Hallo Thomas,
sehe ich das richtig, dass ich diese Datei von einem Testsystem nehmen könnte, welches ich bereits habe.
Viele Grüße und Danke
Alois
Ja, geht!
Auch Dir und @Holger Danke fürs Mitdenken!
Jep, wenn du auch die entsprechende OPNsense nimmst.
VG, Thomas
Hallo Thomas,
Ok, beide Server und Opnsense) sind auf dem gleichen Stand. Ich probiere es gleich aus.
Viele Grüße
Alois
Hallo Thomas,
es hat etwas länger gebraucht, die Date aus der VirtualBox-Maschine in den virtuellen Server unter Proxmox zu bringen.
Hier die Rückmeldungen des Servers nach „linuxmuster-opnsense-reset“.
root@server:~# linuxmuster-opnsense-reset
#### linuxmuster-opnsense-reset 2022-05-23 20:34:54 ####
Sets the firewall to the state after setup.
Custom adjustments made since then are lost.
Note: The firewall will be restartet during the process.
Do you want to continue (YES)? YES
#### Enter the current firewall root password:
#### Please re-enter the current firewall root password:
#### Executing ssh command on 10.16.1.254: ####
#### * -> "exit" ####
#### * SSH connection successfully established. ####
#### Reading setup data ........................................ Success! ####
#### Calculating radius secret ................................. Success! ####
#### Downloading firewall configuration: ####
#### get 10.16.1.254 /conf/config.xml /var/cache/linuxmuster/opnsense.xml ####
#### * Download finished successfully. ####
#### * Backing up .............................................. Success! ####
#### * Reading current config .................................. Success! ####
#### * Reading certificates & ssh key .......................... Success! ####
#### * Creating xml configuration file .......................... Failed! ####
#### Waiting for opnsense to come up ####
#### Executing ssh command on 10.16.1.254: ####
#### * -> "exit" ####
#### * SSH connection successfully established. ####
#### Deleting old keytab. ####
#### Connection / Authentication issue, response received: ####
{"status":401,"message":"Authentication Failed"}
None
#### create-keytab.py 2022-05-23 20:35:38 ####
#### Restarting unbound ####
root@server:~# Passt das so?
Viele Grüße
Alois
Hallo Alois,
tausche mal die Datei /usr/lib//linuxmuster/setup.d/m_firewall.py gegen diese aus:
Wenn du dann das Skript nochmal ausführst, sehen wir evtl. was der Fehler ist.
VG, Thomas
Hallo Thomas,
das ist die Antwort mit der neuen Datei:
^Croot@server:~# linuxmuster-opnsense-reset
#### linuxmuster-opnsense-reset 2022-05-24 13:48:57 ####
Sets the firewall to the state after setup.
Custom adjustments made since then are lost.
Note: The firewall will be restartet during the process.
Do you want to continue (YES)? YES
#### Enter the current firewall root password:
#### Please re-enter the current firewall root password:
#### Executing ssh command on 10.16.1.254: ####
#### * -> "exit" ####
#### * SSH connection successfully established. ####
#### Reading setup data ........................................ Success! ####
#### Calculating radius secret ................................. Success! ####
#### Downloading firewall configuration: ####
#### get 10.16.1.254 /conf/config.xml /var/cache/linuxmuster/opnsense.xml ####
#### * Download finished successfully. ####
#### * Backing up .............................................. Success! ####
#### * Reading current config .................................. Success! ####
#### * Reading certificates & ssh key .......................... Success! ####
#### * Creating xml configuration file ## TEST ## Traceback (most recent call last):
File "/usr/lib/linuxmuster/setup.d/m_firewall.py", line 270, in <module>
main()
File "/usr/lib/linuxmuster/setup.d/m_firewall.py", line 214, in main
content = content.replace('@@fwcertb64@@', fwcertb64)
TypeError: replace() argument 2 must be str, not None
#### Waiting for opnsense to come up ####
#### Executing ssh command on 10.16.1.254: ####
#### * -> "exit" ####
#### * SSH connection successfully established. ####
#### Deleting old keytab. ####
#### Connection / Authentication issue, response received: ####
{"status":401,"message":"Authentication Failed"}
None
#### create-keytab.py 2022-05-24 13:49:42 ####
#### Restarting unbound
Viele Grüße
Alois
Hallo Thomas,
können die Probleme daher kommen, dass der Server mit den alten Adressen (do-it-like-babo) installiert ist?
Viele Grüße
Alois
Nope, das hat damit zu tun, dass das Setup ohne OPNsense-Firewall gemacht wurde. Poste mal den Inhalt des Verzeichnisses /etc/linuxmuster/ssl und der Datei /var/lib/linuxmuster/setup.ini.
VG, Thomas
Hallo Alois,
der Fall ist klar, weil das Setup ohne OPNsense-Firewall gemacht wurde, ist kein Firewall-Zertifikat erstellt worden. Normalerweise kein Problem, wenn man nicht später doch eine OPNsense möchte. Mal sehn, ob ich linuxmuster-opnsense-reset dazu überreden kann, das fehlende Zertifikat zu erstellen.
VG, Thomas
Hallo Thomas,
vorab schon mal Danke und viele Grüße aus Esslingen. Morgen komme ich wieder nach Hause und kann testen.
Alois
Hallo Thomas,
danke, ich werde es heute testen.
Viele Grüße
Alois
Hallo Thomas,
das Resetten hat wohl geklappt. Lediglich os-web-proxy-sso wird als nicht richtig konfiguriert gemeldet.
Viele Grüße
Alois
Hallo Alois,
evtl. hilft das: Setup und Inbetriebnahme des Systems · linuxmuster/linuxmuster-base7 Wiki · GitHub
VG, Thomas
Hallo Thomas,
mit der Anleitung bin ich etwas weiter gekommen.
root@server:/etc/linuxmuster/.secret# echo "User-Name=user,User-Password=Muster!" | radclient -x -P udp -s 10.16.1.1:1812 auth "$(cat /etc/linuxmuster/.secret/radiussecret)"
Sent Access-Request Id 23 from 0.0.0.0:45773 to 10.16.1.1:1812 length 46
User-Name = "user"
User-Password = "Muster!"
Cleartext-Password = "Muster!"
Received Access-Accept Id 23 from 10.16.1.1:1812 to 0.0.0.0:0 length 20
Packet summary:
Accepted : 1
Rejected : 0
Lost : 0
Passed filter : 1
Failed filter : 0
klappt wie Du siehst.
der Versuch mich auf der Opnsense unter System\Zugang\Prüfer einzuloggen scheitert mit folgender Ausgabe:
Im Moment komme ich nicht mehr weiter.
Viele Grüße
Alois
Von der Firewall sieht es so aus:
root@firewall:~ # echo "User-Name=user,User-Password=Muster!" | radclient -x -P udp -s 10.16.1.1:1812 auth radiussecret
Sent Access-Request Id 118 from 0.0.0.0:46151 to 10.16.1.1:1812 length 46
User-Name = "user"
User-Password = "Muster!"
Cleartext-Password = "Muster!"
(0) Reply verification failed: Received Access-Reject packet from home server 10.16.1.1 port 1812 with invalid Response Authenticator! (Shared secret is incorrect.)
Warum ist das secret auf dem Server richtig und von der Firewall falsch?
Gruß
Alois
Hallo @alle,
ich bin jetzt wieder ein Schritt weiter. Von der Kommandozeile kann ich mich jetzt auch von einem beliebigen Client „einloggen“
Also die Zeile
echo "User-Name=user,User-Password=Muster!" | radclient -x -P udp -s 10.16.1.1:1812 auth radiussecret
funktioniert.
Aber von der Opnsense kommt immer noch die „rote“ Meldung wie im Bild oben.
Vielleicht hat wer einen Tip?
Gruß
Alois
Kaum macht man es richtig, funktioniert es auch. Ich hatte unter Bind Zugangsdaten das Passwort des Bind-Users hinterlegt. Dort muss aber das radiussecret eingetragen werden.
Gruß
Alois
Hallo,
leider steckt der Teufel im Detail:
Gehe ich auf „Einmalige Anmeldung“, dann sehe ich folgende Information:
Nach „Dump anzeigen“ wird die /etc/resolv.conf angezeigt
# cat /etc/resolv.conf
domain linuxmuster-net.lokal
nameserver 127.0.0.1
nameserver 192.168.178.199
nameserver 10.16.1.1
search linuxmuster-net.lokal fritz.boxNehme ich hier nameserver 127.0.0.1 heraus, dann geht nichts mehr.
Weiterhin habe ich folgende Infos:
|**os-api-backup (misconfigured)**|**1.0_1**|**2.35KiB**|**OPNsense**|**Provide the functionality to download the config.xml**||
| --- | --- | --- | --- | --- | --- |
|**os-freeradius (misconfigured)**|**1.9.19_1**|**270KiB**|**OPNsense**|**RADIUS Authentication, Authorization and Accounting Server**||
|**os-web-proxy-sso (misconfigured)**|**2.2_2**|**38.5KiB**|**OPNsense**|**Kerberos authentication module**|
Obwohl der Freeradius-Test und der SSO-Test erfolgreich verläuft.
Hat jemand Ideen, wie ich die Konfiguration so hinbekomme, dass die Fehler weg sind?
Viele Grüße
Alois
Hallo,
wenn ich die Kerberos Anmeldung teste, dann kommt folgende Rückmeldung:
Password for user@LINUXMUSTER-NET.LOKAL:
OK token=oRQwEqADCgEAoQsGCSqGSIb3EgECAg== user=user@LINUXMUSTER-NET.LOKAL group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43UwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WQQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WAQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43YwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VAQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43XgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VQQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43YgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43UAQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43TwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43ZgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43ZQQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43ZwQAAA==
BH quit command
Ich gehe - wegen des „ok“ - davon aus, dass der Test erfolgreich war. Ist es aber richtig, dass so oft „group“ angezeigt wird?
Viele Grüße
Alois