Linuxmuster-setup läuft nicht durch (SSH-Verbindung zur Firewall)

Hallo zusammen,

neben dem hier beschriebenen Problem stoße ich bei einer Installation from scratch derzeit auf ein weiteres: Ziemlich am Ende der Installation wird wiederholt erfolglos eine SSH-Verbindung zur Firewall versucht.

Wenn ich an dieser Stelle abbreche, dann:

  • Ist eine SSH-Verbindung ohne Passwort möglich, man muss beim ersten Versuch dem Zertifikat vertrauen.
  • Ist das root-Passwort auf der Firewall nicht mehr „Muster!“
  • Zeigt linuxmuster-opnssense-reset dasselbe Verhalten.
  • Wurde auch auf dem Server das Root-Passwort in ein mir unbekanntes verändert.

Hier ein Auszug aus dem setup.log (oberhalb sieht - bis auf Warnungen des Cryptography-Moduls - alles gut aus):

#### Restarting apparmor service ............................... Success! ####
#### Writing school name to school.conf ........................ Success! ####
#### Starting device import .................................... Success! ####
#### Waiting for opnsense to come up                                      ####
#### Executing ssh command on 10.0.0.254:                                 ####
#### * -> "exit"                                                          ####
#### * Unable to establish a SSH connection!                              ####
#### Executing ssh command on 10.0.0.254:                                 ####
#### * -> "exit"                                                          ####

... viele Wiederholungen, dann

#### * Unable to establish a SSH connection!                              ####
#### Executing ssh command on 10.0.0.254:                                 ####
#### * -> "exit"                                                          ####
Exception: Error reading SSH protocol banner
Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/paramiko/transport.py", line 1920, in _check_banner
    buf = self.packetizer.readline(timeout)
  File "/usr/lib/python3/dist-packages/paramiko/packet.py", line 327, in readline
    buf += self._read_timeout(timeout)
  File "/usr/lib/python3/dist-packages/paramiko/packet.py", line 483, in _read_timeout
    raise EOFError()
EOFError

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/paramiko/transport.py", line 1761, in run
    self._check_banner()
  File "/usr/lib/python3/dist-packages/paramiko/transport.py", line 1924, in _check_banner
    raise SSHException('Error reading SSH protocol banner' + str(e))
paramiko.ssh_exception.SSHException: Error reading SSH protocol banner

#### * Unable to establish a SSH connection!                              ####
#### Executing ssh command on 10.0.0.254:                                 ####
#### * -> "exit"                                                          ####
#### * Unable to establish a SSH connection!                              ####
#### Executing ssh command on 10.0.0.254:                                 ####
#### * -> "exit"                                                          ####
#### * Unable to establish a SSH connection!                              ####
#### Executing ssh command on 10.0.0.254:                                 ####
#### * -> "exit"           

... und nun geht es immer weiter so

Beste Grüße

Jörg

Nachtrag:

Nun habe ich mal während der ganzen SSH-Versuche parallel folgendes getestet:

  • „ssh firewall“ und „ssh 10.0.254“ jeweils das Zertifikat abgenickt, klappt dann ohne Passwort
  • Das Passwort auf der OPNsense geändert auf „Muster!“ und das während der Installation eingegebene Admin-Passwort
  • Und ich habe herausgefunden, dass das Root-Passwort auf dem Server auf das während des Setups abgefragte Admin-Passwort geändert wird – ist das so gewollt?

Hat aber alles nix gebracht. Dafür habe ich noch länger gewartet, und siehe da:

... ganz lange gewartet, viele Wiederholungen

#### Executing ssh command on 10.0.0.254:                                 ####
#### * -> "exit"                                                          ####
#### * Unable to establish a SSH connection!                              ####
#### Timeout!                                                             ####
#### Starting subnets import ................................... Success! ####
#### Creating web proxy sso keytab ............................. Success! ####
------------------------------------------------------------------------------
#### linuxmuster-setup finished at 2022-06-05 03:34:48                    ####
------------------------------------------------------------------------------

Wobei sich linuxmuster-setup aber nicht von selbst beendet.

Viele Grüße

Jörg

Hallo Jörg,

mit welcher Version von linuxmuster-base7 wurde das versucht? Der paramiko-Fehler sollte mit 7.1.11 behoben sein.

VG, Thomas

Hallo Jörg,

ich kann das von Thomas Geschriebene nur bestätigen. Ich habe soeben eine erneute Installation durchgeführt. Kein paramiko-Fehler! Du solltest deine Pakete updaten.

Beste Grüße

Thorsten

Noch mal Hallo,

was mir im Nachgang einfällt:

Welcher Installation machst Du: 7.0 oder 7.1?

@thomas: Ist das auch in der 7.0 gefixt?

Beste Grüße

Thorsten

Hallo Thomas,

ich bin nach der Installationsanleitung „from Scratch“ auf linuxmuster.net vorgegangen. Ehrlich gesagt habe ich gar nicht darüber nachgedacht, welche Version ich bekomme - offenbar eine 7.0?

Installiert habe ich mit diesem Skript:

https://archive.linuxmuster.net/lmn7/lmn7-appliance

Wenn das Problem bei der 7.1 gefixt ist, um so besser. Allerdings ist es natürlich schon ein wenig doof, dass die offizielle Anleitung nicht funktioniert. Da wäre zumindest ein Hinweis in der Anleitung hilfreich.

Danke jedenfalls für den Tipp - ich werde es nochmal mit der 7.1 versuchen.

Beste Grüße

Jörg

Hallo Jörg,

das kam nicht von Thomas, sondern von mir oder warst du schon mal auf einem unserer Treffen. Da werde ich nämlich auch gerne mit Thomas angesprochen. :wink:

Damit du nicht rumsuchen musst: Hier der Link
Alternativ oben in der Kopfzeile unseres Forums und dann noch ganz unten links:

grafik

Beste Grüße

Thorsten

Hallo Jörg!

Das ist deprecated. Wusste nicht, dass da noch eine Anleitung drauf verweist. Ich habe das Skript entsprechend umbenannt, damit es nicht mehr benutzt wird.

Das aktuelle Skript gibt es hier:

VG, Thomas

Hallo Thomas, hallo Thorsten,

tatsächlich läuft die Installation mit dem aktuellen Skript problemlos durch, sowohl das Problem mit dem cryptography-Modul also auch das zweite sind offenbar behoben. (Lediglich der Unbound konnte keine Namen auflösen, aber das muss ich mir nochmal anschauen, kann auch an meinem Setup liegen.)

@Thorsten: Sorry, wollte Dir nicht die Butter vom Brot nehmen, ich hatte nur schon geantwortet, bevor ich Deinen Beitrag gesehen hatte (ich mache das oft noch per Mail). Aber der Tipp, wie ich die neue Doku finde, kam definitiv von Dir und ist Gold wert, denn sie ist ja ansonsten ein gut gehütetes Geheimnis :wink:

Vielleicht wäre es doch ganz sinnvoll, wenn man in der derzeitigen Anleitung, die ja für die 7.0 ist, einen kurzen Hinweis aufnimmt, dass die Installation from Scratch derzeit nicht geht. Man kann ja immer die OVAs nehmen oder gleich die 7.1.

Herzliche Grüße

Jörg

Hallo Jörg,

guter Tipp, habe ein Issue erstellt. siehe

Die wird nie mehr funktionieren. Warum sollte man jetzt noch 7.0 installieren?

VG, Thomas

Hallo Thomas,

wenn man linuxmuster.net aufruft und dort in der Dokumentation die Installation, dann ist das derzeit die für die 7.0. Und die geht nicht.

Aber Thorsten hat ja schon einen Hinweis in der Anleitung auf den Weg gebracht.

Beste Grüße

Jörg

Hallo,
Ich bin ganz neu in Linuxmuster, und ich habe eine opnsense (172.16.0.1 interne ip) und Linuxmuster 7.2 (172.16.0.2 interne ip) auf einem 22.04 Ubuntu-Server installiert, aber ich bin auf die anfängliche Einrichtung stecken, weil ich nicht eine SSH-Verbindung zu opnsense entweder durch die Vergabe von physisch auf dem Server in einem Terminal oder über die Web-Schnittstelle, es einfach timed out. Wie kann ich die SSH-Verbindung zwischen den beiden Servern manuell herstellen?
Danke Fenyő

Übersetzt mit DeepL.com (kostenlose Version)

Hallo Fenyo,

du mußt die OPNsense erst nach der Anleitung einrichten.
Wie das geht, steht hier:

https://docs.linuxmuster.net/de/latest/installation/install-from-scratch/index.html

Achte auch darauf, dass du die aktuellen Pakete der linuxmuster.net verwendest, da die aktuelle OPNsense 25 erst mit der neuen Version der lmn unterstützt wird.
LG
Holger

Danke, In der Zwischenzeit habe ich herausgefunden, dass mein Opnsense-Passwort nicht Muster! war, dann läuft der Web-Setup-Prozess, aber da die Setup-Py-Datei Opnsense zurücksetzt, indem sie das gateway auf dem Wan-Leg mit der festen IP abschießt, werden alle Verbindungen zur Außenwelt beendet. Selbst wenn ich die Gateway des Wan-Legs von Opnsense manuell zurücksetze, macht das nichts, weil ich vermute, dass es irgendwo im Linuxumuster umgeschrieben werden sollte. Nach dem Booten vor der Webinstallation kann man im Linuxmuster-Profile immer noch sehen, dass es eine externe IP-Adresse gibt, aber nach dem Ausführen des Web-Setups gibt es keine mehr.
Ich habe die neueste Version von Opnsense, Ubuntu Server 22.04 (ich bin mir nicht sicher, ob 24.04 noch unterstützt wird, und es gibt einen Fehler in Bezug auf die Erstellung von Software-Raids), und ich installiere lmn von der github-Quelle beschrieben (7.2.xx ich denke 7. 2 ist die neueste).
Ich vermute, dass beim Zurücksetzen von opnsense etwas schief gelaufen ist, denn als ich opnsense installiert habe, hat der automatische Installationsmodus auch nicht funktioniert, nur wenn ich die wan-IP-Adressen manuell eingestellt habe (fix wan ip, fix wan gateway ip, fix nameserver ip).
Und ich möchte hinzufügen, dass ich Proxmox nicht installiert habe, ich hielt es für optional (könnte es eine Voraussetzung sein? es würde die benötigte Zeit erhöhen, weil ich einerseits nicht sehr vertraut damit bin und andererseits, weil ich während der Installation den Internetzugang unterbrechen müsste, was die Zeit, in der ich mich damit beschäftigen kann, einschränkt), weil ich 2 physische Maschinen habe, eine mit Opnsense, die andere mit Ubuntu Server und Linuxmuster als Repo.

Ich fasse mal zusammen, was ich bisher gemacht habe und hänge ein paar Bilder an;

  • also ich installiere Linumxuster 7.2.81 von 0 auf 2 physischen Maschinen, also benutze ich kein Proxmox. (+ keine Router im System, nur Switches)
  • Maschine 1 hat opnsense 25.1-5 mit zwei Netzwerkkarten, wan mit fester ip, festem gateway und festem Nameserver, lan mit fester interner ip kein gateway hier (konfiguriert vom online Dockument)
  • Ich habe Ubuntu Server 22.04 auf einer 2.es Maschine (ich habe auch 24.04 versucht, aber dafür brauche ich Linux pattern 7.3, dem noch Pakete fehlen, also läuft lmn-appliance dort auch nicht) und eine db net Karte mit dem internen lan leg von opensense in einem Netzwerk, das ist auch nach meinen docs konfiguriert, die ssh Verbindung und wird mit opensense aufgebaut (root Passwort auf Muster gesetzt!)
  • heruntergeladen und installiert von der github-Quelle in der Beschreibung lmn-appliance, die erfolgreich installiert ist (mit Schaltern auf Hostname, Server/Firewall-IP, Domain-Name usw. gesetzt. ), dann Neustart des Servers, das lmn-Profil empfängt und zeigt die internen, externen IP-Adressen, von hier aus sollte die Web-Konfiguration folgen, aber etwas geht schief.
  • Das Web-Setup sollte erfolgreich verlaufen, aber die Schaltfläche „Fertig stellen“ wird nicht mehr angezeigt, weil die Verbindung zwischen Client und dem Server unterbrochen ist.

    Die opnsense ist noch erreichbar und ich sehe, dass gateway von der externen wan ip adresse auf die ip adresse des internen lan schenkels der opnsense geändert wurde, die natürlich kein gateway ist, nur für clients im internen netzwerk, von hier aus vergeblich ich setze gateway auf die richtige wan ip adresse zurück hilft nicht, da ziemlich viel vom web einsteller in der opnsensne umgeschrieben wird, bzw. lmn dann auch keine externe ip adresse mehr hat.

    Meine Frage ist, gibt es mit dieser Netzwerkkonfiguration irgendeine Chance, opnsene dazu zu bringen, mit lmn zu arbeiten, oder sollte ich es einfach fallen lassen?

Übersetzt mit DeepL.com (kostenlose Version)

Hi Fenyo,

i suggest we continue in englisch: the Translation is a bit rough here and there.

Do i get it right, that the setup is not finishing due to a wrong Gateway inserted in the opnsense during setup?

Could you post a picture of the Gateway config in the OPNsense?

Could you post the content of

 /var/lib/linuxmuster/setup.ini

from the server?

yours
Holger

bevor du mit den clients anfängst würde ich erstmal testen, ob vom lmn server selbst webadressen korrekt aufgelöst werden.
Funktioniert ping google.com?
Funktioniert nslookup google.com?

Wen dem so ist, würde ich als nächstes mit einem Client weitermachen der in der NoProxy Group drin. also mit ipadress einer ipadresse im Bereich 10.0.0.3-10.0.0.10
also gateway musst du immer die firewall 10.0.0.254 eintragen und als dns server den lmn server auf 10.0.0.1

OK, thanks, unfortunately I don’t know the language so I can’t check if the translator is writing something stupid.
I attach the pictures of the opnsense before the web configuration, it changes after running it by changing the gateway from 157.181.29.254 to 172.16.0.1 and deleting the fixed gateway setting on the Wan port. If I then manually reset it back to the original state unfortunately it doesn’t help.



This is the content of prepare.ini before running the web setup. I couldn’t find setup.ini by searching the whole system either.

Yes, ping and nslookup work before websetup, but if they didn’t work I wouldn’t be able to download the lmn-applince script. But after websetup is running, none of them work, even though the server is definitely in the no-proxy group.