ich hatte heute in der Schule einen ganz komischen Totalausfall:
Anmelden am Client ging, aber danach nur noch lokale Dinge.
Auch an den mobilen Endgeräten, die in grün waren ging nix mit Netz…
Es war bald ermittelt, dass der Samba nicht mehr auf DNS-Anfragen reagiert hat.
Dann hat es noch eine Weile gedauert, bis ich gemerkt habe, dass die OPNsense schuld war. Die Weboberfläche von der hat aber prima getan nur der Unbound-DNS war aus… und ließ sich auch nicht starten.
Echt krass, welche blöden Seiteneffekte es hat, wenn die Systempartition voll ist (df -h hat mir gemeldet, dass 102% (sic!) von /dev/OPNsense/ belegt war.
Also Logfiles gelöscht und neu gestartet… schwupps funktionierte wieder alles.
Also falls ich wieder mal so was habe und im Forum nach DNS, Samba, resolv oder so was suche, finde ich hoffentlich diesen Beitrag und erinnere mich, dass mir das schonmal passiert ist.
das Problem (Festplatte auf Firewall voll) war hier im Forum schon mehrfach zu lesen mit verschiedenen Auswirkungen (DNS, Squid geht nicht mehr). Vielleicht sollte das in die Installationsanleitung als dringende Empfehlung aufgenommen werden entsprechende Einstellungen im opnSense zu prüfen.
Hi @Buster
du hast Recht… wenn man nach „Festplatte voll“ sucht, kommt gleich „Plötzlich und unerwartet“ kein Internet
was genau mein Problem trifft. @cweikl, wäre das ne Idee, die Doku dahingehend zu erweitern? Wo wäre denn ein geeigneter Platz, der einerseits nicht unnötig Kapazität der Lesenden absorbiert, während es kein Problem ist und andererseits genug auffällt, dass man im Zweifel dran denkt?
ein Hinweis in der Doku ist in jedem Fall sinnvoll.
Wäre es aber nicht besser, zusätzlich eine sinnvolle Empfehlung für Festplattenplatz zu geben und dann eine dazu passende Konfiguration der Logs vorzunehmen, z. B. durch so was wie Logrotate oder auch etwaige Features der relevanten Dienste? Das könnte doch gleich durch das Skript gemacht werden, das die OPNSense für die LMN einrichtet.
da es sich um Protokolldateien handelt, kann das von Einrichtung zu Einrichtung völlig unterschiedlich sein. Ob da 100 MB, 1 GB, 10 GB oder 100 GB Plattenplatz gebraucht werden, hängt doch sehr von den jeweiligen Umgebungen, Diensten und Protokollierungsleveln ab. Das muss ein Admin beobachten und nachjustieren und nach Wechsel zum Live-Betrieb nochmal beobachten und nachjustieren.
Dort findet sich ebenfalls der Hinweis, dass "als Standard die OPNsense Einträge für einen 30 Tageszeitraum mitschreibt. Wir raten, den Zeitraum in den Einstellungen (System --> Einstellungen --> Protokollierung) individuell zu verkleinern und nur bei Bedarf und ausreichendem Plattenplatz zu erhöhen. Ein logrotate müsste bei Bedarf in der crontab angelegt werden.
Empfehlung: RAM –> 8GiB, HDD –> 50GiB"
Ja, das ist an der Stelle nicht besonders prominent.
Evtl. könnten wir unter „Systemadministration“ für die OPNsense ein kurzes Kapitel einfügen mit wiederkehrenden Admin-Tätigkeiten und Lösungsstrategien für wiederkehrende Probleme ?
interessant wäre in jedem Fall, generell ein Monitoring zu empfehlen, das es ermöglicht solche und ähnliche Systemprobleme schnell zu erkennen.
Ich plane für unser System an der Schule gerade einen großen Monitor aufzustellen, auf dem die Systemlast, wichtige Prozesse und ähnliches mehr dauerhaft dargestellt werden. Bei Problemen kann man eben schnell mal einen Blick dorthin werfen, um zu sehen, was gerade ausgefallen ist.
Das wäre auch eine Empfelung von mir, ein korrektes Monitoring kann bei vielen Problemen schon sehr hilfreich sein.
Ich bin selber noch nicht so weit, dass ich die OpnSense im Check_MK eingebunden habe aber das liegt daran, dass ich gerade noch im Aufbau der gesamten Infrasturktur bin und mich erst um die anderen Dienste kümmern will, damit die Lehrer schon mal was zu sehen bekommen und vielleicht selber schon aktiv was machen können.
Ich hatte alles im Monitoring, aber die Firewall komplett vergessen.
Zumindest die Plattenbelegung hab ich jetzt mal quick‘n‘dirty eingebunden mit einem Localcheck auf dem Server, der kurz per SSH df -h aufruft…
Bei Gelegenheit schau ich mir mal an, wie ich die OPNSense direkt in check_mk einbinden kann
Das habe ich auch gelesen und ein Bekannter von mir sagte das auch er riet mir dazu die FW dann einfach über SNMP zu überwachen.
Ich frage mich aber gerade was genau das Update nicht überlebt, wenn man das über ssh machen sollte, wie in dem 2. Post beschrieben. Ich werde das mal testen.
bei einem Upgrade werden auf der OPNSense Dateien überschrieben – daher fängt man mit den Schritten 5-9 neu an und muss auch den Dienst neu starten.
Aber neulich hatte ich ja schon mal das hier gepostet: