OPNsense nachträglich von LMN7 konfigurieren lassen?

Bei meiner Erstinstallation von LMN7 klappte die automatische Konfiguration der OPNsense-Firewall im Wizard der Schulkonsole leider nicht. An der Stelle hing der Setup-Prozess, so dass ich die automatische Konfiguration deaktivieren musste.
Nun läuft soweit alles und ich muss die Firewall nachträglich konfigurieren. Gibt es eine Möglichkeit das Skript, welches die Konfiguration automatisch gemacht hätte, von Hand nochmals auszuführen?

Die manuelle Konfiguration von OPNsense scheint mir doch recht komplex zu sein.
Danke und Gruß
Ralf

Ich habe nun herausgefunden warum die automatische Konfiguration der OPNsense während der LMN7 Konfiguration nicht klappte. Der SSH-Zugang zur OPNsense war ausgeschaltet… argh…
Ich war davon ausgegangen, dass die OPNsense Appliance von netzint.de vorkonfiguriert ist, daher hatte ich das nicht überprüft.

Um die Konfiguration nun nachträglich vorzunehmen habe ich nun einfach folgendes gemacht:

• LMN7-VM in Proxmox pausiert.
• LMN7 temporär in Proxmox neu aufgesetzt (mit gleichen Einstellungen wie die pausierte VM)
• Konfiguration durchlaufen lassen und OPNsense wurde konfiguriert
• temporäre LMN7-VM wieder abgeschaltet
• LMN7-VM wieder resumed

Nun ist die Konfiguration in OPNsense da. Sehr schön!
Leider klappt aber der Authentifizierungtest unter System -> Zugang -> Prüfer nicht

Kann es sein, dass meine temporäre Installation irgendeinen Key übermittelt hat, der nun in der Hauptinstallation nicht gültig ist???

Wo kann ich auf dem LMN Logs für gescheiterte Authentifizierungsversuche einsehen?

Das ist das letzte Puzzlestückchen, dass mich von einem produktiven Gesamtsystem trennt

Habe gerade mal einen Dump der Firewall gemacht und folgendes gefunden:

  <authserver>
      <refid>598c54fd2197e</refid>
      <type>ldap</type>
      <name>linuxmuster</name>
      <ldap_caref>598c5487e6d54</ldap_caref>
      <host>server.linuxmuster.lan</host>
      <ldap_port>636</ldap_port>
      <ldap_urltype>SSL - Encrypted</ldap_urltype>
      <ldap_protver>3</ldap_protver>
      <ldap_scope>subtree</ldap_scope>
      <ldap_basedn>DC=linuxmuster,DC=lan</ldap_basedn>
      <ldap_authcn>OU=GLOBAL,DC=linuxmuster,DC=lan;OU=SCHOOLS,DC=linuxmuster,DC=lan</ldap_authcn>
      <ldap_extended_query>&amp;(objectClass=organizationalPerson)(memberOf=CN=internet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan)</ldap_extended_query>
      <ldap_attr_user>sAMAccountName</ldap_attr_user>
      <ldap_binddn>CN=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan</ldap_binddn>
      <ldap_bindpw>xywFFLnxdm51XBXT</ldap_bindpw>
    </authserver>

Das bindpw schaut automatisch generiert aus. Liegt es wohl daran?

EDIT: Ja, das Passwort war falsch. Ich habe das richtige in

/etc/linuxmuster/.secret/global-binduser

gefunden und eingetragen. Klappt aber immer noch nicht

Dann wird es wohl das ldap_caref sein… aber wie komme ich nur daran???

Nach einigem rumsuchen bin ich zu dem Entschluss gekommen den Server neu aufzusetzen.

Meine Vermutung ist, dass meine Loginversuche von der OPNsense aus an den SSL-Zertifikaten scheitern, die ja offenbar auch bei der Konfiguration übermittelt werden.

Daher wird es das Einfachste sein eine neue Server-VM sukzessive sauber neu aufzubauen. Die cloops und die Geräte- und Userdaten kann ich ja einfach rüberkopieren. Damit sollte sich der Aufwand in Grenzen halten.

Einfacher wäre natürlich auf dem vorhanden Server die Firewall-Konfiguration neu anzustoßen. Irgendwo muss ja ein Skript dafür liegen. Ich finde es aber nicht…

LG
Ralf

Hallo Ralf,

Meine Vermutung ist, dass meine Loginversuche von der OPNsense aus an
den SSL-Zertifikaten scheitern, die ja offenbar auch bei der
Konfiguration übermittelt werden.

nein, es liegt am ssh key der ausgetauscht wird.

Einfacher wäre natürlich auf dem vorhanden Server die
Firewall-Konfiguration neu anzustoßen. Irgendwo muss ja ein Skript dafür
liegen. Ich finde es aber nicht…

das geht, meine ich.
Aber ich muss es raussuchen: und da hatte ich Heute noch keine Zeit für
… sorry.
Vielelicht nachher.

LG
Holger

Ich bin erst Montag wieder in der Schule, eilt daher nicht. Ich fummel zwar gerade zuhause an den VMs rum aber das ist nur meine Neugierde

Kann es sein, dass linuxmuster-setup den Job erledigt??? Das wäre ja wirklich zu einfach.
Jedenfalls kann ich das Skript auf deiner Test-VM starten und es hat den Schalter --skip-fw!

Ich teste es mal… Firewall zurücksetzen, vorkonfigurieren und linuxmuster-setup laufen lassen…

Jo… es war wirklich soooo einfach.
Manchmal sieht man den Wald vor lauter Bäumen nicht.

Ein simples…

linuxmuster-setup

… hat ausgereicht. OPNsense wurde neu konfiguriert.

Ich denke, damit habe ich kommenden Montag mein System fertig

Danke für die vielen Tipps und die Geduld!!!

LG
Ralf

Moin Holger,

wie geplant habe ich gerade ein linuxmuster-setup auf dem Produktivsystem durchlaufen lassen.
Wie erwartet wurde die FW neu konfiguriert:

So weit so gut… leider klappt der Testlogin auf der OPNsense unter System -> Zugang -> Prüfer noch immer nicht

Fehlermeldung wie zuvor: „Authentifizierung fehlgeschlagen.“

Was übersehe ich???

UPDATE:
ES KLAPPT DOCH
Ich hatte lediglich übersehen, dass der

linuxmuster-setup

Befehl alles platt macht. Ich musst also die Schüler, Lehrer und Geräte erneut importieren und siehe da… nun funzt es. Yeah!!!
Windoze-Clients brauchen natürlich auch noch eine neue Domänen-Zuordnung, hoffentlich klappt das auch

LG
Ralf

Hallo Ralf,

So weit so gut… leider klappt der Testlogin auf der OPNsense unter
/System → Zugang → Prüfer/ noch immer nicht

Fehlermeldung wie zuvor: „Authentifizierung fehlgeschlagen.“

bitte mach diese SChritte:

LG
Holger

War nicht nötig, ich hatte meinen Post noch aktualisiert, hast du wahrscheinlich nicht gelesen.
Nach erneutem Import der Schüler, Lehrer und Geräte klappt der Login von der FW aus.

Dummerweise lassen sich die Windows-Clients aber nicht mehr an die Domäne anbinden

Ich hab’s nun zweimal versucht.
Rein in eine Arbeitsgruppe → reboot → rein in die Domäne → reboot → „keine Vertrauenstellung…“

Der Domänenbeitritt wird allerdings mit „Willkommen in der Domäne linuxmuster.lan“ quitiert. Scheint ok sein… Beim Loginversuch dann wieder das Problem…

Liegt es vielleicht am identischen Namen? Die Domäne zuvor hieß ja ebenfalls „linuxmuster.lan“ (du erwähntest in einem vorherigen Post, dass es bei identischen Namen zu Problemen kommen kann…).

LG
Ralf

Hallo Ralf,

Dummerweise lassen sich die Windows-Clients aber nicht mehr an die
Domäne anbinden

das war zu erwarten.

im Vorgang fehlt ein wichtiger Schritt:

Rein in eine Arbeitsgruppe → reboot → rein in die Domäne → reboot →
„keine Vertrauenstellung…“

du mußt folgendes machen:

1. syncen und als lokaler admin anmelden: aus Dom austreten
2. reboot ungesynct → als lokaler admin anmelden
3. Domäne beitreten (global-admin)
4. Image erstellen

Folgende Probleme können showstopper sein:

1. global–admin account lokal schon vorhanden → vor Beitritt löschen
2. gleicher Namen der Domäne: nach austritt und reboot die Registry nach
   dem domänennamen durchsuchen und jeden Verweis darauf löschen, dann
   reboot und Beitritt

LG

Holger

Hallo Holger!

Das hat perfekt funktioniert. Ich habe deine Anleitung exakt befolgt und auch die Verweise auf den alten (identischen) Domänennamen in der Registry gelöscht.

Das Win10-Image wäre damit fertig und funzt! Sehr schön!

Auf das Bionic-Image komme ich allerdings ebenfalls nicht mehr als Domänenuser drauf. Nur noch als linuxadmin.

Wie gehe ich da am besten vor?

LG
Ralf

Hallo Ralf,

Auf das Bionic-Image komme ich allerdings ebenfalls nicht mehr als
Domänenuser drauf. Nur noch als linuxadmin.

das sind zu wenige Informationen.
Ging es vorher?
Ist das auf dem selben Client?

Wie gehe ich da am besten vor?

… erstmal neuen Tread starten mit aussagekräftiger Überschrift

LG

Holger