Murks nach linuxmuster-setup im Setup der opnSense

Hallo zusammen,

leider muss ich euch heute auf einen ziemlichen Murks beim Setup hinweisen.

Aus gegebenem Anlass (das Upgrade auf linuxmuster.net 7.2 hat obwohl nach Anleitung durchgeführt, so nicht funktioniert. Rechner ließen sich obwohl nach Anleitung der Migration vorgegangen nicht mehr imagen noch starten) habe ich heute versucht eine Neuinstallation vorzunehmen und das Ergebnis ist gelinde gesagt beschähmend!

Punkt 1) die vielgerühmte opnSense ist mittlerweile auf Stand 25.x daher funktioniert das Skript linuxmuster-setup nicht. Dieses verlangt eine veraltete opnSense auf Stand 24.*
Also hier bitte an den Installationsskripten nacharbeiten!

Punkt 2) aktualisiere ich die opnSense auf irgendeinen Punkt 24.x funktionieren die Skripte dennoch nicht.

Gibt es irgendeinen Weg wie man ohne die (aus meiner Sicht zweifelhafte) opnSense auskommt und lmn-from-scratch aufsetzen kann?

Noch mal Hallo,

ich will jetzt kein paedml-Produkt als Beispiel voran stellen…aber bei der paedml-Novell ist es absolut wurscht, welche FW-Appliance da im Vordergrund wirkt…kann man das innerhalb der Linuxmuster.net -Lösung nicht ebenso anpassen? Falls nicht, dann passt bitte Eure Installationsanleitungen so an, dass man nicht stets und ständig über irgendwelche Fehler rennt.


Da s hier ist ein nettes Beispiel dafür! Wer hat hier diese DNS-Server eingetragen??
in der SMB,conf steht per default 10.0.0.254 als forwarder eingetragen…Spitzensache…der Server verweist auf die Firewall als DNS-Forwarder und die FW verweist auf den Server zurück

Sorry…Leute, aber das is Kappes!!

ich erinnere mich, das auch schon mal nicht verstanden zu haben und hier gefragt zu haben. Sorry, dass ich nicht helfen kann, außer: such mal im ASK nach DNS und ruf mal bei der Hotline an. hoffentlich wissen die, was stand der dinge ist.

Hallo Tobias,

irgendwie findet man als admin schon wieder einem Weg um die Sache gerade zu biegen, aber das es kann nicht sein, dass man sich auf LFBs als Alternative zur paedml-{Windows,-Linux,-Novell) geriert und sich dann seinerseits solche Bugs leistet

Hallo Thomas,

tut mir schrecklich Leid, dass du da Propbleme hast.
Ich habe Gestern auch eine lmn 7.2 from scratch neu aufgesetzt.
Dabei habe ich die beiden Probleme auch gehabt, die du beschreibst:
opnsense mit 25.x zu neu (also hab ich eine 24.7 aufgesetzt und danach upgegraded: ja muss im installationsscript angepaßt werden: der guithub issueeintrag steht bei mir seit Gestern auf der ToDo Liste)
und die omminösen DNS Einträge (die beiden IPs unter der des Servers).

Aber: der Eintrag des Servers als primärer DNS in der OPNsense ist nicht „Kappes“ sondern Absicht und muß so sein.
Ich weiß: sieht aus wie ein „merry go arround“ das nirgendwo hin führt: das sit es aber nicht. Für die SingleSignOn Geschichten in der OPNsense, muß die Kommunikation mit dem AD stimmen, und da gehört dazu, dass Client (OPNsense) und AD von den gleichen Clients reden: also den gleichen DNS verwenden: deswegen weißt der da zurück.

Mir kam das schon vor Jahren genau so komisch vor, wie dir gerade: weswegen ich hier im Forum nachfragte, ob das so muss …
Damals wurde mir erklärt, dass das so muss, und auch warum … aber da bin ich leider zu doof für … deswegen kann ich dir leider nicht erklären wi das geht (hat was mit unbound zu tun? ).
Ich trag halt in der OPNsense als zweiten und dritten DNS die ein, die ich haben will.
Aber der erste ist trotzdem der Server.

Und zu der Firewallwahl: man kann linuxmuster-setup auch „ohne Firewall“ laufen lassen. Die lmn geht seit vielen Jahren auch ohne Firewall. Mancheiner nimmt sophos statt OPNsense, aber das steht dir frei.

Ich war dem Link in der Doku gefolgt zur Seite, die linuxmuster-setup genauer beschreibt: da steht auch das „ohne Firewall“.

LG
Holger

Abend,

Kann man die auch nachtraeglich noch rausoperieren? Ich glaub mich zu erinnern, dass die Firewall-VM mal irgendwann gecrasht ist und dann keine Clients mehr in die Domaene aufgenommen werden konnten oder sowas. Bei uns macht die OPNsense nix, Firewalls werden sowieso ueberbewertet. Ich krieg schon die Krise wenn ich mich mal auf die Shell der OPNsense begebe und mich da mit BSD-Shit rumaergnern muss :slight_smile:

Gruss Harry

Hi,

wenn der Squid auf der OpnSense Hostnamensauflösung braucht, ist das okay, aber dann muss der LMN-Server als DNS-Forwarder externe DNS-Server und nicht die Opnsense nutzen. Wenn die Einstellungen wie beschrieben sind, führt das unweigerlich zu einem Loop und unnötigen Verzögerungen bei der DNS-Auflösung. Im Grunde schieben sich beide Systeme die DNS-Anfragen hin und her, bis eines entnervt aufgibt und seinen sekundär eingetragenen DNS-Server befragt.

VG
Buster

Hallo Harry,

ich wüßte jetzt nciht, weswegen du die OPNsense nicht einfach weglassen können solltest. Du brauchst halt irgend was davor, was die 10.16.1.254 hat und allen Traffik raus routet. Und vielelicht willst du ja auch das „Draußen“ irgendwie draußen halten. Ob du das dann mit einer Fritzbox machst oder einer Firewall: deine Sache.
Webfilter, Internetabschaltung, WLAN Freigabe usw. gehen dann halt nicht mehr ohne weiteres.
LG
Holger

Hallo Buster,

… ich glaube so war die Antwort auch: man solle den „richtigen“ DNS im samba eintragen (das ist der DNS Dienst auf dem Server).
Ich hab das aber, meine ich, nie gemacht …und konnte auch beim Setup nicht erkennen, dass irgend wo ein DNS abgefragt wird und irgend wo eingetragen wird …
Aber wie gesagt: ich weiß es nicht…

LG
Holger

Hallo,

Ja den Skip Firewall schalter. Wir haben so gut wie nie eine opnSense und verwenden stattdessen die Sophos XGS.

Viele Grüße, Maurice

Hallo,

ja, einfach abschalten. Es wird nur das Setup der opnSense vorgenommen. Die kommunikation zwischen FW und Server läuft nur via LDAP und wenn das nicht mehr angefragt wird ist es dem Server egal.

Die Firewall ist eine Option aber absolut kein muss und kein fester Bestandteil der Lösung.

LG, Maurice

1 „Gefällt mir“

Hallo,

vielen Dank erstmal für Eure Hilfe. Ich werde es heute nochmal versuchen.

VG
Thomas

Hallo allerseits,

in diesem Thread finde ich die Wortwahl mal wieder ziemlich daneben. Man ist das ja von einzelnen Autoren hier im Forum schon gewohnt, aber dennoch:

Es handelt sich bei linuxmuster.net nicht um ein Produkt einer großen amerikanischen Softwarefirma, sondern um ein Community-Projekt. Die Software ist kostenlos.

Wenn ihr Probleme mit dem Produkt habt, sind die Entwickler sicher dankbar, auf diese hingewiesen zu werden, aber eine dermaßen abwertende Wortwahl wie „vollkommener Quark“ oder „BSD-Shit“ (bezog sich auf OPNsense, aber für die zahlst du ja auch nicht…) finde ich nicht akzeptabel. Wenn ihr euch über was aufregt, dann atmet, bevor ihr hier im Forum öffentlich postet, erstmal ordentlich durch und mäßigt euch!

Viele Grüße,
Stefan

5 „Gefällt mir“

Hallo zusammen,

da der Kunde nicht auf seine opnSense verzichten möchte, ist das Weglassen der Firewall keine Option.

Der Ausgangszustand ist Schule xy hat eine linuxmuster7.1 und diese sollte während der Faschingsferien auf 7.2 aktualisiert werden. Obwohl nach Upgrade-Anleitung vorgegangen ließen sich im Anschluß das Images per Torrent nicht mehr verteilen. Unglücklicherweise lies sich auch kein Client mehr starten. Nach vergeblichen Troubleshooten wurde letztendlich die Lösung auf den Ausgangszustand 7.1 zurückgesichert. Angeblich sollen sich jetzt die Clients immer auch nach PXE-Boot noch nicht wieder starten lassen.

Da auf dem Server als solches nicht viele Daten gespeichert sind, bzw. man diese auch problemlos aus dem Backup zurücksichern könnte, war die Idee, den Server auf Stand 7.2 neu zu installieren, Benutzer.csv und Devices.csv zu übernehmen und die LinuxMint.cloop-Images zu übernehmen und entsprechend Linbo-Migrationsanleitung in q2cow-Images umzuwandeln.

Der Virtualisierungshost bietet glücklicherweise ausreichend Ressourcen dafür, einen Parallel-Betrieb der neuen Lösung durch separiertes VLAN zu ermöglichen. D.h. die alte linuxmuster7.1 kann weiter laufen, bis die neue Umgebung fertig ist.

Das Problem ist, an der Schule wird eine physikalische opnSense-Appliance eingesetzt, dessen Regelwerk sich einiger Komplexität erfreut.

Zunächst ist für das die Neuinstallation möglich, eine virtualisierte opnSense parallel zur physikalischen opnSense zu betreiben → so geschehen

Der Server ließ sich auch bis zum Ausführen von linuxmuster-setup --location=„Schulort“ --schoolname=„Lehranstalt“ --country=DE --state=BW anstandlos installieren, aber danach tauchten wieder Probleme auf:

  1. Server konnte keine externen Domains mehr auflösen → wie bereits geschrieben
  2. Server konnte die FW-nicht mehr per Ping erreichen → Das Regelwerk wurde aus durch die Initialisierung der FW verändert
  3. Die Alias-Gruppe NoProxy wurde auf der Firewall nicht angelegt, aber in einer FW-Regel referenziert.

Wie gesagt…die Möglichkeit des -s Schalters beim Setup ist mir bekannt.

Was mich interessieren würde, wie binde ich nachträglich die FW wieder an, wenn ich beim Setup des -s Schalter „drücke“? „Merkt“ sich das System irgendwo, dass beim Setup der -s
Schalter „gedrückt“ wurde oder rennt man dann bei linuxmuster-import-subnets oder linuxmuster-import-devices in irgendwelche seltsamen Seltsamheiten?

VG
Thomas

Ich habe es so verstanden:

  1. Der Linuxmusterserver (bei uns auf 10.0.0.1) ist der interne und damit erste DNS-Server der abgefragt werden soll, daher steht er auch bei allen Clients als DNS Server

  2. Die Firewall (bei uns auf 10.0.0.254) verweist daher auch direkt auf den Linusmusterserver als DNS-Server als einzigen DNS.

  3. Auf dem Server beim Samba Dienst steht daher auch nur die Firewall als DNS Forwarder.

Jetzt kommt m.E. der Trick, dass es sich hier nicht um einen Auflösungsschleife handelt und so richtig eingestellt ist.

  1. Die Anfragen, die der interne DNS nicht auflösen kann werden über das Tool Ubound DNS der OPNSense Firewall beantwortet und bei uns auf KinderschutzDNS Server weitergeleitet.

Ich habe bei der Ersteinrichtung viele Varianten ausprobiert, diese funktioniert bei uns zuverlässig. Die größte Schwierigkeit bestand in der Zuverlässigkeit der Kerberosauthentifizierung der OPNSense für den Internetproxy der Clients, dort waren die Häkchen nur zufällig grün, in der obigen Konstellation aber durchgängig.
Bei OPNSense > Dienste > Squid Web Proxy > Einmalige Anmeldung > Kerberos-Authentifizierung

Was davon das Setup von alleine lieferte weiß ich nicht mehr, aber es lief auf jeden Fall nicht von Anfang an rund …
Wir arbeiten ausschließlich mit Windows-Clients.
Viele Grüße, Adrian

1 „Gefällt mir“

Hallo Adrian,

besten Dank, dass hat mir erstmal weitergeholfen. Nach Aktivierung von Unbound und hinzufügen eines Forwarder scheint erstmal alles zu funktionieren.

Im Zweifel lass ich das einfach so…dann muss die Schule halt erstmal mit einer virtuellen opnSense leben.

VG
Thomas

Hallo Thomas,

ich würde sagen: Ja, der server merkt sich, was beim setup eingetragen wird.
Das steht in der Datei /var/lib/linuxmuster/setup.ini

zum nachträglichen Anbinden einer OPNsense sollte das script:
linuxmuster-opnsense-reset
fungieren.
Hab ich noch nicht benutzt: aber kannst du mal mit --help abfragen, was die Fähigkeiten sind …

linuxmuster-opnsense-reset --help
Usage: linuxmuster-opnsense-reset [options]
Sets the firewall to the state after setup.
Custom adjustments made since then are lost.
Note: The firewall will be restartet during the process.
 [options] may be:
 -f, --force       : Force execution without asking for consent.
 -p, --pw=<secret> : Current firewall root password,
                     if it is omitted script will ask for it.
 -s, --sleep=<#>   : Sleep time in secs after firewall restart and before
                     keytab creation (default 10).
 -h, --help        : Print this help.

sieht gut aus, würde ich sagen.

LG

Holger