Linuxmuster-import-subnets

Server Firewall
1

Das Skript linuxmuster-import-subnets schlägt fehl.

### linuxmuster-import-subnets                                           ####
------------------------------------------------------------------------------
#### Reading setup data:                                                  ####
#### * Server address: 10.0.0.1                                           ####
#### * Server network: 10.0.0.0/16                                        ####
#### Processing dhcp subnets:                                             ####
#### * 10.0.0.0/16                                                        ####
#### * 10.63.30.0/24                                                      ####
#### Restarting isc-dhcp-server ..................................... OK! ####
#### Processing netplan configuration:                                    ####
#### * Removed old routes.                                                ####
#### * Added new routes for all subnets.                                  ####
#### * Applied new configuration.                                         ####
#### Downloading firewall configuration:                                  ####
#### get 10.0.0.254 /conf/config.xml /var/cache/linuxmuster/opnsense.xml  ####
#### * Download finished successfully.                                    ####
#### * Saved changed config.                                              ####
#### Uploading firewall configuration:                                    ####
#### put 10.0.0.254 /var/cache/linuxmuster/opnsense.xml /conf/config.xml  ####
#### * Upload finished successfully.                                      ####
Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/urllib3/connection.py", line 144, in _new_conn
    (self.host, self.port), self.timeout, **extra_kw)
  File "/usr/lib/python3/dist-packages/urllib3/util/connection.py", line 83, in create_connection
    raise err
  File "/usr/lib/python3/dist-packages/urllib3/util/connection.py", line 73, in create_connection
    sock.connect(sa)
TimeoutError: [Errno 110] Connection timed out

Login per ssh ohne Passwort von Server auf OPNsense klappt.

OPNsense 23.1.1_2
linuxmuster-base7 7.1.21-0

In der OPNsense habe ich ausschließlich ein Letsencrypt-Zertifikat für die WebUI. Kann das ein Problem sein?

2

… läuft es denn via SSH vom Server aus durch?

3

Wie meinst Du das? ssh vom Server auf die OPNsense ohne Passwort funktioniert einwandfrei. Nur das Skript bricht ab. Die Logdaten sehen aber so aus, als sei auch innerhalb des Skripts eine erfolgreiche Anmeldung an der OPNsense erfolgt, um die aktuelle Konfiguration herunterzuladen.

4

Ich meine das so, dass Du den Befehl auf dem Server ohne Browser ausführen kannst und dann mal schauen kannst, ob er da erfolgreich durchläuft. Die Meldung von oben kam doch vom WebUI, oder??
Viele Grüße
Michael

5

Nein, ich habe das Skript auf der Konsole ausgeführt.

6

OK, sorry, dann habe ich es falsch gedeutet

Welche v7 Version ist es denn? V7.0 oder 7.1, oder?

7

7.1 auf dem neuesten Stand

8

Nur als Idee … ins Blaue geraten: Hattest Du bisher evtl einen OPSI-Server konfiguriert?

9

Ja. Der OPSI-Server ist auch noch aktiv und wird (ausschließlich für Windows) genutzt. Inwiefern kann das denn mit den Subnets zusammenhängen? Und falls es einen Zusammenhang gibt: Wie könnte ich das Problem kurzfristig lösen? Da der Schulträger die IP-Bereiche für das WLAN geändert hat, muss ich das vor Ferienende unserem Server irgendwie beibringen.

Und, by the way: Soll die OPSI-Unterstützung in lmn eingestellt werden? Das wäre für uns recht fatal, da wir die Softwareverteilung auf den Lehrergeräten (Lenovo Convertibles) per OPSI realisieren, um fachspezifische Software gezielt ausspielen zu können.

10

Hallo.
Ich habe einfach in das Script geschaut
cat /usr/sbin/linuxmuster-import-subnets, weil der Connection Timeout, den Du oben geschickt hattest, ja schon irgendwie merkwürdig war. Die Verbinung zur Firewall kann’s ja nicht gewesen sein, da das erfolgreich durchgelaufen ist.

In dem Script steht in Zeile 160:
# update opsi network configuration with routes … deshalb bin ich stutzig geworden, weil OPSI meines Wissens tatsächlich rausfliegen sollte!? Genaueres kann ich dazu aber nicht sagen, da ich die Info selbst nur von hier habe:

Viele Grüße,
Michael

11

In meiner Version des Skripts kommt kein OPSI-Zugriff vor. Daher dürfte die noch vorhandene VM kaum ein Problem darstellen. Der Timeout kommt von dem Aufruf firewallApi('post', '/routes/routes/reconfigure'). Aber was kann der Grund dafür sein?

12

Ok – seltsam, dass es hier (noch?) vorhanden ist. Ich habe ebenfalls eine aktuelle v7.1 laufen.

Wieder nur ins Blaue geraten: Wie heißt bei Dir das LAN-Gateway in der OPNSense? Schau mal nach unter System → Gateways → Einzeln. Hier heißt es „GW_LAN“. Ich hatte das irgendwann mal auf diesen Namen geändert. Der import-subnets-Befehl lief hier aber auch schon länger nicht mehr und ich würde ihn im Moment nur ungerne laufen lassen, wenn es möglicherweise Probleme damit gibt.
Viele Grüße,
Michael

13

Heißt bei mir auch GW_LAN (10.0.0.254).

Hast Du noch mehr Ideen? :wink:

14

Hallo Matthias,

Heißt bei mir auch GW_LAN (10.0.0.254).

… hab ich das richtig verstanden: dein Netz ist schon gesubnettet und
du willst jetzt nur die subnets umstellen: deswegen läßt du das script
laufen?

Wenn dem so ist, dann ist dein GW_LAN aber falsch: es müßte auf den
Layer3 Switch im Servernetz zeigen: also 10.0.0.253
und nicht 10.0.0.254

LG

Holger

15

Hi Holger,

das hast Du genau richtig verstanden.

O.k., ich werde das GW_LAN mal korrigieren.

Gruß
Matthias

16

Das Problem lag an einer ganz anderen Stelle. Durch diverse Umstellungen hat die OPNsense alle Schnittstellen neu konfiguriert. Dadurch war die API im 10.0.0.0/16 nicht mehr freigegeben. Nachdem ich das nun wieder erlaubt habe, läuft das Skript linuxmuster-import-subnets fehlerfrei.

Michael und Holger, vielen Dank für’s Mitdenken!