkt den Weg in die Mülltonne gefunden, auch deshalb, weil ich sie weder guten Gewissens bei ebay anbieten, noch meinen Freunden hätte geben wollen. Ich würde z.B. heute nicht einmal mehr im Traum daran denken, bei mir zuhause oder bei der SMEA in Rostock (Mein Rechenzentrumsanbieter) eine ASA betreiben zu wollen. Ein Netzbetreiber, jener eine TR069-Heimplaste vorschreibt, käme höchstens noch über meine Leiche in meine Wohnung. Beschämend, dass sich mein gesamter Freundeskreis, mit nur wenigen Ausnahmen solcher Heimplaste-Geräte bedient, kritiklos. Wieder einmal.

Lancom sitzt in Würselen, in der Nähe von Aachen und hat eine lange Tradition, sowie eine bewegte Geschichte (ELSA AG) hinter sich. Ich kenne den Hersteller aus meiner Kindheit. Zusammen mit Freunden habe ich schon deren ISDN-Router genutzt und geliebt, sei es nur, um Onlinegaming zu betreiben oder IP zu lernen. Ich vertraue Lancom wie keinem anderen Hersteller. Der Punkt Vertrauen ist in meiner Gerätewahl so dermaßen elementar wichtig, dass ich mir der Fragilität meiner Aussage sicher bewusst bin. Mit einem Mal könnte Lancom alles zunichte machen, das ist mir klar. Bis heute wurde mein Vertrauen jedoch nicht ein einziges Mal enttäuscht. Und ich vertraue Lancom, dass es auch so bleibt.

Bei Secunia findet sich bis heute nicht ein einziger Eintrag: Link, ganz im Gegensatz zu anderen Herstellern: Link . Das ist – zugegeben – eine äußerst bemerkenswerte Tatsache.

Leistung
Dieses Thema hat eine leidvolle Vorgeschichte:

Der Vorgänger (1821n) war mit dem kappen Speicher und der schlappen CPU-Performance mit meinen Regeln nach 5 Jahren Betrieb so dermaßen überladen, dass es regelmäßig zu Aussetzern in meinen Gesprächen kam und ich Probleme bei den unterschiedlichsten Aufgaben hatte. Das Routing war langsam, selbst simple Webseiten waren bisweilen schwer erreichbar. Sollte ich Skype nutzen wollen (Link), war an die restliche Nutzung schon gar nicht mehr zu denken, die CPU war absolut am Limit. Ich half mir bisweilen mit unterschiedlichen Konfigurationen, jene durch Lanconfig schnell bereitzustellen waren. Dennoch kein Optimum!

Der neue 1781VAW hat alles im Überfluss. Mit knapp 800MHz liefert er den gewünschten Bumms, um alle meine Tunnel stabil aufrecht zu erhalten, meine Regelsätze zu betreiben und parallel Telefonie bereitzustellen. QoS funktioniert, jedoch muss ich heute zumindest an diesem Knoten nicht mehr den äußerst erheblichen Aufwand betreiben (Link), um reibungslos zu telefonieren: Der Lancom hat einen absolut göttlichen, hervorragenden SIP-ALG, den man bedenkenlos einsetzen kann um so auf weitere QoS Regeln für SIP-RTP zu verzichten. Ich habe absolut keine Ahnung, wie sie das gemacht haben, aber er erleichtert das Arbeiten so dermaßen, dass ich fast schon Freudentänze gemacht habe. Es gibt keinen Verzug mehr bei der Umsetzung von Paketen. Selbst der halb so leistungsfähige 1781VA (400MHz, gleiche Baureihe) eines Bekannten liefert genügend Bumms an einem VDSL50 Anschluss, der wird mit ähnlich vielen Tunneln und Regeln betrieben. Der 1781VAW wird warm, zugegeben. Doch eine Rückfrage bei ein zwei Forenmitgliedern bestätigen mir, dass die 52°C Schnitt-Temperatur keine Probleme für den stabilen Betrieb darstellen und völlig normal sind. Das CPE-Gehäuse ist lüfterlos konzipiert, bietet jedoch konstruktionsbedingt einen kontinuierliche Abführung der Hitze, sofern korrekt aufgestellt.

WiFi
Es stinkt mir, alles in einem Gerät unterzubringen zu wollen. Bei der Anschaffung des 1781VAW waren jedoch zum einen die Kosten ein springender Punkt und zum anderen wollte ich nicht im geringsten auf die 800MHz verzichten. Der 1781VAW stellt entweder 2,4 oder 5,x GHz bereit, jedoch nicht beides parallel, wie z.B. ein L-451agn. In meiner unmittelbaren Nähe befindet sich die Fachhochschule Niederrhein mit rund 25 sichtbaren Accesspoints, welche offenbar deutlichst jenseits von Recht und Gesetz betrieben werden und jede Menge Heimplasten, welche sich im 2,4GHz Band durch den sogenannten Turbo-Modus ebenfalls asozial benehmen, indem sie gleich das komplette Frequenzspektrum zukleistern. Der Betrieb von Accesspoints in meiner Gegend (Krefeld Königshof) gleicht also dem Minenfeld einer Hipster-Gegend, z.B. der Kastanienallee in Berlin. Erschwerend kommt hinzu, dass ich aufgrund einzelner Geräte selbst noch im 2,4GHz Band festhänge. Mit LCOS 9 und den vielfältigen Verbesserungen hinsichtlich WiFi habe ich jedoch eine halbwegs stabile und akzeptable Lösung in meiner Wohnung. Wenn Kunden schon amüsiert die Augenbrauen heben, wenn ich mit Macbook und Netspotapp, sowie einer handgemalten Karte die Aufstellorte von Accesspoints in Firmenetagen begutachte, so war selbiges bei mir ebenfalls notwendig. Meine unmittelbaren Nachbarn ballern mit 1und1, Vodafone und Telekom selbst den gesamten Funkraum zu, dass es mich zur Weißglut quält. Alles in allem sind mit allen Geräten zwischen 75 bis 150M drin, Altbau, teils Sandstein, teils Rigips, teils dicke, alte Mauern. Und so steht er POE+ versorgt auf meiner Behelfs-Bar zwischen Martini, Havana Club und meiner Sammlung Blue-Top. Das könnte besser sein, auch aus folgendem Grund:

Update 26.10.2014

Was mich rasend macht, ist die Gewissheit, dass ich mit einer WLC-Option und einem weiteren L-451AGN oder sogar einem AC-Accesspoint eine deutliche Verbesserung in meinen Räumen erziehlen und das neue LCOS9-ARC vollumfänglich benutzen „könnte“. Dem ist aber aber nicht. Ich würde zu gerne beide Frequenzen samt Roaming bereitstellen. Ganz richtig, bei mir zuhause, so dekadent möchte ich tatsächlich arbeiten. Die Option ist jedoch für 1781er Geräte mit WiFi nicht drin – Link. Es ist technisch realisierbar, das Marketing schiebt hier jedoch einen Riegel vor. Warum nur? Was – Lancom – was habt Ihr Euch nur dabei gedacht? Das ist der einzige, richtig fette Negativpunkt, den der 1781VAW aus meiner Sicht für sich verbuchen muss.

Die für mich sinnvolle WLC-Option ist leider nur auf 1781er Geräte ohne WiFi zu buchen. Der Grund liegt in der Funktionsweise dieser Option. Man könnte diese Option neu, bzw. umschreiben, jedoch ist das nur mit erheblichem Aufwand möglich. Die Anzahl der Kunden, die diese Funktion auf einem 1781VAW buchen würden, ist vermutlich eher gering. Deswegen darf ich jedem raten, der ein schwieriges WiFi Umfeld (so wie ich) hat, sich einen 1781VA zuzulegen, und Hotspots in entsprechender Anzahl dazu zu kaufen, denn einen 1781VAW zu wählen.


Lancom bietet im WiFi-Betrieb vielfältige Möglichkeiten für Kontrolle und Sichtung des Funk-Minenfelds, in dem ich mich befinde. Ich kann mehrere, logische Netze bereitstellen und mit der leicht zu konfigurierenden Public-Spot-Option meine häufigen Besucher und Kollegen sicher bedienen und kann sie zusätzlich von allen Orten fernhalten, an denen sie nichts zu suchen haben. Zusammen mit der guten Firmware für den Atheros AR9382 liegt das als dickes Paket auf der Haben-Seite des 1781VAW. Schade finde ich jedoch, dass im Bereich WPA2 AES-CCM nicht per Default erzwungen wird, ein Kritikpunkt, den man mit einem kurzen Konfigurationsaufwand jedoch beheben kann.

Konfiguration/Betrieb
Es wäre müßig, hier auf die Lanconfig, LanMonitor, das Tracing, den WlanMonitor, die Konsole und vieles mehr im Detail einzugehen. Es erleichtert einem das Leben und die Schiene sollte (bitte!) weiterhin gefahren werden. Sehr gut gefällt mir die Suche in Lanconfig, die ich immer häufiger nur aus Faulheit benutze.

Mit ein paar klitzekleinen Änderungen im Code könnte ich Lanconfig auch in Wine (Linux/MAC) vollumfänglich nutzen – also bitte Lancom – nur das könnt Ihr noch verbessern. Es wäre so einfach. So bin ich immer wieder mal genötigt, eine Windows-VM zu laden, wenn ich denn alle Features von Lanconfig benutzen möchte.

Ansonsten ist Lancom hier unvergleichlich gut. Ich kann massenweise Accesspoints oder Gateways in einem Tool konfigurieren oder patchen. Mit Scripting ist eine Automatisierung möglich. Ich könnte hier eigentlich einen Roman schreiben, wäre mit diesem Review aber noch nicht mal in drei Wochen fertig. Was soll ich sagen, es ist perfekt!

Fazit
Der 1781VAW ist ein rundes Produkt mit nur wenigen Schwachstellen. Er eignet sich perfekt für kleinere Standorte oder Home-Offices. Er bietet Bumms im Überfluss, um einen ordentlichen Satz Firewallregeln locker abzuarbeiten. Der Support ist erstklassig, für mich ist das inoffizielle Forum jedoch ebenso ein Kaufargument. Zusammenfassend lässt sich sagen, dass lediglich die fehlende WLC-Option ein Kritikpunkt ist. Weiterhin würde ich mir auch bei den Routern eine POE+ Schnittstelle für die Energieversorgung oder wenigstens einen POE+ Splitter von Lancom wünschen. Alles andere ist perfekt gelungen. Ich fühle mich wohl. Lancom halt.