IPFire: Unbekannter externer Fehler [/usr/share/schulkonsole

Tag auch,
nachdem ich von unserer handgestrickten Firewall auf IPFire umsteigen wollte (linuxmuster 6) lief ein:

linuxmuster-ipfire --setup --first

Geh ich in die Schulkonsole und will einen Raum vom Internet trennen kommt ein:

Unbekannter externer Fehler [/usr/share/schulkonsole/Schulkonsole/Session.pm, 1191, Schulkonsole::Error::FirewallError::what]

Siehe Screenshot:

Hat jemand eine Idee zur Fehlersuche?

Gruss Harry

Hallo Harry,

die Firewall muss mit dem Server verheiratet werden.
Das macht der Befehl den du verwendet hast.
Um das ab zu schließen, mach vom server aus noch einmal

ssh -p 222 ipfire

Dann kommt die Frage zu den „Known Hosts“: die bejahen, dann solltest du
passwortfrei auf der console des ipfire sein.
Danach gehst du mit exit zurück auf den server und dann nochmal

ssh -p 222 ipfire

Das sollte nun komplett ohne Nachfrage passieren.

Danach solltest du noch ein

import_workstations
machen, damit die Cleints in der Firewall eingetragen werden.
Achte auf das Ende der Ausgabe: reloading Firewall OK?

Wenn ja: dann sollte die SchuKo funzen

LG

Holger

Danke Holger, zertifikatsbasierte Authentifizierung hatte ich auf Port 222 haendisch eingerichtet, da ich zu doof war das Video ganz (!) anzuschauen, die ging dann aber auch.

lsof -i -P

brachte mit die Ausgabe von Port 222

import_workstations hab ich nicht gemacht, das teste ich morgen mal.

Abend,
import_workstations hat nix gebracht, immer noch die kranke Fehlermeldung.

Kann natuerlich sein, dass ich irgendwann, irgendwas verkonfiguriert habe.

Gruss Harry

Hallo Harry!

Warst du su als du die zertifikatsbasierte Authentifizierung eingerichtet hast?

Grüßle

Hallo Harry,

import_workstations hat nix gebracht, immer noch die kranke Fehlermeldung.

hast du die Meldungen beim import gelesen?
Da kommt
reloading external firewall … sucess
Stand das da?

LG

Holger

Hallo, Harry,

geh mal bei Deinem Server (6.2. !) auf die Konsole und prüfe folgendes:

Kannst Du mit nur einem mit dem Befehl
ssh root@ipfire -p222
auf den Ipfire ? (Also auch ohne Zwischenbestätigung !).

Wenn JA,

dann öffne bitte eine zweite Konsole, die eine ist für den Server, bei der anderen bleibst Du auf dem IpFire, auf dem Du Dich gerade angemeldet hast.

Suche Dir dann einen bekannten Hostnamen (aus der /etc/linuxmuster/workstations), z.B. a210pc6 (bei mir).

Gib dann auf der Serverkonsole (!) ein:
/usr/share/linuxmuster/scripts/internet_on_off.sh --trigger=off --hostlist=a201pc6

(statt a210pc6 natürlich DEIN Hostname).

Wenn hier eine Fehlermeldung erscheint, bitte diese posten und abbrechen !
ANSONSTEN: Gib dann auf der IpFire-konsole (!) ein:

iptables -L >1

Gib dann wieder auf der Serverkonsole (!) ein:
/usr/share/linuxmuster/scripts/internet_on_off.sh --trigger=on --hostlist=a201pc6

und auf der IpFire-konsole:
iptables -L >2

Und dann auf der IpFirekonsole:

diff 1 2

Jetzt muss der Unterschied der beiden Firewallausgaben ersichtlich werden, bei mir:

166,167d165
< LOG        tcp  --  10.16.8.30           anywhere             multiport dports ftp,ftp-data,ftps,ftps-data,https,ssh limit: avg 10/min burst 20 LOG level warning prefix "FORWARDFW "
< ACCEPT     tcp  --  10.16.8.30           anywhere             multiport dports ftp,ftp-data,ftps,ftps-data,https,ssh
225,226d222
< LOG        tcp  --  10.16.8.30           anywhere             multiport dports ftp,ftp-data,ftps,ftps-data,https,ssh limit: avg 10/min burst 20 LOG level warning prefix "INPUTFW "
< ACCEPT     tcp  --  10.16.8.30           anywhere             multiport dports ftp,ftp-data,ftps,ftps-data,https,ssh

Wenn da NICHTS erscheint, ist Deine Firewall leider NICHT mit dem Server „verheiratet“. In dem Fall bitte ein Komplettes Neuinstallieren der Firewall ! Dort auf Besonderheiten Deiner Installation oder Fehlermeldungen achten.

Ich bin gespannt !

Gruß Christoph

Erstmal an alle danke fuer den Einsatz,

Bin eigentlich immer root :slight_smile:

Ja, success, hatte ich stillschweigend vorausgesetzt.

@Cgsman

/usr/share/linuxmuster/scripts/internet_on_off.sh --trigger=on --hostlist=a201pc6

Danke fuer den Befehl, jetzt sehe ich klarer, auch die iptables-Magie hat mich weitergebracht, auf die Idee das per diff zu vergleichen bin ich natuerlich nicht gekommen.
Das iptables-Regelwerk wird durch die Klickerei auf der Schulkonsole tatsaechlich gesetzt, also auf der Firewallseite alles gut.

Die Fehlermeldung in der Schulkonsole bleibt leider, aber jetzt weiss ich wenigstens, dass es wohl auf der Musterloesung ein Problem gibt, sie scheint ja nicht mitzubekommen, dass „drueben“ auf ipfire alles ausgefuehrt wurde.

Gruss Harry

P.S. tolles Forum, bin immer wieder sehr ueberrascht, wie schnell das geht und welcher Aufwand dazu getrieben wird.

Guten Morgen,

die Fehlermeldung (s.o.) ist immer noch nicht weg, das Regelwerk wird auf IPFire gesetzt, die Fehlermeldung nervt. Das ist ja die Fehlermeldung, die keinem Fehler zugeordnet werden kann, also irgendwas laeuft schief.

Falls noch jemand eine Idee hat, her damit.

Gruss Harry

Hallo Harry,

gehen wir mal zurück zum ersten Post:
du wolltest von einer „anderen“ Firewall umsteigen auf die IPFire.
Dazu hast du
linuxmuster-ipfire-setup --first ausgeführt.
Du kommst vom server aus (also root) passwortund nachfragefrei auf den
ipfire mittels

ssh -p 222 ipfire
(genau dieser Befehl!).

Wenn dem so ist: hast du dem server eigentlich beim ersten Installieren
bei der Frage nach der Firewall gesagt, dass es eine „andere“ ist?
Hast du ihm, als du den IPFire integriert hast dann auch gesagt, dass es
jetzt ein IPFire ist?
Kam diese Fehlermeldung früher auch, als es noch „eine andere“ Firewall war?

Was steht den in der Datei
/var/lib/linuxmuster/network.settings
unter
fwconfig= ?
(Bei mir Zeile 7)

LG

Holger

Tag Holger,

Ja, „custom“.

Weiss ich nicht, hatte ein eigenes Webfrontend fuer unsere Abschaltung.

ipfire, passt also.

Da steht aber noch eine andere Subnetzmaske drin, ich betreibe den ganzen Kram in einem Class A-Netz, vielleicht hat das was damit zu tun. Ich teste das mal.
Danke Holger, so komm ich schrittweise weiter. Ich fuerchte da sind an unzaehligen Stellen hartkodierte IPs und Netzmasken involviert und ich haette Linuxmuster gleich so installieren sollen, wie das der Installer will. Aenderungen an den IPs und Netzen kommen hier immer irgendwann als Bumerang zurueck.

Gruss Harry

Hallo Harry,

Wenn dem so ist: hast du dem server eigentlich beim ersten Installieren
bei der Frage nach der Firewall gesagt, dass es eine „andere“ ist?

Ja, „custom“.

hast du das umgestellt mittels

linuxmuster-setup --modify
?

Da steht aber noch eine andere Subnetzmaske drin, ich betreibe den
ganzen Kram in einem Class A-Netz, vielleicht hat das was damit zu tun.
Ich teste das mal.
Danke Holger, so komm ich schrittweise weiter. Ich fuerchte da sind an
unzaehligen Stellen hartkodierte IPs und Netzmasken involviert und ich
haette Linuxmuster gleich so installieren sollen, wie das der Installer
will. Aenderungen an den IPs und Netzen kommen hier immer irgendwann als
Bumerang zurueck.

Jup :wink:

Das mit den festkodierten IP Ranges usw. ist ein Problem der lmn6.
Bei der lmn7 haben wir drauf geachtet, dass das nciht mehr der Fall ist.

LG

Holger

Yepp, ich hab schon ziemlich viel durch, irgendwas klemmt noch.

Muss mich wohl doch in die Skriptabgruende werfen, CGI-Gedoehns, Perl, JavaScript, Shell…ein wilder Mix mit includes…

Hat wohl jeder Beteiligte seine Lieblingssprache verwendet :slight_smile:
Gruss Harry