OpnSense nachträglich installieren

Hallo Forum,

ich habe hier folgende Situation:

Linuxmuster V7.0
Firewall war IPFIRE auf dem Blech installiert (Anmerkung: Das hat nicht gut funktioniert, deshalb soll ich die OpnSense anstelle des IPFIRE installieren (was schon erledigt ist)
Firewall ist jetzt Opnsense (nachträglich als virtuelle Maschine installiert)
Der Server beinhaltet schon viele Nutzer, Daten und Einstellungen die nicht verloren gehen sollen. Der Server wurde mit den alten Netzwerkeinstellungen konfiguriert (do-it-like-babo).

Meine Frage:

Mit welchem Befehl kann ich Server und OPNsense aneinander anpassen?

Vielen Dank schon im Voraus für Eure Mithilfe

Alois

Hallo Alois,

es gibt auf dem Server das Skript /usr/sbin/linuxmuster-opnsense-reset

Das sollte sowas machen(ungetestet).

Viele Grüße
Klaus

Hallo Klaus,

den Befehl habe ich abgesetzt:

das sehe ich auf dem Server:

root@server:~# linuxmuster-opnsense-reset

linuxmuster-opnsense-reset 2022-05-08 09:58:21

Sets the firewall to the state after setup.
Custom adjustments made since then are lost.
Note: The firewall will be restartet during the process.
Do you want to continue (YES)? YES

Enter the current firewall root password:

Please re-enter the current firewall root password:

Executing ssh command on 10.16.1.254:

* → „exit“

/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:134: CryptographyDeprecationWarning: Support for unsafe construction of public numbers from encoded data will be removed in a future version. Please use EllipticCurvePublicKey.from_encoded_point
self.ecdsa_curve.curve_class(), pointinfo
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:202: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signature, ec.ECDSA(self.ecdsa_curve.hash_object())
/usr/lib/python3/dist-packages/paramiko/rsakey.py:99: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
algorithm=hashes.SHA1(),
/usr/lib/python3/dist-packages/paramiko/dsskey.py:114: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = key.signer(hashes.SHA1())
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:184: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = self.signing_key.signer(ecdsa)

* SSH connection successfully established.

* Execution finished successfully.

firewall

Reading setup data … Success!

Calculating radius secret … Success!

Downloading firewall configuration:

/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:134: CryptographyDeprecationWarning: Support for unsafe construction of public numbers from encoded data will be removed in a future version. Please use EllipticCurvePublicKey.from_encoded_point
self.ecdsa_curve.curve_class(), pointinfo
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:202: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signature, ec.ECDSA(self.ecdsa_curve.hash_object())
/usr/lib/python3/dist-packages/paramiko/rsakey.py:99: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
algorithm=hashes.SHA1(),
/usr/lib/python3/dist-packages/paramiko/dsskey.py:114: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = key.signer(hashes.SHA1())
/usr/lib/python3/dist-packages/paramiko/ecdsakey.py:184: CryptographyDeprecationWarning: signer and verifier have been deprecated. Please use sign and verify instead.
signer = self.signing_key.signer(ecdsa)

* Download finished successfully.

* Backing up … Success!

* Reading current config … Success!

* Reading certificates & ssh key … Success!

* Creating xml configuration file … Failed!

Waiting for opnsense to come up

und dann kommt

Executing ssh command on 10.16.1.254:

* → „exit“

* Unable to establish a SSH connection!

Executing ssh command on 10.16.1.254:

* → „exit“

* Unable to establish a SSH connection!

Executing ssh command on 10.16.1.254:

* → „exit“

* Unable to establish a SSH connection!

Executing ssh command on 10.16.1.254:

* → „exit“

* Unable to establish a SSH connection!

Executing ssh command on 10.16.1.254:

* → „exit“

und das wiederholt sich endlos.

Anmerkung: Die OpnSense startet auch nicht neu. Kann das daran liegen, dass die alte Netzmaske 255.240.0.0 verwendet wird?

Viele Grüße

Alois

Hallo Alois,

ich würde mal einen manuellen SSH auf die Firewall probieren. Klappt das?
Ebenso mal versuchen über die OPNsense WebUI einzuloggen und nachsehen, ob die Standardregeln, Kerberos etc. gesetzt wurden.

An der Netzmaske liegt es denke ich nicht.

Viele Grüße
Klaus

Hallo Klaus,

Ja!

klappt!

Muss ich noch nachprüfen! Aber wie werden die Standardregeln gesetzt? Bei der Installation, oder muss da noch etwas angepasst werden?

Ich habe die OpnSense nach Anleitung installiert.

Ich kann auch den Server, die Firewall und Proxmox updaten. Der Internet Zugriff funktioniert also!

Viele Grüße

Alois

Hallo Alois,

nach dem Setup mußt Du nichts mehr anpassen. Du kannst ja nachsehen, ob in den Firewallregeln unter LAN z.B. der NoProxy Alias existiert und direkter Internetzugang anhand der Regeln gesperrt ist. Ansonsten denke ich, daß das geklappt hat.

Evtl. könntest Du noch über Zertifikatsprobleme stolpern. Siehe diesen Thread:

Viele Grüße
Klaus

Hallo Klaus,

da stehts:

Man soll eine alte Version der OpnSense installieren, dann das Setup ausführen und dann die OpnSense auf die neuere Version upgraden.

Also alles noch mal neu! Oder?

Viele Grüße

Alois

Hallo Klaus,

welche der hier

https://pkg.opnsense.org/releases/

angebotenen Versionen sollte man denn nehmen?

Gerade gesehen: Die Anleitung ist für die 20.7 geschrieben, dann werde ich die nehmen.

Viele Grüße

Alois

Klappt offenbar auch nicht. Die OpnSense 20.7 startet nicht neu und damit kommt auch kein Reset zustande.

Viele Grüße

Alois

Könnte sein, daß der Reset nicht wichtig ist. Sieh doch nach, ob die Einstellungen vorhanden sind.

Viele Grüße
Klaus

Hallo Klaus,

nein, die Einstellungen sind nicht vorhanden.

Wir haben heute eine andere Vorgehensweise vereinbar.

Der Server wird neu aufgesetzt, ebenso die Firewall. Wenn alles passt, werden die Benutzer via alter teachers.csv und students.csv angelegt. Das Gleiche passiert mit den Devices. Dann werden die Cloops auf den Server kopiert und die Clients synchronisiert (natürlich muss erst mal aus der nicht mehr vorhandenen Domäne aus- und in die neue Domäne eingetreten werden).

Damit ist der Versuch, die OpenSense nachzuinstallieren, hinfällig.

Viele Grüße

Alois

Hallo,

Der Server wird neu aufgesetzt, ebenso die Firewall. Wenn alles passt,
werden die Benutzer via alter teachers.csv und students.csv angelegt.
Das Gleiche passiert mit den Devices. Dann werden die Cloops auf den
Server kopiert und die Clients synchronisiert (natürlich muss erst mal
aus der nicht mehr vorhandenen Domäne aus- und in die neue Domäne
eingetreten werden).

… gerade als du das schreibst wäre mir noch eien Möglichkeit eingefallen:
die OPNSense an einem Fake neuen Server einrichten lassen mit
linuxmuster-setup und dann an die andere Anbinden (sshkey transferieren
und erst am richtigen Server das SSO pairing machen …).

LG

Holger

Hallo Holger,

nachdem der Server offenbar keine Ssh-Verbindung aufbauen kann, um die Firewall per"linuxmuster-opensense-reset" zurückzusetzen, habe ich noch mal getestet, indem ich den Root-Login Passwortlos gemacht habe. Auch damit kann das Skript keine ssh-Verbindung aufbauen.

Von welchem Key redest Du?

Viele Grüße

Alois

Ps. Es muss doch möglich sein, eine neue OpnSense an den Server anzubinden. Was machen ansonsten die, welchen die OpnSense kaputtgeht und kein Backup vorhanden ist? Klar, „kein Backup, kein Mitleid“

Hallo Holger,

Ich habe jetzt an einem Server linuxmuster-setup ausgeführt. Das lief ohne Probleme durch.

Was meinst Du mit „an die andere Anbinden“? An eine andere OpnSense?

Viele Grüße

Alois

Hallo Alois,

die OPNSense an einem Fake neuen Server einrichten lassen mit
linuxmuster-setup und dann an die andere Anbinden (sshkey transferieren
und erst am richtigen Server das SSO pairing machen …).

Ich habe jetzt an einem Server linuxmuster-setup ausgeführt. Das lief
ohne Probleme durch.

Was meinst Du mit „an die andere Anbinden“? An eine andere OpnSense?

du läßt die OPNsense an einem frischen Server durch linuxmuster-setup
einrichten (IP Adressbereich muß zu deinem Server passen).So werden die
Firewallregeln und all das andere Zeug eingerichtet.
Dann hängst du die OPNsense an den neuen Server und ersetzt alle
ssh-keys der OPNsense mit denen der alten OPNsense (es gab ja schon mal
eine, die an den Zielserver angebunden war).
Rechte sind essentiell im Verzeichnis /root/.ssh/

Wenn das passiert ist, dann mußt du einmal
ssh firewall
am Server aufrufen.
Der wird wohl motzen, dass sich der Fingerprint der OPNsense geändert hat.
Das mußt du beheben (er sagt dir den nötigen ssh-keygen Befehl).
Wenn dann
ssh firewall

ohne Probleme geht (ssh 10.16.1.254 reicht nicht!)
dann kannst du die Einrichtung abschließen (SSO …)

LG

Holger

Hallo Holger,

Das ist leider nicht der Fall. Siehe meinen Eingangspost.

Viele Grüße Alois

Hallo zusammen,

also ich habe hier eben mit einer OPNsense 22.1.7_1 erfolgreich den linuxmuster-opnsense-reset ausgeführt. War evtl. das Paket os-web-proxy-sso nicht installiert?

VG, Thomas

Hallo Thomas,

Vielen Dank für die Rückmeldung. Ich schau es mir an und berichte Dir.

Viele Grüße Alois

Hallo Thomas,

Bei mir funktioniert das immer noch nicht.

Ja, das habe ich installiert.

War Dein Server ein frisch aufgesetzter? Bei mir ist der Server schon konfiguriert und enthält Zugangsdaten von LehrerInnen und SchülerInnen. Außerdem gibt es schon viele angemeldete Rechner.

Sollte linuxmuster-opnsense-reset auch in meinem Fall durchlaufen?

Viele Grüße

Alois

Nein.

Da du eine lmn7.0 verwendest, kann ich das gar nicht sagen. Netzwerkeinstellungen der OPNsense passen? SSH-Root-Login mit Passwort ist konfiguriert? Evtl. vorher auf lmn7.1 upgraden.

VG, Thomas