neben dem hier beschriebenen Problem stoße ich bei einer Installation from scratch derzeit auf ein weiteres: Ziemlich am Ende der Installation wird wiederholt erfolglos eine SSH-Verbindung zur Firewall versucht.
Wenn ich an dieser Stelle abbreche, dann:
Ist eine SSH-Verbindung ohne Passwort möglich, man muss beim ersten Versuch dem Zertifikat vertrauen.
Ist das root-Passwort auf der Firewall nicht mehr „Muster!“
Zeigt linuxmuster-opnssense-reset dasselbe Verhalten.
Wurde auch auf dem Server das Root-Passwort in ein mir unbekanntes verändert.
Hier ein Auszug aus dem setup.log (oberhalb sieht - bis auf Warnungen des Cryptography-Moduls - alles gut aus):
#### Restarting apparmor service ............................... Success! ####
#### Writing school name to school.conf ........................ Success! ####
#### Starting device import .................................... Success! ####
#### Waiting for opnsense to come up ####
#### Executing ssh command on 10.0.0.254: ####
#### * -> "exit" ####
#### * Unable to establish a SSH connection! ####
#### Executing ssh command on 10.0.0.254: ####
#### * -> "exit" ####
... viele Wiederholungen, dann
#### * Unable to establish a SSH connection! ####
#### Executing ssh command on 10.0.0.254: ####
#### * -> "exit" ####
Exception: Error reading SSH protocol banner
Traceback (most recent call last):
File "/usr/lib/python3/dist-packages/paramiko/transport.py", line 1920, in _check_banner
buf = self.packetizer.readline(timeout)
File "/usr/lib/python3/dist-packages/paramiko/packet.py", line 327, in readline
buf += self._read_timeout(timeout)
File "/usr/lib/python3/dist-packages/paramiko/packet.py", line 483, in _read_timeout
raise EOFError()
EOFError
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
File "/usr/lib/python3/dist-packages/paramiko/transport.py", line 1761, in run
self._check_banner()
File "/usr/lib/python3/dist-packages/paramiko/transport.py", line 1924, in _check_banner
raise SSHException('Error reading SSH protocol banner' + str(e))
paramiko.ssh_exception.SSHException: Error reading SSH protocol banner
#### * Unable to establish a SSH connection! ####
#### Executing ssh command on 10.0.0.254: ####
#### * -> "exit" ####
#### * Unable to establish a SSH connection! ####
#### Executing ssh command on 10.0.0.254: ####
#### * -> "exit" ####
#### * Unable to establish a SSH connection! ####
#### Executing ssh command on 10.0.0.254: ####
#### * -> "exit"
... und nun geht es immer weiter so
Nun habe ich mal während der ganzen SSH-Versuche parallel folgendes getestet:
„ssh firewall“ und „ssh 10.0.254“ jeweils das Zertifikat abgenickt, klappt dann ohne Passwort
Das Passwort auf der OPNsense geändert auf „Muster!“ und das während der Installation eingegebene Admin-Passwort
Und ich habe herausgefunden, dass das Root-Passwort auf dem Server auf das während des Setups abgefragte Admin-Passwort geändert wird – ist das so gewollt?
Hat aber alles nix gebracht. Dafür habe ich noch länger gewartet, und siehe da:
... ganz lange gewartet, viele Wiederholungen
#### Executing ssh command on 10.0.0.254: ####
#### * -> "exit" ####
#### * Unable to establish a SSH connection! ####
#### Timeout! ####
#### Starting subnets import ................................... Success! ####
#### Creating web proxy sso keytab ............................. Success! ####
------------------------------------------------------------------------------
#### linuxmuster-setup finished at 2022-06-05 03:34:48 ####
------------------------------------------------------------------------------
Wobei sich linuxmuster-setup aber nicht von selbst beendet.
ich kann das von Thomas Geschriebene nur bestätigen. Ich habe soeben eine erneute Installation durchgeführt. Kein paramiko-Fehler! Du solltest deine Pakete updaten.
ich bin nach der Installationsanleitung „from Scratch“ auf linuxmuster.net vorgegangen. Ehrlich gesagt habe ich gar nicht darüber nachgedacht, welche Version ich bekomme - offenbar eine 7.0?
Wenn das Problem bei der 7.1 gefixt ist, um so besser. Allerdings ist es natürlich schon ein wenig doof, dass die offizielle Anleitung nicht funktioniert. Da wäre zumindest ein Hinweis in der Anleitung hilfreich.
Danke jedenfalls für den Tipp - ich werde es nochmal mit der 7.1 versuchen.
Das ist deprecated. Wusste nicht, dass da noch eine Anleitung drauf verweist. Ich habe das Skript entsprechend umbenannt, damit es nicht mehr benutzt wird.
tatsächlich läuft die Installation mit dem aktuellen Skript problemlos durch, sowohl das Problem mit dem cryptography-Modul also auch das zweite sind offenbar behoben. (Lediglich der Unbound konnte keine Namen auflösen, aber das muss ich mir nochmal anschauen, kann auch an meinem Setup liegen.)
@Thorsten: Sorry, wollte Dir nicht die Butter vom Brot nehmen, ich hatte nur schon geantwortet, bevor ich Deinen Beitrag gesehen hatte (ich mache das oft noch per Mail). Aber der Tipp, wie ich die neue Doku finde, kam definitiv von Dir und ist Gold wert, denn sie ist ja ansonsten ein gut gehütetes Geheimnis
Vielleicht wäre es doch ganz sinnvoll, wenn man in der derzeitigen Anleitung, die ja für die 7.0 ist, einen kurzen Hinweis aufnimmt, dass die Installation from Scratch derzeit nicht geht. Man kann ja immer die OVAs nehmen oder gleich die 7.1.
