Hallo Thomas,
es sind folgende Pakete installiert:
Der Server ist mit dem Skript lmn-prepare vorbereitet. Mit OPNsense 23.7.12_5 läuft das Setup erfolgreich durch. Bei 24.1.1 bricht es ab.
VG
Chris
Hallo Thomas,
zur Sicherheit habe ich nochmals von vorne begonnen OPNsense 24.1 neu installiert und vorbereitet, ebenso den Server mit Ubuntu 22.04 LTS.
Danach habe ich den Server mit lmn-prepare vorbereitet.
Ergebnis:
Nach dem Neustart werden mir folgende Pakete angezeigt:
Danach führe ich das linuxmuster-setup aus und bricht wie folgt ab:
LG
Chris
Diesen Fehler habe ich nicht. Der Inhalt von /var/log/linuxmuster/setup.firewall.log wäre hilfreich.
Hallo,
genau die Fehlermeldung hatte ich bei einem der Fehlgeschlagenen Versuche auch. Das war allerdings eine 23.7, ohne dass sie vorher upgedatet war (23.7-12)
Nach update der OPNsense auf 23.7-15 vor dem setup, lief das Setup bei mir durch. Tests mit 24.1 hab ich noch nicht gemacht.
LG
Holger
Hallo Thomas,
ich habe eine Vermutung:
in dem Skript
/share/firewall/opnsense/fwsetup.sh
werden extensions installiert:
# install extensions
extensions="os-web-proxy-sso os-freeradius os-api-backup"
for item in $extensions; do
pkg install -y $item
done
Hierbei scheint das Problem zu sein, dass für OPNsense 4.1 die extension osi-api-backup nicht mehr unterstützt wird, da dessen Funktionalität wohl nun in ähnlicher Form im core enthalten ist.
Tests:
Ich habe nun auf der Opnsense vor dem setup die beiden extensions
Ergebnis:
Evtl. müsste in dem Skript zuerst auf die OPNsense Version geprüft werden, um dann ggf. unterschiedliche extensions zu installieren. Der Fehler bei der Installation von os-api-backup führt scheinbar dazu, dass das setup nicht mehr durchläuft.
VG
Chris
Kann eigentlich nicht sein. pre-auth.conf wird ja hochkopiert bevor fwsetup.sh ausgeführt wird. Ich habe den Fehler auch mit 24.1.1 nicht. Sieht eher danach aus, dass der Zielpfad auf der Firewall bei euch nicht vorhanden ist. Ich werde versuchen, das abzufangen.
VG, Thomas
ok, das wäre natrülich ebenfalls möglich.
Was ich nach dem erfolgreichen Setup noch in der OPNsense gefunden habe:
Unter Dienste → SquidWebProxy → Einmalige Anmeldung
tritt folgender Fehler auf:
Guten Abend allerseits!
Mit v7.2.2 funktioniert das Setup mit der aktuellen OPNsense Version 24.1.1 wieder. Bitte testet es mal.
Neu:
System | Einstellungen | Allgemein entsprechend.VG, Thomas
Hallo Thomas.
Das musst Du nochmal erklären! An dieser Stelle sollte doch die 10.16.1.1 bzw 10.0.0.1; also der v7-Server stehen!?!?
Danke und viele Grüße,
Michael
Hallo Michael,
der Server ist natürlich wie gehabt an 1. Stelle als DNS-Server eingetragen. Die weiteren Adressen sind Forwarder.
VG, Thomas
Hallo Thomas,
ok, ich hatte das anders in Erinnerung. Das Thema wurde hier schon mal diskutiert:
100%ig klar ist mir aber weiterhin nicht, welche Einstellungen die richtigen sind, denn wir nutzen auch ubound auf der OPNSense, um z.B. Host-Überschreibungen einsetzen zu können.
Daher stehen bei uns die DNS-Forwarder unter:
OPNSense → Dienste: Unbound DNS: Query Forwarding
Kannst Du nochmal sagen, ob das so seine Richtigkeit hat? Ich habe nämlich manchmal den Eindruck, dass es in Sachen DNS hakt und kann nicht genau sagen, woran das liegt. Es gibt hier mit den Tablets manchmal das Problem, dass Geräte zwar im WLAN sind aber dann versuchen eine Adresse im Internet aufzulösen, die aber lokal liegt. Klingt nach einem DNS-Problem … daher meine hartnäckige Nachfrage zu diesem Thema.
Viele Grüße,
Michael
Hallo Michael,
ich kann nur sagen, dass es bei mir so funktioniert:
Das Aktivieren von Use System Nameservers bei Unbound machte hier keinen Unterschied. Bin gespannt auf die Rückmeldungen der Testenden.
VG, Thomas
Das muss ich relativieren. Ich habe das nochmal intensiver getestet. Der DNS basierte Inhaltsfilter funktioniert nur mit aktivierten System-Nameservern.
Allerdings ist die Einstellung erst nach einem Neustart der Firewall wirksam. Außerdem ist eine Einstellungsänderung im DNS-Bereich erst nach einigen Minuten aktiv, da der Server-DNS und auch der Browser noch eine Weile gecachte Einträge ausliefert. Das macht das Testen ein wenig tricky.
VG, Thomas
Hallo Thomas,
vielen Dank für das Update. Ich habe es from-scratch getestet.
OPNsense 24.1.2 mit server VM, die ich mit lmn-prepare vorbereitet habe (Base 7.2.2-0, WebUI 4.2.13).
Dies hat wunderbar funktioniert. Die OPNsense wird während des setups konfiguriert und neu gestartet und das linuxmuster-setup (Konsole) terminiert erfolgreich.
Danach starte ich server und opnsense neu und alles funktioniert wie erwartet. 
Aktiviere ich bei Unbound DNS Query forwarding die System Nameservers, starte die OPNsense neu und warte etwas, dann werden auch die Aufrufe gefiltert. Suche nach Reizwörtern führt zu „harmlosen“ Ergebnissen und zu blockende Seiten wie bei dns0.eu angegeben, werden nicht angezeigt.
Super ! Danke!
LG
Chris
Ok – dann nochmal meine Rückfrage:
Wenn ich in den OPNSense-Einstellungen unter System | Einstellungen | Allgemein mehrere DNS-Server eintrage, wird doch bei einer DNS-Abfrage willkürlich einer dieser Server genommen und nicht immer nur der auf Platz 1, richtig?
Wenn das stimmt, hat das doch zur Folge, dass die Einträge z.B. zur Host-Überschreibung unter Unbound dann nicht mehr immer greifen – oder? 
Hallo Michael,
die DNS - Einträge müssten gemäß der eingetragen Rangfolge abgefragt werden - primary, secondary etc. I.d.R. erfolgt nur dann eine Auflösung über den jeweils nachfolgenden Eintrag, sofern der vorherige nicht erreichbar war oder die Anfrage nicht erfolgreich beantwortet wurde.
Für Unbound DNS sagt die OPNsense Doku zum Query Forwarding (Unbound DNS — OPNsense documentation), dass hier Domains angegeben werden, die dann abweichend zu den System DNS-Einträgen anderweitig weitergeleitet werden.
Sichere Deine Opnsense-Einstellungen und probier doch mal, wie dann deine Eintragungen aufgelöst werden.
VG
Chris
Moingiorno!
Die Einstellung Use System Nameservers ist jetzt standardmäßig nach dem Setup aktiv und wirkt auch sofort. Reboot ist nicht notwendig, wenn man die Option umschaltet, es muss nur lange genug gewartet werden bis es wirkt.
VG, Thomas
Nochmal ein Nachtrag bzw eine „neue“ Beobachtung auf der OPNSense zum Thema:
Wenn ich auf der OPNSense als DNS-Server nur 10.16.1.1 eintrage, erhalte ich bei
→ Dienste: Squid Web Proxy: Einmalige Anmeldung → Kerberos-Authentifizierungscheckliste
lauter grüne Häkchen 
. Also alles 
Wenn ich aber unter
→ System: Einstellungen: Allgemein → DNS-Server zusätzlich zum v7-Server die dns0.eu Nameserver eintrage (so wie oben gezeigt), sind anschließend bei der Kerberos-Authentifizierungscheckliste nicht mehr alle Häckchen grün bzw sind sogar von Mal zu Mal andere grün , während die anderen Tests nicht mehr richtig durchgeführt werden können (rot quittiert: 
) Dann wird offenbar doch zufällig einer der anderen DNS-Server verwendet und nicht in der Reifenfolge „immer zuerst der v7-Server und falls der nicht erreichbar ist, der nächste in der Reihe“?!?
Mit anderen Worten: Es scheint weiterhin besser zu sein, dass man nur den v7-Server auf der OPNSense einträgt – zumindest solange man auch den Proxy einsetzen will.
Viele Grüße,
Michael
