Firewall Reset bei Installation

hoeferwolf · 9. Juli 2019 um 19:05

Liebe Kollegen,
wie man sieht, kämpfe ich intensiv mit der v7 Installation …

Kurz für die, die nicht weiterlesen wollen:

linuxmuster-setup setzt auf der OpnSense die WAN-Adresse wieder auf DHCP,
obwohl sie im Vorfeld statisch definiert wurde, weil das die Infrastrktur erfordert.
Das kann kann zu Problemen führen, wenn das SetupScript Internetzugriff benötigt.

Kann man dieses Verhalten abstellen?

VG
Wolfgang

HINTERGRUND …
Bedingt durch kleinere “verwaltungstechnische” Probleme, bin ich gezwungen die V7
in einer vorhandenen Infrastruktur parallel zum bestehenden System zu Testzwecken
hochziehen zu müssen - bitte keine Diskussion in Bezug auf die Sinnhaftigkeit oder die
Risiken dieses Balance-Aktes … kommt einer OP am laufenden Herzen gleich, aber
hey … no risk, no fun

Bedingt durch diese äußeren Zwänge muss ich …

172.16.0.254/16 als LAN Gateway verwenden (aktuell vorgegeben, kann ich später
auf die 172.16.1.254/16 umbiegen, was die Adresse des LAN Interface der OpnSense sein wird)
Die Clients sollen (wie aktuell) ebenfalls im 172.16.x.x/16 sein
Der Server bekommt die 172.16.252.1/16

Bei diesem Setup bräuchte die OpnSense im WAN und LAN den gelechen IP-Bereich. Geht natürlich nicht (block bogon & private deaktiviert) … deshalb für WAN die 10.16.1.3 eingetragen und einen virtuellen Router konfiguriert, der das
10er Netz wieder in das 172er mit dem vorgegebenen Gateway routet …
(Wenn ich das “scharf” mache, dann kann ich für das WAN-Interface eine 192er Adressen verwenden,
so dass dieses Routing-Abenteuer nicht mehr nötig ist …)
… ja … von hinten durch die Brust ins Auge, klappt aber alles problemlos … bis, tja bis …

linuxmuster-setup

Hier läuft nun ein automatischer ssh-Login auf der Firewall, die ein Script startet, das
das Netz umkonfiguriert - das Script meldet auch keinen Fehler.
Viele der Änderungen passen - was aber für mich nicht passieren sollte:

Das WAN-Interface wird wieder auf DHCP gesetzt, so dass meine statisch eingetragene
Adresse weg ist. Falls das Setup-Script Zugriff aufs Internet benötigen würde, so ist das nicht mehr möglich.

Beim letzten Versuch der Installation wurden sogar alle assoziierten Netzwerke gelöscht.
Hier muss ich erst sehen, ob sich das reproduzieren lässt.

VG
Wolfgang

j.engeland · 9. Juli 2019 um 19:47

Hallo Wolfgang,
zum Thema IP-Vorgaben muss natürlich ein Beitrag aus HH kommen
Bislang habe ich weder eine Idee noch einen konstruktiven Vorschlag, wie man den bei uns in jeder Schule vorgeschalteten Time for Kids Schulrouter mit OpenSense kaskadieren sollte. Der einfachste Weg scheint mir zurzeit, den linuxmuster server (und auch den Virtualisierer) ohne Firewall in dem vorgegebenen Netzwerksegment zu implementieren. Diese Option wird bei der Erstinstallation angeboten.
Zumindest bei unserer Konstellation stehen ja andere für die Absicherung nach draußen gerade …
Die fehlenden Features von linuxmuster wären dann ein Kollateralschaden, der bei uns auch für teuer bezahlte IServ Installationen hingenommen wird.
Vielleicht auch ein akzeptabler Kompromiss für Euch?
Gruß Jürgen

baumhof · 9. Juli 2019 um 19:51

Hallo Wolfgang,

Hut ab vor deinem Setup.
Ich hoffe es klappt.

linuxmuster-setup| setzt auf der OpnSense die WAN-Adresse wieder auf DHCP,
obwohl sie im Vorfeld statisch definiert wurde, weil das die
Infrastrktur erfordert.
Das kann kann zu Problemen führen, wenn das SetupScript Internetzugriff
benötigt.

das sollte eigentlich nicht sein.
Dein Setup ist zwar extrem, aber auch in einer normalen Schule hat man,
zumindest wenn man BelWü hat, keinen DHCP am WAN Interface eingestellt
sondern eine Feste IP.

Kann man dieses Verhalten abstellen?

Ich kann nur sagen: schau in die Scripte und kommentier die Stelle aus.
Aber ich werde auch Thomas drauf hinweisen.

VIele Grüße

Holger

hoeferwolf · 9. Juli 2019 um 19:59

Hi,
nicht wirklich, da ich (wenn auch nur als Übergang) schon das Standard-Szenario fahren werden.
Es ist nur so, dass ich da aktuell nicht “offiziell” machen kann und deshalb die vorhandene Infrastruktur nicht abändern darf. Im Prinzip “übe” ich für einen schnellen Switch-over auf die V7 in den Ferien.
Am Ende sollen die Benutzer fast nicht merken, dass sich viel geändert hat - bis auf die Namen der Ordner. Falls dich die “schmutzigen Details” interessieren, gerne als PM
VG
Wolfgang

zefanja · 10. Juli 2019 um 00:27

Ja, wenn du du linumxuster-setup -s aufrufst, überspringt er das Firewall-Setup. Dann musst du dich aber auch um alle Firewall-Regeln etc. selbst kümmern, was aber in deinem Fall wahrscheinlich durchaus Sinn machen könnte.

Die automatische Firewallkonfiguration macht für die meisten Schulen sicher Sinn und sollte auch so passen, aber wenn man davon abweichen muss/will, muss man drauf verzichten und selbst Hand anlegen (Wir verwenden z.B. auch keine OPNSense/IPFire, sondern pfSense).

vG Stephan

thomas · 10. Juli 2019 um 05:39

Moin!

Das ist schon lang gefixt. Wurde vor dem Setup aktualisiert?

VG, Thomas

hoeferwolf · 10. Juli 2019 um 06:14

Hi,
eigentlich hab ich prepare, update und dist-upgrade laufen lassen. Leider ist der Rechner
etwas schmalbrüstig und das dauert immer eine ganze Weile hier. Mir wären da jetzt keine
Fehler aufgefallen … aber ich werde das nochmal von vorne machen und sehen, ob sich der
Fehler wiederholt.
VG
Wolfgang