OpnSense nachträglich installieren

Hallo Thomas,

sehe ich das richtig, dass ich diese Datei von einem Testsystem nehmen könnte, welches ich bereits habe.

Viele Grüße und Danke

Alois

@MachtDochNix,

Ja, geht!

Auch Dir und @Holger Danke fürs Mitdenken!

Jep, wenn du auch die entsprechende OPNsense nimmst.

VG, Thomas

Hallo Thomas,

Ok, beide Server und Opnsense) sind auf dem gleichen Stand. Ich probiere es gleich aus.

Viele Grüße

Alois

Hallo Thomas,

es hat etwas länger gebraucht, die Date aus der VirtualBox-Maschine in den virtuellen Server unter Proxmox zu bringen.

Hier die Rückmeldungen des Servers nach „linuxmuster-opnsense-reset“.


root@server:~# linuxmuster-opnsense-reset 
#### linuxmuster-opnsense-reset 2022-05-23 20:34:54                       ####
Sets the firewall to the state after setup.
Custom adjustments made since then are lost.
Note: The firewall will be restartet during the process.
Do you want to continue (YES)? YES
#### Enter the current firewall root password: 
#### Please re-enter the current firewall root password: 
#### Executing ssh command on 10.16.1.254:                                ####
#### * -> "exit"                                                          ####
#### * SSH connection successfully established.                           ####
#### Reading setup data ........................................ Success! ####
#### Calculating radius secret ................................. Success! ####
#### Downloading firewall configuration:                                  ####
#### get 10.16.1.254 /conf/config.xml /var/cache/linuxmuster/opnsense.xml ####
#### * Download finished successfully.                                    ####
#### * Backing up .............................................. Success! ####
#### * Reading current config .................................. Success! ####
#### * Reading certificates & ssh key .......................... Success! ####
#### * Creating xml configuration file .......................... Failed! ####
#### Waiting for opnsense to come up                                      ####
#### Executing ssh command on 10.16.1.254:                                ####
#### * -> "exit"                                                          ####
#### * SSH connection successfully established.                           ####
#### Deleting old keytab.                                                 ####
#### Connection / Authentication issue, response received:                ####
{"status":401,"message":"Authentication Failed"}
None
#### create-keytab.py 2022-05-23 20:35:38                                 ####
#### Restarting unbound                                                   ####
root@server:~# 

Passt das so?

Viele Grüße

Alois

Hallo Alois,

tausche mal die Datei /usr/lib//linuxmuster/setup.d/m_firewall.py gegen diese aus:

Wenn du dann das Skript nochmal ausführst, sehen wir evtl. was der Fehler ist.

VG, Thomas

Hallo Thomas,

das ist die Antwort mit der neuen Datei:


^Croot@server:~# linuxmuster-opnsense-reset 
#### linuxmuster-opnsense-reset 2022-05-24 13:48:57                       ####
Sets the firewall to the state after setup.
Custom adjustments made since then are lost.
Note: The firewall will be restartet during the process.
Do you want to continue (YES)? YES
#### Enter the current firewall root password: 
#### Please re-enter the current firewall root password: 
#### Executing ssh command on 10.16.1.254:                                ####
#### * -> "exit"                                                          ####
#### * SSH connection successfully established.                           ####
#### Reading setup data ........................................ Success! ####
#### Calculating radius secret ................................. Success! ####
#### Downloading firewall configuration:                                  ####
#### get 10.16.1.254 /conf/config.xml /var/cache/linuxmuster/opnsense.xml ####
#### * Download finished successfully.                                    ####
#### * Backing up .............................................. Success! ####
#### * Reading current config .................................. Success! ####
#### * Reading certificates & ssh key .......................... Success! ####
#### * Creating xml configuration file ## TEST ## Traceback (most recent call last):
  File "/usr/lib/linuxmuster/setup.d/m_firewall.py", line 270, in <module>
    main()
  File "/usr/lib/linuxmuster/setup.d/m_firewall.py", line 214, in main
    content = content.replace('@@fwcertb64@@', fwcertb64)
TypeError: replace() argument 2 must be str, not None
#### Waiting for opnsense to come up                                      ####
#### Executing ssh command on 10.16.1.254:                                ####
#### * -> "exit"                                                          ####
#### * SSH connection successfully established.                           ####
#### Deleting old keytab.                                                 ####
#### Connection / Authentication issue, response received:                ####
{"status":401,"message":"Authentication Failed"}
None
#### create-keytab.py 2022-05-24 13:49:42                                 ####
#### Restarting unbound           

Viele Grüße

Alois

Hallo Thomas,

können die Probleme daher kommen, dass der Server mit den alten Adressen (do-it-like-babo) installiert ist?

Viele Grüße

Alois

Nope, das hat damit zu tun, dass das Setup ohne OPNsense-Firewall gemacht wurde. Poste mal den Inhalt des Verzeichnisses /etc/linuxmuster/ssl und der Datei /var/lib/linuxmuster/setup.ini.

VG, Thomas

Hallo Alois,

der Fall ist klar, weil das Setup ohne OPNsense-Firewall gemacht wurde, ist kein Firewall-Zertifikat erstellt worden. Normalerweise kein Problem, wenn man nicht später doch eine OPNsense möchte. Mal sehn, ob ich linuxmuster-opnsense-reset dazu überreden kann, das fehlende Zertifikat zu erstellen.

VG, Thomas

Hallo Thomas,

vorab schon mal Danke und viele Grüße aus Esslingen. Morgen komme ich wieder nach Hause und kann testen.

Alois

Hallo Thomas,

danke, ich werde es heute testen.

Viele Grüße

Alois

Hallo Thomas,

das Resetten hat wohl geklappt. Lediglich os-web-proxy-sso wird als nicht richtig konfiguriert gemeldet.

Viele Grüße

Alois

Hallo Alois,

evtl. hilft das: Setup und Inbetriebnahme des Systems · linuxmuster/linuxmuster-base7 Wiki · GitHub

VG, Thomas

Hallo Thomas,

mit der Anleitung bin ich etwas weiter gekommen.


root@server:/etc/linuxmuster/.secret# echo "User-Name=user,User-Password=Muster!" | radclient -x -P udp -s 10.16.1.1:1812 auth "$(cat /etc/linuxmuster/.secret/radiussecret)"
Sent Access-Request Id 23 from 0.0.0.0:45773 to 10.16.1.1:1812 length 46
	User-Name = "user"
	User-Password = "Muster!"
	Cleartext-Password = "Muster!"
Received Access-Accept Id 23 from 10.16.1.1:1812 to 0.0.0.0:0 length 20
Packet summary:
	Accepted      : 1
	Rejected      : 0
	Lost          : 0
	Passed filter : 1
	Failed filter : 0

klappt wie Du siehst.

der Versuch mich auf der Opnsense unter System\Zugang\Prüfer einzuloggen scheitert mit folgender Ausgabe:

Im Moment komme ich nicht mehr weiter.

Viele Grüße

Alois

Von der Firewall sieht es so aus:

root@firewall:~ # echo "User-Name=user,User-Password=Muster!" | radclient -x -P udp -s 10.16.1.1:1812 auth radiussecret
Sent Access-Request Id 118 from 0.0.0.0:46151 to 10.16.1.1:1812 length 46
	User-Name = "user"
	User-Password = "Muster!"
	Cleartext-Password = "Muster!"
(0) Reply verification failed: Received Access-Reject packet from home server 10.16.1.1 port 1812 with invalid Response Authenticator!  (Shared secret is incorrect.)

Warum ist das secret auf dem Server richtig und von der Firewall falsch?

Gruß

Alois

Hallo @alle,

ich bin jetzt wieder ein Schritt weiter. Von der Kommandozeile kann ich mich jetzt auch von einem beliebigen Client „einloggen“

Also die Zeile

echo "User-Name=user,User-Password=Muster!" | radclient -x -P udp -s 10.16.1.1:1812 auth radiussecret

funktioniert.

Aber von der Opnsense kommt immer noch die „rote“ Meldung wie im Bild oben.

Vielleicht hat wer einen Tip?

Gruß

Alois

Kaum macht man es richtig, funktioniert es auch. Ich hatte unter Bind Zugangsdaten das Passwort des Bind-Users hinterlegt. Dort muss aber das radiussecret eingetragen werden.

Gruß

Alois

Hallo,

leider steckt der Teufel im Detail:

Gehe ich auf „Einmalige Anmeldung“, dann sehe ich folgende Information:

Nach „Dump anzeigen“ wird die /etc/resolv.conf angezeigt

# cat /etc/resolv.conf
domain linuxmuster-net.lokal
nameserver 127.0.0.1
nameserver 192.168.178.199
nameserver 10.16.1.1
search linuxmuster-net.lokal fritz.box

Nehme ich hier nameserver 127.0.0.1 heraus, dann geht nichts mehr.

Weiterhin habe ich folgende Infos:


|**os-api-backup (misconfigured)**|**1.0_1**|**2.35KiB**|**OPNsense**|**Provide the functionality to download the config.xml**||
| --- | --- | --- | --- | --- | --- |
|**os-freeradius (misconfigured)**|**1.9.19_1**|**270KiB**|**OPNsense**|**RADIUS Authentication, Authorization and Accounting Server**||
|**os-web-proxy-sso (misconfigured)**|**2.2_2**|**38.5KiB**|**OPNsense**|**Kerberos authentication module**|

Obwohl der Freeradius-Test und der SSO-Test erfolgreich verläuft.

Hat jemand Ideen, wie ich die Konfiguration so hinbekomme, dass die Fehler weg sind?

Viele Grüße

Alois

Hallo,

wenn ich die Kerberos Anmeldung teste, dann kommt folgende Rückmeldung:


Password for user@LINUXMUSTER-NET.LOKAL: 
OK token=oRQwEqADCgEAoQsGCSqGSIb3EgECAg== user=user@LINUXMUSTER-NET.LOKAL group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43UwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WQQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43WAQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43YwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VAQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43XgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VQQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43YgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43UAQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43TwQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43ZgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43VgQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43ZQQAAA== group=AQUAAAAAAAUVAAAA50dO0g6aY5nonW43ZwQAAA==
BH quit command

Ich gehe - wegen des „ok“ - davon aus, dass der Test erfolgreich war. Ist es aber richtig, dass so oft „group“ angezeigt wird?

Viele Grüße

Alois