IPFire 2.23 - Core Update

Hat schon jemand das Update auf IPFIRE 136 gemacht?

Hallo,

letzte Woche habe ich die IP-Fire von 097 auf 136 durchgepatcht.
Im Prinzip läuft sie, allerdings habe ich zwei Dinge festgestellt.

Der Start der Firewall dauert ca. 10 Minuten, da sie versucht eine Verbindung zu DNSSEC-Servern
aufzubauen und daran beim Start scheitert. Führt man später in der Konsole „/etc/init.d/unbound restart“
durch, dann funktioniert die Kommunikation mit den DNSSEC-Servern.

Der OVPN-Dienst startete nicht mehr. Hier gab es zunächst ein Problem mit dem Diffie-Hellman-Key, der mindestens eine 2048 Bit-Verschlüsselung wollte. Zusätzlich fehlten einige Einträge in der server.conf des OVPN-Dienstes. Diese ließen sich wieder durch Betätigung des Speichernbuttons setzen. Zusätzlich war noch die LZO-Kompression in den erweiterten Serverkonfigurationen deaktiviert. Diese ließ sich auch nicht wieder aktivieren. Sie muss dann in den vom Server erzeugten OVPN-Dateien ebenfalls deaktiviert werden. Ansonsten wird zwar eine Verbindung aufgebaut, aber es fließen keine Daten.
Es gibt im OVPN-Server noch einen Hinweis, dass die Host- und Root-Zertifikate nicht mehr RFC-Konform sind. Die habe ich zunächst auch neu erstellt, aber danach kommunizierte der LMN-Server nicht mehr mit der IPFIRE. Da ich allerdings bis dahin eine Menge Arbeit wegen einer größeren Netzwerkumstellung investiert hatte und froh war das sie funktionierte, hatte ich keine Lust die Kommunikation zwischen dem Server und der IPFIRE mit setup-first neu einzurichten.

Wie gesagt, grundsätzlich funktioniert sie.

VG

Heiko

Hallo Heiko,

such mal nach DNSSEC und Diffie hier im Forum da solltest Du Anleitungen finden wie beide Probleme zu beheben sind.

Gruß

Alois

Hallo Alois,

danke für den Hinweis. Diffie habe ich ja gelöst und mit DNSSEC kann ich bis zur Umstellung auf v7 leben. Die Firewall muss zum Glück nur selten neu gestartet werden :wink:

Lediglich die Root und Host-Zertifikate sind nicht mehr auf dem aktuellsten Stand. Damit kann ich aber leben.

VG

Heiko

Die Änderung mit dem DNSSEC werde ich doch ausprobieren.

unter:
/etc/init.d/networking/red.up
/etc/init.d/networking/red.down
jeweils
mv 05-update-dns-forwarders 21-update-dns-forwarders

Eigentlich wollte ich nächste Woche Urlaub machen :thinking:

Hallo Heiko,

das geht sehr schnell. Du solltest also noch Urlaub übrig haben :wink:

Viele Grüße

Alois

Hallo,

habe das Update auf 139 gemacht und es scheint zu funktionieren.

Viele Grüße
Wilfried

PS: Vielleicht sollte man den Thread mal allgemeiner in „IPfire-Core Update“ umbennenen.

Hallo Wilfried!

So? :slight_smile:

Beste Grüße

Thorsten

Hallo Thorsten,

danke, jetzt herrscht Ordnung, bis er ausgedient hat :slight_smile:

Viele Grüße

Wilfried

Hallo,

habe auf Core 141 upgedated.
Der ganze DNS-Bereich ist überarbeitet worden und die Datei /etc/init.d/unbound sieht ziemlich anders aus und ich habe sie nicht verändert. Dafür gibt es jetzt am Frontend unter ‚DNS Weiterleitung‘ die Möglichkeit DNSSEC (z. B. für die Belwü-Leute) zu deaktivieren:

Jetzt noch auf Aktualisieren klicken und dann wird es als deaktiviert angezeigt. Allerdings steht auf der Startseite unter Gateway nicht mehr in rot ‚DNS-Server‘. Ein nicht repräsentativer Kurztest ließ aber auf stattgefundene Filterung schließen.
Vielleicht ist noch mehr an Konfiguration nötig, ich weiß es nicht.

Viele Grüße

Wilfried

Hallo,

nachdem ich heute bei einigen clients Schwierigkeiten mit dem Internet hatte, habe ich den Haken bei aktiviert wieder herausgenommen. Außerdem musste ich die Proxyeinstellungen bei den Clients auf " … automatisch erkennen." setzen.

Viele Grüße

Wilfried