ASG A1000 updaten

60008 ist die drop-Rule für gespoofte Packete.

!!! WICHTIG: Paste hier mal bitte die gesamte Paketfilter-Log-Zeile!!

Was wird ausgegeeben, wenn du das hier an der Console eingibst:
cc get packetfilter advanced spoof_protection
?
Falls dort NICHT 0 steht kannst du die spoof protection ausschalten mit:
cc set packetfilter advanced spoof_protection 0
aber es recht ist unwahrscheinlich, dass allein das das problem löst

Wieviele Interfaces hast du produktiv ? 
Falls es mehr als 2 sind: das Interface, das ins Internet geht, hast du ja ziemlich sicher korrekt (sonst könntest du nicht rauspingen). Kannst du 100%ig sagen, ob die anderen Interfaces korrekt angeschlossen sind? VOr allem, ob das Interface, von dem du glaubst, es ist das Interface zum LAN, auch wirklich das LAN-Intereface ist? Es koennte naemloich sein, dass die ASG-SW irgendwann im Laufe deines Upgrades die Interface-Reihenfolge vertauscht hat. Also die NIC, die früher z.B. eth1 hieß, nun eth3 ist, oder so. 
Daher würde ich mal folgendes machen: 
- ALLE Netzwerkkabel von der ASG abstöpseln
- mit ifconfig -a schauen, welche ethernet-NICs deine ASG kennt (also irgendwas eth0, eth1...bis ethMax)
- dann für alle eth-Ports  "ethtool  ethX" (X=0,1,2...Max) aufrufen. Dort steh in der untersten Zeile "Link-Detected" und müsste überall auf "no "stehen, da ja alle Kabel raus sind
- nun steckst du das Kabel,  zum WAN in den entsprechenden ASG-NIC-Port. Wenn das z.B. der Port "eth2" ist, müsste nun bei "ethtool eth2" der "Link Detected" auf "yes" stehen. Das sollte so sein, dann das Internet konntest du ja pingen, also wird wohl auch das Kabel richtig stecken ;-)
- nun steckst du das Kabel, von dem du weisst, dass es zu deinem LAN-Switch geht, auf den ASG-NIC-Port, von dem du bisher dachtest, dass es dein LAN-Port war. Bisher hast du diesen Port mit z.B. eth4 bezeichnet
- wenn nun bei "ethtool eth4" immer noch der Link-Detected auf "no" steht, dann weisst du, dass der Port, in dem dein Kabel steckt nicht mehr eth4 heisst. Du musst nun rausfinden, wie die ASG deinen Port nennt
- daher: nun nochmal das Spiel "ethtool eth0", "ethtool eth1", ... machen. Bei EINEM eth-Port (ausser dem WAN-Port, den du ja schon identifiziert hast) muss nun "Link Detected: yes" stehen.  Damit weisst du, wie die ASG den Port, in dem das Kabel steckt, nennt.
- so bekommst du peu a peu raus, wie die Zuordnung der eth-Ports zu den physischen NICs ist. und kannst ggf. deine Verkabelung ändern.

Wenn das immer noch nicht die richtige Spur ist:
paste mal, was passiert, wenn du auf console 1 eingibst:
tcpdump -n -i ethX -e -c 10 (ethX = Interface zum LAN)
und danach console2 einen ping von der ASG auf einen Rechner ins LAN absetzt
(und schreib welche IP deiner ASG hat und welche der Rechner, den du pingst)
Zwischen den consolen mit Alt-1 und ALt-2 hin-und herschalten. Interessant sind sowohl der Output vom tcpdump und vom ping

60008 ist die drop-Rule für gespoofte Packete.

!!! WICHTIG: Paste hier mal bitte die gesamte Paketfilter-Log-Zeile!!

Was wird ausgegeeben, wenn du das hier an der Console eingibst:
cc get packetfilter advanced spoof_protection
?
Falls dort NICHT 0 steht kannst du die spoof protection ausschalten mit:
cc set packetfilter advanced spoof_protection 0
aber es recht ist unwahrscheinlich, dass allein das das problem löst

Wieviele Interfaces hast du produktiv ? 
Falls es mehr als 2 sind: das Interface, das ins Internet geht, hast du ja ziemlich sicher korrekt (sonst könntest du nicht rauspingen). Kannst du 100%ig sagen, ob die anderen Interfaces korrekt angeschlossen sind? VOr allem, ob das Interface, von dem du glaubst, es ist das Interface zum LAN, auch wirklich das LAN-Intereface ist? Es koennte naemloich sein, dass die ASG-SW irgendwann im Laufe deines Upgrades die Interface-Reihenfolge vertauscht hat. Also die NIC, die früher z.B. eth1 hieß, nun eth3 ist, oder so. 
Daher würde ich mal folgendes machen: 
- ALLE Netzwerkkabel von der ASG abstöpseln
- mit ifconfig -a schauen, welche ethernet-NICs deine ASG kennt (also irgendwas eth0, eth1...bis ethMax)
- dann für alle eth-Ports  "ethtool  ethX" (X=0,1,2...Max) aufrufen. Dort steh in der untersten Zeile "Link-Detected" und müsste überall auf "no "stehen, da ja alle Kabel raus sind
- nun steckst du das Kabel,  zum WAN in den entsprechenden ASG-NIC-Port. Wenn das z.B. der Port "eth2" ist, müsste nun bei "ethtool eth2" der "Link Detected" auf "yes" stehen. Das sollte so sein, dann das Internet konntest du ja pingen, also wird wohl auch das Kabel richtig stecken ;-)
- nun steckst du das Kabel, von dem du weisst, dass es zu deinem LAN-Switch geht, auf den ASG-NIC-Port, von dem du bisher dachtest, dass es dein LAN-Port war. Bisher hast du diesen Port mit z.B. eth4 bezeichnet
- wenn nun bei "ethtool eth4" immer noch der Link-Detected auf "no" steht, dann weisst du, dass der Port, in dem dein Kabel steckt nicht mehr eth4 heisst. Du musst nun rausfinden, wie die ASG deinen Port nennt
- daher: nun nochmal das Spiel "ethtool eth0", "ethtool eth1", ... machen. Bei EINEM eth-Port (ausser dem WAN-Port, den du ja schon identifiziert hast) muss nun "Link Detected: yes" stehen.  Damit weisst du, wie die ASG den Port, in dem das Kabel steckt, nennt.
- so bekommst du peu a peu raus, wie die Zuordnung der eth-Ports zu den physischen NICs ist. und kannst ggf. deine Verkabelung ändern.

Wenn das immer noch nicht die richtige Spur ist:
paste mal, was passiert, wenn du auf console 1 eingibst:
tcpdump -n -i ethX -e -c 10 (ethX = Interface zum LAN)
und danach console2 einen ping von der ASG auf einen Rechner ins LAN absetzt
(und schreib welche IP deiner ASG hat und welche der Rechner, den du pingst)
Zwischen den consolen mit Alt-1 und ALt-2 hin-und herschalten. Interessant sind sowohl der Output vom tcpdump und vom ping