Linuxmuster V7.0
Firewall war IPFIRE auf dem Blech installiert (Anmerkung: Das hat nicht gut funktioniert, deshalb soll ich die OpnSense anstelle des IPFIRE installieren (was schon erledigt ist)
Firewall ist jetzt Opnsense (nachträglich als virtuelle Maschine installiert)
Der Server beinhaltet schon viele Nutzer, Daten und Einstellungen die nicht verloren gehen sollen. Der Server wurde mit den alten Netzwerkeinstellungen konfiguriert (do-it-like-babo).
Meine Frage:
Mit welchem Befehl kann ich Server und OPNsense aneinander anpassen?
Sets the firewall to the state after setup.
Custom adjustments made since then are lost.
Note: The firewall will be restartet during the process.
Do you want to continue (YES)? YES
Enter the current firewall root password:
Please re-enter the current firewall root password:
Executing ssh command on 10.16.1.254:
* → „exit“
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:134: CryptographyDeprecationWarning: Support for unsafe construction of public numbers from encoded data will be removed in a future version. Please use EllipticCurvePublicKey.from_encoded_point
self.ecdsa_curve.curve_class(), pointinfo
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:202: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signature, ec.ECDSA(self.ecdsa_curve.hash_object())
/usr/lib/python3/dist-packages/paramiko/rsakey.py:99: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
algorithm=hashes.SHA1(),
/usr/lib/python3/dist-packages/paramiko/dsskey.py:114: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = key.signer(hashes.SHA1())
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:184: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = self.signing_key.signer(ecdsa)
* SSH connection successfully established.
* Execution finished successfully.
firewall
Reading setup data … Success!
Calculating radius secret … Success!
Downloading firewall configuration:
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:134: CryptographyDeprecationWarning: Support for unsafe construction of public numbers from encoded data will be removed in a future version. Please use EllipticCurvePublicKey.from_encoded_point
self.ecdsa_curve.curve_class(), pointinfo
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:202: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signature, ec.ECDSA(self.ecdsa_curve.hash_object())
/usr/lib/python3/dist-packages/paramiko/rsakey.py:99: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
algorithm=hashes.SHA1(),
/usr/lib/python3/dist-packages/paramiko/dsskey.py:114: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = key.signer(hashes.SHA1())
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:184: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = self.signing_key.signer(ecdsa)
* Download finished successfully.
* Backing up … Success!
* Reading current config … Success!
* Reading certificates & ssh key … Success!
* Creating xml configuration file … Failed!
Waiting for opnsense to come up
und dann kommt
Executing ssh command on 10.16.1.254:
* → „exit“
* Unable to establish a SSH connection!
Executing ssh command on 10.16.1.254:
* → „exit“
* Unable to establish a SSH connection!
Executing ssh command on 10.16.1.254:
* → „exit“
* Unable to establish a SSH connection!
Executing ssh command on 10.16.1.254:
* → „exit“
* Unable to establish a SSH connection!
Executing ssh command on 10.16.1.254:
* → „exit“
und das wiederholt sich endlos.
Anmerkung: Die OpnSense startet auch nicht neu. Kann das daran liegen, dass die alte Netzmaske 255.240.0.0 verwendet wird?
ich würde mal einen manuellen SSH auf die Firewall probieren. Klappt das?
Ebenso mal versuchen über die OPNsense WebUI einzuloggen und nachsehen, ob die Standardregeln, Kerberos etc. gesetzt wurden.
nach dem Setup mußt Du nichts mehr anpassen. Du kannst ja nachsehen, ob in den Firewallregeln unter LAN z.B. der NoProxy Alias existiert und direkter Internetzugang anhand der Regeln gesperrt ist. Ansonsten denke ich, daß das geklappt hat.
Evtl. könntest Du noch über Zertifikatsprobleme stolpern. Siehe diesen Thread:
Wir haben heute eine andere Vorgehensweise vereinbar.
Der Server wird neu aufgesetzt, ebenso die Firewall. Wenn alles passt, werden die Benutzer via alter teachers.csv und students.csv angelegt. Das Gleiche passiert mit den Devices. Dann werden die Cloops auf den Server kopiert und die Clients synchronisiert (natürlich muss erst mal aus der nicht mehr vorhandenen Domäne aus- und in die neue Domäne eingetreten werden).
Damit ist der Versuch, die OpenSense nachzuinstallieren, hinfällig.
Der Server wird neu aufgesetzt, ebenso die Firewall. Wenn alles passt,
werden die Benutzer via alter teachers.csv und students.csv angelegt.
Das Gleiche passiert mit den Devices. Dann werden die Cloops auf den
Server kopiert und die Clients synchronisiert (natürlich muss erst mal
aus der nicht mehr vorhandenen Domäne aus- und in die neue Domäne
eingetreten werden).
… gerade als du das schreibst wäre mir noch eien Möglichkeit eingefallen:
die OPNSense an einem Fake neuen Server einrichten lassen mit
linuxmuster-setup und dann an die andere Anbinden (sshkey transferieren
und erst am richtigen Server das SSO pairing machen …).
nachdem der Server offenbar keine Ssh-Verbindung aufbauen kann, um die Firewall per"linuxmuster-opensense-reset" zurückzusetzen, habe ich noch mal getestet, indem ich den Root-Login Passwortlos gemacht habe. Auch damit kann das Skript keine ssh-Verbindung aufbauen.
Von welchem Key redest Du?
Viele Grüße
Alois
Ps. Es muss doch möglich sein, eine neue OpnSense an den Server anzubinden. Was machen ansonsten die, welchen die OpnSense kaputtgeht und kein Backup vorhanden ist? Klar, „kein Backup, kein Mitleid“
die OPNSense an einem Fake neuen Server einrichten lassen mit
linuxmuster-setup und dann an die andere Anbinden (sshkey transferieren
und erst am richtigen Server das SSO pairing machen …).
Ich habe jetzt an einem Server linuxmuster-setup ausgeführt. Das lief
ohne Probleme durch.
Was meinst Du mit „an die andere Anbinden“? An eine andere OpnSense?
du läßt die OPNsense an einem frischen Server durch linuxmuster-setup
einrichten (IP Adressbereich muß zu deinem Server passen).So werden die
Firewallregeln und all das andere Zeug eingerichtet.
Dann hängst du die OPNsense an den neuen Server und ersetzt alle
ssh-keys der OPNsense mit denen der alten OPNsense (es gab ja schon mal
eine, die an den Zielserver angebunden war).
Rechte sind essentiell im Verzeichnis /root/.ssh/
Wenn das passiert ist, dann mußt du einmal
ssh firewall
am Server aufrufen.
Der wird wohl motzen, dass sich der Fingerprint der OPNsense geändert hat.
Das mußt du beheben (er sagt dir den nötigen ssh-keygen Befehl).
Wenn dann
ssh firewall
ohne Probleme geht (ssh 10.16.1.254 reicht nicht!)
dann kannst du die Einrichtung abschließen (SSO …)
also ich habe hier eben mit einer OPNsense 22.1.7_1 erfolgreich den linuxmuster-opnsense-reset ausgeführt. War evtl. das Paket os-web-proxy-sso nicht installiert?
War Dein Server ein frisch aufgesetzter? Bei mir ist der Server schon konfiguriert und enthält Zugangsdaten von LehrerInnen und SchülerInnen. Außerdem gibt es schon viele angemeldete Rechner.
Sollte linuxmuster-opnsense-reset auch in meinem Fall durchlaufen?
Da du eine lmn7.0 verwendest, kann ich das gar nicht sagen. Netzwerkeinstellungen der OPNsense passen? SSH-Root-Login mit Passwort ist konfiguriert? Evtl. vorher auf lmn7.1 upgraden.