Nachdem linuxmuster-base7 7.2.1 erschienen ist, habe ich in einem Testsystem OPNsense 24.1 neu installiert und den Server gemäß Doku vorbereitet.
Danach habe ich das linuxmuster-setup aufgerufen. Dieses läuft fast vollständig erfolgreich durch. Es terminiert nicht abschließend mit folgender Fehlermeldung:
Mit der WebUI ist das System dann nicht wie vorgesehen nutzbar. Ein erneutes Aufrufen des Setup für zu identischem Fehler.
Hinweise zur Fehlerbehbung:
Ich habe dann etwas im Code gesucht linuxmuster-base7 (v7.2): /share/firewall/opnsense/fwsetup.sh
In dem Skript werden weitere Module (os-web-proxy-sso os-freeradius os-api-backup) für die opnsense installiert, bevor weitere Konfigurationsschritte angewendet werden.
Aufgrund der Fehlermeldung bin ich davon ausgegangen, dass dies zu dem erforderlichen Zeitpunkt im Setup noch nicht erfolgt ist. Ich habe dann auf der Konsole in der OPNsense folgende Module nachinstalliert: os-web-proxy-sso os-freeradius os-squid (os-api-backup gab es bei 24.1.1 nicht).
Danach habe ich auf dem lmn-server nochmals linuxmuster-setup gestartet und danach lief es in Verbindung mit opnsense 24.1.1 erfolgreich durch.
Der Squid - Dienst in der OPNsense ist danach allerdings nicht gestartet.
Danke für die Rückmeldung. Allerdings kann ich das nicht nachvollziehen. Bei mir läuft das Setup sauber durch. Kontrollier mal mit dpkg -l | grep linuxmuster ob alle lmn-Pakete korrekt installiert sind.
Hallo Thomas,
zur Sicherheit habe ich nochmals von vorne begonnen OPNsense 24.1 neu installiert und vorbereitet, ebenso den Server mit Ubuntu 22.04 LTS.
Danach habe ich den Server mit lmn-prepare vorbereitet.
Ergebnis:
genau die Fehlermeldung hatte ich bei einem der Fehlgeschlagenen Versuche auch. Das war allerdings eine 23.7, ohne dass sie vorher upgedatet war (23.7-12)
Nach update der OPNsense auf 23.7-15 vor dem setup, lief das Setup bei mir durch. Tests mit 24.1 hab ich noch nicht gemacht.
LG
Holger
Hallo Thomas,
ich habe eine Vermutung:
in dem Skript
/share/firewall/opnsense/fwsetup.sh
werden extensions installiert:
# install extensions
extensions="os-web-proxy-sso os-freeradius os-api-backup"
for item in $extensions; do
pkg install -y $item
done
Hierbei scheint das Problem zu sein, dass für OPNsense 4.1 die extension osi-api-backup nicht mehr unterstützt wird, da dessen Funktionalität wohl nun in ähnlicher Form im core enthalten ist.
Tests:
Ich habe nun auf der Opnsense vor dem setup die beiden extensions
os-web-proxy-sso
os-freeradius
via Konsole installiert und danach erst auf dem Server das Setup ausgeführt.
Evtl. müsste in dem Skript zuerst auf die OPNsense Version geprüft werden, um dann ggf. unterschiedliche extensions zu installieren. Der Fehler bei der Installation von os-api-backup führt scheinbar dazu, dass das setup nicht mehr durchläuft.
Kann eigentlich nicht sein. pre-auth.conf wird ja hochkopiert bevor fwsetup.sh ausgeführt wird. Ich habe den Fehler auch mit 24.1.1 nicht. Sieht eher danach aus, dass der Zielpfad auf der Firewall bei euch nicht vorhanden ist. Ich werde versuchen, das abzufangen.
Mit v7.2.2 funktioniert das Setup mit der aktuellen OPNsense Version 24.1.1 wieder. Bitte testet es mal.
Neu:
Bei OPNsense-Versionen < 24 bricht das Setup ab, bevor Änderungen am System durchgeführt werden.
Die dns0.eu DNS-Server sind per default eingetragen. Wer andere DNS-Server verwenden will, ändert die Einträge unter System | Einstellungen | Allgemein entsprechend.
Hallo Thomas.
Das musst Du nochmal erklären! An dieser Stelle sollte doch die 10.16.1.1 bzw 10.0.0.1; also der v7-Server stehen!?!?
Danke und viele Grüße,
Michael
Hallo Thomas,
ok, ich hatte das anders in Erinnerung. Das Thema wurde hier schon mal diskutiert:
100%ig klar ist mir aber weiterhin nicht, welche Einstellungen die richtigen sind, denn wir nutzen auch ubound auf der OPNSense, um z.B. Host-Überschreibungen einsetzen zu können.
Daher stehen bei uns die DNS-Forwarder unter:
OPNSense → Dienste: Unbound DNS: Query Forwarding
Kannst Du nochmal sagen, ob das so seine Richtigkeit hat? Ich habe nämlich manchmal den Eindruck, dass es in Sachen DNS hakt und kann nicht genau sagen, woran das liegt. Es gibt hier mit den Tablets manchmal das Problem, dass Geräte zwar im WLAN sind aber dann versuchen eine Adresse im Internet aufzulösen, die aber lokal liegt. Klingt nach einem DNS-Problem … daher meine hartnäckige Nachfrage zu diesem Thema.
Das muss ich relativieren. Ich habe das nochmal intensiver getestet. Der DNS basierte Inhaltsfilter funktioniert nur mit aktivierten System-Nameservern.
Allerdings ist die Einstellung erst nach einem Neustart der Firewall wirksam. Außerdem ist eine Einstellungsänderung im DNS-Bereich erst nach einigen Minuten aktiv, da der Server-DNS und auch der Browser noch eine Weile gecachte Einträge ausliefert. Das macht das Testen ein wenig tricky.
vielen Dank für das Update. Ich habe es from-scratch getestet.
OPNsense 24.1.2 mit server VM, die ich mit lmn-prepare vorbereitet habe (Base 7.2.2-0, WebUI 4.2.13).
Dies hat wunderbar funktioniert. Die OPNsense wird während des setups konfiguriert und neu gestartet und das linuxmuster-setup (Konsole) terminiert erfolgreich.
Danach starte ich server und opnsense neu und alles funktioniert wie erwartet.
Aktiviere ich bei Unbound DNS Query forwarding die System Nameservers, starte die OPNsense neu und warte etwas, dann werden auch die Aufrufe gefiltert. Suche nach Reizwörtern führt zu „harmlosen“ Ergebnissen und zu blockende Seiten wie bei dns0.eu angegeben, werden nicht angezeigt.
Wenn ich in den OPNSense-Einstellungen unter System | Einstellungen | Allgemeinmehrere DNS-Server eintrage, wird doch bei einer DNS-Abfrage willkürlicheiner dieser Server genommen und nicht immer nur der auf Platz 1, richtig?
Wenn das stimmt, hat das doch zur Folge, dass die Einträge z.B. zur Host-Überschreibung unter Unbound dann nicht mehr immer greifen – oder?
die DNS - Einträge müssten gemäß der eingetragen Rangfolge abgefragt werden - primary, secondary etc. I.d.R. erfolgt nur dann eine Auflösung über den jeweils nachfolgenden Eintrag, sofern der vorherige nicht erreichbar war oder die Anfrage nicht erfolgreich beantwortet wurde.
Für Unbound DNS sagt die OPNsense Doku zum Query Forwarding (Unbound DNS — OPNsense documentation), dass hier Domains angegeben werden, die dann abweichend zu den System DNS-Einträgen anderweitig weitergeleitet werden.
Sichere Deine Opnsense-Einstellungen und probier doch mal, wie dann deine Eintragungen aufgelöst werden.
