Lmn7.2 setup mit opnsense 24.*

Fortsetzung der Diskussion von Lmn 7.2 testing:

Nachdem linuxmuster-base7 7.2.1 erschienen ist, habe ich in einem Testsystem OPNsense 24.1 neu installiert und den Server gemäß Doku vorbereitet.
Danach habe ich das linuxmuster-setup aufgerufen. Dieses läuft fast vollständig erfolgreich durch. Es terminiert nicht abschließend mit folgender Fehlermeldung:

Mit der WebUI ist das System dann nicht wie vorgesehen nutzbar. Ein erneutes Aufrufen des Setup für zu identischem Fehler.

Hinweise zur Fehlerbehbung:

Ich habe dann etwas im Code gesucht linuxmuster-base7 (v7.2): /share/firewall/opnsense/fwsetup.sh

In dem Skript werden weitere Module (os-web-proxy-sso os-freeradius os-api-backup) für die opnsense installiert, bevor weitere Konfigurationsschritte angewendet werden.

Aufgrund der Fehlermeldung bin ich davon ausgegangen, dass dies zu dem erforderlichen Zeitpunkt im Setup noch nicht erfolgt ist. Ich habe dann auf der Konsole in der OPNsense folgende Module nachinstalliert: os-web-proxy-sso os-freeradius os-squid (os-api-backup gab es bei 24.1.1 nicht).

Danach habe ich auf dem lmn-server nochmals linuxmuster-setup gestartet und danach lief es in Verbindung mit opnsense 24.1.1 erfolgreich durch.

Der Squid - Dienst in der OPNsense ist danach allerdings nicht gestartet.

LG
Chris

2 „Gefällt mir“

Hallo Chris!

Danke für die Rückmeldung. Allerdings kann ich das nicht nachvollziehen. Bei mir läuft das Setup sauber durch. Kontrollier mal mit dpkg -l | grep linuxmuster ob alle lmn-Pakete korrekt installiert sind.

VG, Thomas

Hallo Thomas,
es sind folgende Pakete installiert:

  • linuxmuster-base7 7.2.1-0
  • linuxmuster-linbo-gui7 7.2.4
  • linuxmuster-linbo7 4.2.13-0
  • linuxmuster-prepare 7.2.6-0
  • linuxmuster-tools7 7.2.16
  • linuxmuster-webui7 7.2.35

Der Server ist mit dem Skript lmn-prepare vorbereitet. Mit OPNsense 23.7.12_5 läuft das Setup erfolgreich durch. Bei 24.1.1 bricht es ab.

VG
Chris

Hallo Thomas,
zur Sicherheit habe ich nochmals von vorne begonnen OPNsense 24.1 neu installiert und vorbereitet, ebenso den Server mit Ubuntu 22.04 LTS.
Danach habe ich den Server mit lmn-prepare vorbereitet.
Ergebnis:

Nach dem Neustart werden mir folgende Pakete angezeigt:
Bildschirmfoto vom 2024-02-12 13-11-44

Danach führe ich das linuxmuster-setup aus und bricht wie folgt ab:

LG
Chris

Diesen Fehler habe ich nicht. Der Inhalt von /var/log/linuxmuster/setup.firewall.log wäre hilfreich.

Hallo Thomas,
hier der Inhalt der Log-Datei:

VG
Chris

Hallo,

genau die Fehlermeldung hatte ich bei einem der Fehlgeschlagenen Versuche auch. Das war allerdings eine 23.7, ohne dass sie vorher upgedatet war (23.7-12)
Nach update der OPNsense auf 23.7-15 vor dem setup, lief das Setup bei mir durch. Tests mit 24.1 hab ich noch nicht gemacht.
LG
Holger

Hallo Thomas,
ich habe eine Vermutung:
in dem Skript
/share/firewall/opnsense/fwsetup.sh
werden extensions installiert:

# install extensions
extensions="os-web-proxy-sso os-freeradius os-api-backup"
for item in $extensions; do
  pkg install -y $item
done

Hierbei scheint das Problem zu sein, dass für OPNsense 4.1 die extension osi-api-backup nicht mehr unterstützt wird, da dessen Funktionalität wohl nun in ähnlicher Form im core enthalten ist.

Tests:
Ich habe nun auf der Opnsense vor dem setup die beiden extensions

  • os-web-proxy-sso
  • os-freeradius
    via Konsole installiert und danach erst auf dem Server das Setup ausgeführt.

Ergebnis:

Evtl. müsste in dem Skript zuerst auf die OPNsense Version geprüft werden, um dann ggf. unterschiedliche extensions zu installieren. Der Fehler bei der Installation von os-api-backup führt scheinbar dazu, dass das setup nicht mehr durchläuft.

VG
Chris

Kann eigentlich nicht sein. pre-auth.conf wird ja hochkopiert bevor fwsetup.sh ausgeführt wird. Ich habe den Fehler auch mit 24.1.1 nicht. Sieht eher danach aus, dass der Zielpfad auf der Firewall bei euch nicht vorhanden ist. Ich werde versuchen, das abzufangen.

VG, Thomas

ok, das wäre natrülich ebenfalls möglich.

Was ich nach dem erfolgreichen Setup noch in der OPNsense gefunden habe:
Unter Dienste → SquidWebProxy → Einmalige Anmeldung

tritt folgender Fehler auf:


VG

Guten Abend allerseits!

Mit v7.2.2 funktioniert das Setup mit der aktuellen OPNsense Version 24.1.1 wieder. Bitte testet es mal.
Neu:

  • Bei OPNsense-Versionen < 24 bricht das Setup ab, bevor Änderungen am System durchgeführt werden.
  • Die dns0.eu DNS-Server sind per default eingetragen. Wer andere DNS-Server verwenden will, ändert die Einträge unter System | Einstellungen | Allgemein entsprechend.

VG, Thomas

1 „Gefällt mir“

Hallo Thomas.
Das musst Du nochmal erklären! An dieser Stelle sollte doch die 10.16.1.1 bzw 10.0.0.1; also der v7-Server stehen!?!?
Danke und viele Grüße,
Michael

Hallo Michael,

der Server ist natürlich wie gehabt an 1. Stelle als DNS-Server eingetragen. Die weiteren Adressen sind Forwarder.

VG, Thomas

Hallo Thomas,
ok, ich hatte das anders in Erinnerung. Das Thema wurde hier schon mal diskutiert:

100%ig klar ist mir aber weiterhin nicht, welche Einstellungen die richtigen sind, denn wir nutzen auch ubound auf der OPNSense, um z.B. Host-Überschreibungen einsetzen zu können.
Daher stehen bei uns die DNS-Forwarder unter:
OPNSense → Dienste: Unbound DNS: Query Forwarding

Kannst Du nochmal sagen, ob das so seine Richtigkeit hat? Ich habe nämlich manchmal den Eindruck, dass es in Sachen DNS hakt und kann nicht genau sagen, woran das liegt. Es gibt hier mit den Tablets manchmal das Problem, dass Geräte zwar im WLAN sind aber dann versuchen eine Adresse im Internet aufzulösen, die aber lokal liegt. Klingt nach einem DNS-Problem … daher meine hartnäckige Nachfrage zu diesem Thema.

Viele Grüße,
Michael

Hallo Michael,

ich kann nur sagen, dass es bei mir so funktioniert:


Das Aktivieren von Use System Nameservers bei Unbound machte hier keinen Unterschied. Bin gespannt auf die Rückmeldungen der Testenden.

VG, Thomas

Das muss ich relativieren. Ich habe das nochmal intensiver getestet. Der DNS basierte Inhaltsfilter funktioniert nur mit aktivierten System-Nameservern.
use system dns
Allerdings ist die Einstellung erst nach einem Neustart der Firewall wirksam. Außerdem ist eine Einstellungsänderung im DNS-Bereich erst nach einigen Minuten aktiv, da der Server-DNS und auch der Browser noch eine Weile gecachte Einträge ausliefert. Das macht das Testen ein wenig tricky.

VG, Thomas

Hallo Thomas,

vielen Dank für das Update. Ich habe es from-scratch getestet.
OPNsense 24.1.2 mit server VM, die ich mit lmn-prepare vorbereitet habe (Base 7.2.2-0, WebUI 4.2.13).

Dies hat wunderbar funktioniert. Die OPNsense wird während des setups konfiguriert und neu gestartet und das linuxmuster-setup (Konsole) terminiert erfolgreich.

Danach starte ich server und opnsense neu und alles funktioniert wie erwartet. :sunglasses:

Aktiviere ich bei Unbound DNS Query forwarding die System Nameservers, starte die OPNsense neu und warte etwas, dann werden auch die Aufrufe gefiltert. Suche nach Reizwörtern führt zu „harmlosen“ Ergebnissen und zu blockende Seiten wie bei dns0.eu angegeben, werden nicht angezeigt.

Super ! Danke!

LG
Chris

1 „Gefällt mir“

Ok – dann nochmal meine Rückfrage:

Wenn ich in den OPNSense-Einstellungen unter System | Einstellungen | Allgemein mehrere DNS-Server eintrage, wird doch bei einer DNS-Abfrage willkürlich einer dieser Server genommen und nicht immer nur der auf Platz 1, richtig?

Wenn das stimmt, hat das doch zur Folge, dass die Einträge z.B. zur Host-Überschreibung unter Unbound dann nicht mehr immer greifen – oder? :thinking:

Hallo Michael,

die DNS - Einträge müssten gemäß der eingetragen Rangfolge abgefragt werden - primary, secondary etc. I.d.R. erfolgt nur dann eine Auflösung über den jeweils nachfolgenden Eintrag, sofern der vorherige nicht erreichbar war oder die Anfrage nicht erfolgreich beantwortet wurde.

Für Unbound DNS sagt die OPNsense Doku zum Query Forwarding (Unbound DNS — OPNsense documentation), dass hier Domains angegeben werden, die dann abweichend zu den System DNS-Einträgen anderweitig weitergeleitet werden.

Sichere Deine Opnsense-Einstellungen und probier doch mal, wie dann deine Eintragungen aufgelöst werden.

VG
Chris

1 „Gefällt mir“