Hallo Thomas,
zur Sicherheit habe ich nochmals von vorne begonnen OPNsense 24.1 neu installiert und vorbereitet, ebenso den Server mit Ubuntu 22.04 LTS.
Danach habe ich den Server mit lmn-prepare vorbereitet.
Ergebnis:
genau die Fehlermeldung hatte ich bei einem der Fehlgeschlagenen Versuche auch. Das war allerdings eine 23.7, ohne dass sie vorher upgedatet war (23.7-12)
Nach update der OPNsense auf 23.7-15 vor dem setup, lief das Setup bei mir durch. Tests mit 24.1 hab ich noch nicht gemacht.
LG
Holger
Hallo Thomas,
ich habe eine Vermutung:
in dem Skript
/share/firewall/opnsense/fwsetup.sh
werden extensions installiert:
# install extensions
extensions="os-web-proxy-sso os-freeradius os-api-backup"
for item in $extensions; do
pkg install -y $item
done
Hierbei scheint das Problem zu sein, dass für OPNsense 4.1 die extension osi-api-backup nicht mehr unterstützt wird, da dessen Funktionalität wohl nun in ähnlicher Form im core enthalten ist.
Tests:
Ich habe nun auf der Opnsense vor dem setup die beiden extensions
os-web-proxy-sso
os-freeradius
via Konsole installiert und danach erst auf dem Server das Setup ausgeführt.
Evtl. müsste in dem Skript zuerst auf die OPNsense Version geprüft werden, um dann ggf. unterschiedliche extensions zu installieren. Der Fehler bei der Installation von os-api-backup führt scheinbar dazu, dass das setup nicht mehr durchläuft.
Kann eigentlich nicht sein. pre-auth.conf wird ja hochkopiert bevor fwsetup.sh ausgeführt wird. Ich habe den Fehler auch mit 24.1.1 nicht. Sieht eher danach aus, dass der Zielpfad auf der Firewall bei euch nicht vorhanden ist. Ich werde versuchen, das abzufangen.
Mit v7.2.2 funktioniert das Setup mit der aktuellen OPNsense Version 24.1.1 wieder. Bitte testet es mal.
Neu:
Bei OPNsense-Versionen < 24 bricht das Setup ab, bevor Änderungen am System durchgeführt werden.
Die dns0.eu DNS-Server sind per default eingetragen. Wer andere DNS-Server verwenden will, ändert die Einträge unter System | Einstellungen | Allgemein entsprechend.
Hallo Thomas.
Das musst Du nochmal erklären! An dieser Stelle sollte doch die 10.16.1.1 bzw 10.0.0.1; also der v7-Server stehen!?!?
Danke und viele Grüße,
Michael
Hallo Thomas,
ok, ich hatte das anders in Erinnerung. Das Thema wurde hier schon mal diskutiert:
100%ig klar ist mir aber weiterhin nicht, welche Einstellungen die richtigen sind, denn wir nutzen auch ubound auf der OPNSense, um z.B. Host-Überschreibungen einsetzen zu können.
Daher stehen bei uns die DNS-Forwarder unter:
OPNSense → Dienste: Unbound DNS: Query Forwarding
Kannst Du nochmal sagen, ob das so seine Richtigkeit hat? Ich habe nämlich manchmal den Eindruck, dass es in Sachen DNS hakt und kann nicht genau sagen, woran das liegt. Es gibt hier mit den Tablets manchmal das Problem, dass Geräte zwar im WLAN sind aber dann versuchen eine Adresse im Internet aufzulösen, die aber lokal liegt. Klingt nach einem DNS-Problem … daher meine hartnäckige Nachfrage zu diesem Thema.
Das muss ich relativieren. Ich habe das nochmal intensiver getestet. Der DNS basierte Inhaltsfilter funktioniert nur mit aktivierten System-Nameservern.
Allerdings ist die Einstellung erst nach einem Neustart der Firewall wirksam. Außerdem ist eine Einstellungsänderung im DNS-Bereich erst nach einigen Minuten aktiv, da der Server-DNS und auch der Browser noch eine Weile gecachte Einträge ausliefert. Das macht das Testen ein wenig tricky.
vielen Dank für das Update. Ich habe es from-scratch getestet.
OPNsense 24.1.2 mit server VM, die ich mit lmn-prepare vorbereitet habe (Base 7.2.2-0, WebUI 4.2.13).
Dies hat wunderbar funktioniert. Die OPNsense wird während des setups konfiguriert und neu gestartet und das linuxmuster-setup (Konsole) terminiert erfolgreich.
Danach starte ich server und opnsense neu und alles funktioniert wie erwartet.
Aktiviere ich bei Unbound DNS Query forwarding die System Nameservers, starte die OPNsense neu und warte etwas, dann werden auch die Aufrufe gefiltert. Suche nach Reizwörtern führt zu „harmlosen“ Ergebnissen und zu blockende Seiten wie bei dns0.eu angegeben, werden nicht angezeigt.
Wenn ich in den OPNSense-Einstellungen unter System | Einstellungen | Allgemeinmehrere DNS-Server eintrage, wird doch bei einer DNS-Abfrage willkürlicheiner dieser Server genommen und nicht immer nur der auf Platz 1, richtig?
Wenn das stimmt, hat das doch zur Folge, dass die Einträge z.B. zur Host-Überschreibung unter Unbound dann nicht mehr immer greifen – oder?
die DNS - Einträge müssten gemäß der eingetragen Rangfolge abgefragt werden - primary, secondary etc. I.d.R. erfolgt nur dann eine Auflösung über den jeweils nachfolgenden Eintrag, sofern der vorherige nicht erreichbar war oder die Anfrage nicht erfolgreich beantwortet wurde.
Für Unbound DNS sagt die OPNsense Doku zum Query Forwarding (Unbound DNS — OPNsense documentation), dass hier Domains angegeben werden, die dann abweichend zu den System DNS-Einträgen anderweitig weitergeleitet werden.
Sichere Deine Opnsense-Einstellungen und probier doch mal, wie dann deine Eintragungen aufgelöst werden.
Die Einstellung Use System Nameservers ist jetzt standardmäßig nach dem Setup aktiv und wirkt auch sofort. Reboot ist nicht notwendig, wenn man die Option umschaltet, es muss nur lange genug gewartet werden bis es wirkt.
Nochmal ein Nachtrag bzw eine „neue“ Beobachtung auf der OPNSense zum Thema:
Wenn ich auf der OPNSense als DNS-Server nur 10.16.1.1 eintrage, erhalte ich bei
→ Dienste: Squid Web Proxy: Einmalige Anmeldung → Kerberos-Authentifizierungscheckliste lauter grüne Häkchen . Also alles
Wenn ich aber unter
→ System: Einstellungen: Allgemein → DNS-Server zusätzlich zum v7-Server die dns0.eu Nameserver eintrage (so wie oben gezeigt), sind anschließend bei der Kerberos-Authentifizierungscheckliste nicht mehr alle Häckchen grün bzw sind sogar von Mal zu Mal andere grün , während die anderen Tests nicht mehr richtig durchgeführt werden können (rot quittiert: ) Dann wird offenbar doch zufälligeiner der anderen DNS-Server verwendet und nicht in der Reifenfolge „immer zuerst der v7-Server und falls der nicht erreichbar ist, der nächste in der Reihe“?!?
Mit anderen Worten: Es scheint weiterhin besser zu sein, dass man nur den v7-Server auf der OPNSense einträgt – zumindest solange man auch den Proxy einsetzen will.