IPFire 2.23 - Core Update 136

Hat schon jemand das Update auf IPFIRE 136 gemacht?

Hallo,

letzte Woche habe ich die IP-Fire von 097 auf 136 durchgepatcht.
Im Prinzip läuft sie, allerdings habe ich zwei Dinge festgestellt.

Der Start der Firewall dauert ca. 10 Minuten, da sie versucht eine Verbindung zu DNSSEC-Servern
aufzubauen und daran beim Start scheitert. Führt man später in der Konsole „/etc/init.d/unbound restart“
durch, dann funktioniert die Kommunikation mit den DNSSEC-Servern.

Der OVPN-Dienst startete nicht mehr. Hier gab es zunächst ein Problem mit dem Diffie-Hellman-Key, der mindestens eine 2048 Bit-Verschlüsselung wollte. Zusätzlich fehlten einige Einträge in der server.conf des OVPN-Dienstes. Diese ließen sich wieder durch Betätigung des Speichernbuttons setzen. Zusätzlich war noch die LZO-Kompression in den erweiterten Serverkonfigurationen deaktiviert. Diese ließ sich auch nicht wieder aktivieren. Sie muss dann in den vom Server erzeugten OVPN-Dateien ebenfalls deaktiviert werden. Ansonsten wird zwar eine Verbindung aufgebaut, aber es fließen keine Daten.
Es gibt im OVPN-Server noch einen Hinweis, dass die Host- und Root-Zertifikate nicht mehr RFC-Konform sind. Die habe ich zunächst auch neu erstellt, aber danach kommunizierte der LMN-Server nicht mehr mit der IPFIRE. Da ich allerdings bis dahin eine Menge Arbeit wegen einer größeren Netzwerkumstellung investiert hatte und froh war das sie funktionierte, hatte ich keine Lust die Kommunikation zwischen dem Server und der IPFIRE mit setup-first neu einzurichten.

Wie gesagt, grundsätzlich funktioniert sie.

VG

Heiko

Hallo Heiko,

such mal nach DNSSEC und Diffie hier im Forum da solltest Du Anleitungen finden wie beide Probleme zu beheben sind.

Gruß

Alois

Hallo Alois,

danke für den Hinweis. Diffie habe ich ja gelöst und mit DNSSEC kann ich bis zur Umstellung auf v7 leben. Die Firewall muss zum Glück nur selten neu gestartet werden :wink:

Lediglich die Root und Host-Zertifikate sind nicht mehr auf dem aktuellsten Stand. Damit kann ich aber leben.

VG

Heiko

Die Änderung mit dem DNSSEC werde ich doch ausprobieren.

unter:
/etc/init.d/networking/red.up
/etc/init.d/networking/red.down
jeweils
mv 05-update-dns-forwarders 21-update-dns-forwarders

Eigentlich wollte ich nächste Woche Urlaub machen :thinking:

Hallo Heiko,

das geht sehr schnell. Du solltest also noch Urlaub übrig haben :wink:

Viele Grüße

Alois