IPFire 2.23 - Core Update

Hat schon jemand das Update auf IPFIRE 136 gemacht?

Hallo,

letzte Woche habe ich die IP-Fire von 097 auf 136 durchgepatcht.
Im Prinzip läuft sie, allerdings habe ich zwei Dinge festgestellt.

Der Start der Firewall dauert ca. 10 Minuten, da sie versucht eine Verbindung zu DNSSEC-Servern
aufzubauen und daran beim Start scheitert. Führt man später in der Konsole „/etc/init.d/unbound restart“
durch, dann funktioniert die Kommunikation mit den DNSSEC-Servern.

Der OVPN-Dienst startete nicht mehr. Hier gab es zunächst ein Problem mit dem Diffie-Hellman-Key, der mindestens eine 2048 Bit-Verschlüsselung wollte. Zusätzlich fehlten einige Einträge in der server.conf des OVPN-Dienstes. Diese ließen sich wieder durch Betätigung des Speichernbuttons setzen. Zusätzlich war noch die LZO-Kompression in den erweiterten Serverkonfigurationen deaktiviert. Diese ließ sich auch nicht wieder aktivieren. Sie muss dann in den vom Server erzeugten OVPN-Dateien ebenfalls deaktiviert werden. Ansonsten wird zwar eine Verbindung aufgebaut, aber es fließen keine Daten.
Es gibt im OVPN-Server noch einen Hinweis, dass die Host- und Root-Zertifikate nicht mehr RFC-Konform sind. Die habe ich zunächst auch neu erstellt, aber danach kommunizierte der LMN-Server nicht mehr mit der IPFIRE. Da ich allerdings bis dahin eine Menge Arbeit wegen einer größeren Netzwerkumstellung investiert hatte und froh war das sie funktionierte, hatte ich keine Lust die Kommunikation zwischen dem Server und der IPFIRE mit setup-first neu einzurichten.

Wie gesagt, grundsätzlich funktioniert sie.

VG

Heiko

Hallo Heiko,

such mal nach DNSSEC und Diffie hier im Forum da solltest Du Anleitungen finden wie beide Probleme zu beheben sind.

Gruß

Alois

Hallo Alois,

danke für den Hinweis. Diffie habe ich ja gelöst und mit DNSSEC kann ich bis zur Umstellung auf v7 leben. Die Firewall muss zum Glück nur selten neu gestartet werden :wink:

Lediglich die Root und Host-Zertifikate sind nicht mehr auf dem aktuellsten Stand. Damit kann ich aber leben.

VG

Heiko

Die Änderung mit dem DNSSEC werde ich doch ausprobieren.

unter:
/etc/init.d/networking/red.up
/etc/init.d/networking/red.down
jeweils
mv 05-update-dns-forwarders 21-update-dns-forwarders

Eigentlich wollte ich nächste Woche Urlaub machen :thinking:

Hallo Heiko,

das geht sehr schnell. Du solltest also noch Urlaub übrig haben :wink:

Viele Grüße

Alois

Hallo,

habe das Update auf 139 gemacht und es scheint zu funktionieren.

Viele Grüße
Wilfried

PS: Vielleicht sollte man den Thread mal allgemeiner in „IPfire-Core Update“ umbennenen.

Hallo Wilfried!

So? :slight_smile:

Beste Grüße

Thorsten

Hallo Thorsten,

danke, jetzt herrscht Ordnung, bis er ausgedient hat :slight_smile:

Viele Grüße

Wilfried

Hallo,

habe auf Core 141 upgedated.
Der ganze DNS-Bereich ist überarbeitet worden und die Datei /etc/init.d/unbound sieht ziemlich anders aus und ich habe sie nicht verändert. Dafür gibt es jetzt am Frontend unter ‚DNS Weiterleitung‘ die Möglichkeit DNSSEC (z. B. für die Belwü-Leute) zu deaktivieren:

Jetzt noch auf Aktualisieren klicken und dann wird es als deaktiviert angezeigt. Allerdings steht auf der Startseite unter Gateway nicht mehr in rot ‚DNS-Server‘. Ein nicht repräsentativer Kurztest ließ aber auf stattgefundene Filterung schließen.
Vielleicht ist noch mehr an Konfiguration nötig, ich weiß es nicht.

Viele Grüße

Wilfried

Hallo,

nachdem ich heute bei einigen clients Schwierigkeiten mit dem Internet hatte, habe ich den Haken bei aktiviert wieder herausgenommen. Außerdem musste ich die Proxyeinstellungen bei den Clients auf " … automatisch erkennen." setzen.

Viele Grüße

Wilfried

Hallo,

ich habe gerade das Update von 138 auf 141 probiert, der Belwue-DNS wird als broken (No DNSSEC) markiert und es geht gar nichts im Netz.

Ich habe wie Wilfried versucht, den 129.143.4.3 bei DNS-Weiterleitung einzutragen, das hat auf Anhieb aber nichts gebracht, bei einem Neustart von IPFire kamen einige unbound-Fehlermeldungen "unknown keyword ‚129.143.4.3‘ ", Webseiten wurden dann furchtbar langsam oder überhaupt nicht geladen. Habe das Backup meiner 138 wieder eingespielt und alles tut wieder.

Weiß jemand, wie man die 141 mit dem belwü-DNS zum Laufen bekommt?

Grüße,
Stefan

Hallo,

mittlerweile sind wir bei 144. Nach den Erfahrungen beim letzten Update bin ich aber noch bei 141 geblieben, und zwar mit den beschriebenen DNSSEC Schwierigkeiten.
Ich habe so den Eindruck, dass die meisten schon mit OPNsense arbeiten?!

Viele Grüße

Wilfried

Hallo!

Ich habe gerade auf 144 upgedatet. Scheint zu laufen, allerdings erst nachdem ich den IPFire händisch neugestartet habe.

Achtung:

###################################
# linuxmuster.net: IPFire upgrade #
###################################

ssh: connect to host 10.16.1.254 port 222: Connection refused
Cannot establish ssh connection to Firewall!

You have to do first the initial IPFire setup by executing
/usr/share/linuxmuster-ipfire/setup.sh.

Passwortloser Zugang vom Server zum IPFire funktioniert trotz dieser Meldung nach Neustart!

Was geht und was nicht muss sich noch zeigen. Bin aber guter Hoffnung.

Beste Grüße

Thorsten

PS: Nicht Belwue-Nutzer.