OPNSense Update (Erfahrungen)

Beobachtungen der Community bei den Updates werden in diesem Thread gesammelt. Einfach hier ergänzen (Wiki-Beitrag-Bearbeiten; neueste Kommentare oben):

aktuelle ohne Beschwerden: 22.1.8_1

22.x

21.1.7_1:

  • Massive Probleme berichtet @lomann hier
  • Andere haben keine Probleme und weitere Upgrades hinter sich

21.1.3:

  • Squid startet nicht, wenn SSL / SNI aktiviert ist, ist mit 21.7 obsolet
  • Der Schritt von 20.7.8_4 zu 21.1 dauert etwas länger.

20.1.1

  • von der 20.7.6 auf die 20.1.1
    Hat aber fast eine Stunde gedauert, bis alles Zwischenschritte abgearbeitet waren. Funktioniert immer noch alles.

Hi Tobias,

Ich bin seit ein paar Wochen auf der 21.1 und hab bisher keine Probleme bemerkt.
(Insofern die gpo Geschichte nichts damit zutun hat, was ich aber bezweifle: Fehler bei gpupdate )

VG, Dorian

Hallo!
Bin heute von der 20.7.6 auf die 20.1.1 geklettert. Funktioniert immer noch alles.
Hat aber fast ne Stunde gedauert, bis alles Zwischenschritte abgearbeitet waren.
VG
Micha

Habe jetzt schon in mehreren Schulen die OPNsense auf 21.1 hochgezogen, von daher:
jo

Hallo zusammen,
Habe jetzt schrittweise via Konsole auf 21.1.3 aktualisiert. Funktioniert soweit. Der Schritt von 20.7.8_4 zu 21.1 dauert etwas länger.

Hatte aber auch noch kein OpenVPN oder Wireguard im Einsatz. U.a. werden für Freeradius Updates angewendet.

Squid startet nicht, wenn SSL / SNI aktiviert ist.

VG
Chris

Hi.
Kann jetzt auch verkünden: 21.1.3_3 vom 2021-03-10 läuft. Das Update ging aber überraschend schnell. Hatte schon mit einem stundenlangen Prozess gerechnet … aber es war in <15 Minuten erledigt.

Viele Grüße,
Michael

Haben heute auch über Konsole in mehreren Schritten auf die aktuellste Version upgedatet. Scheint zu funktionieren.
Hoffentlich läuft jetzt auch unbound stabiler, der ist immer mal wieder abgeschmiert.

Viele Grüße,
Jochen

Hallo zusammen,
Upgrade von 21.1.3 auf 21.1.3_3 durchgeführt. Das geht ohne Neustart. Keine Probleme.

Das vorherige Problem, dass der Squid nicht startet, wenn SSL / SNI Filterung aktiv ist, lässt sich beheben, indem von dem bisherigen linuxmuster Zertifikat auf ein neu angelegtes (z.B. für VPN) erstelltes internes Zertifikat hierzu gewechselt wird. Es muss extra als internes angelegt worden sein und im Webproxy dort angegeben worden sein.
VG
Chris

Hallo Chris,

kannst du das genauer beschreiben?

LG

Holger

Hallo Holger,
in der OPNSense unter Dienste → Web-Proxy → Verwaltung → Weiterleitungsproxy
gibt es einen Eintrag zu „zu verwendende CA“. Hier hatte ich anfangs die CA für linuxmuster drin, die ich nach dem setup hatte.
Wenn Du unter System → Sicherheit → Aussteller gehst siehst Du u.a., ob der Aussteller intern ist oder nicht. Für linuxmuster steht bei mir NEIN.
Für OpenVPN hatte ich eine neu CA erstellt und diese als intern definiert.
Diese habe ich nun hier angegeben.
Ob das weitere Effekte hat kann ich noch nicht sagen. Kann ich erst morgen in der Schule testen.
VG
Chris

Hat jemand das Upgrade auf OPNSense 21.1.6 durchgeführt?

Ja, hab nichts Negatives von den Kolleg:innen gehört.
Der Update-Vorgang gibt regulär von statten.

Die 21.1.6 lief problemlos, Nach einem Update auf die 21.1.7_1 funktioniert nahezu nichts mehr. Scheinbar ist die LAN-Adresse der OPNSense (10.0.0.254) aus dem Servernetz (10.0.0.0/16) nicht erreichbar. Genau genommen ist der gesamte Tarffic im 10.0.0.0/16 Netz unterbrochen. Ein Ping geht ebenfalls nicht durch und natürlich geht es von allen Clients auch nicht in die weite Welt…
Zurücksetzen auf 21.1.6 und alles läuft wieder. Leider kann ich nun aber keine Plugins mehr auf der OPNSense installieren, da diese dafür dieses Update verlangt, wonach nichts mehr geht.
Ein Zugriff auf die OPNSense ist danach nur noch über den Wireguard-VPN-Tunnel möglich. Über diesen ist die Firewall erreichbar, der Rest der Server allerdings nicht…

Hi @lomann ,

bei mir tut noch alles (wie oben angedeutet) mit der 21.1.7_1. Ich habe allerdings auch folgende Netze:

 DMZ (em0)       -> v4: 172.16.17.254/24
 LAN (vtnet1)    -> v4: 10.16.1.254/12
 Portal (vtnet2) -> v4: 172.16.16.254/24
 WAN (vtnet0)    -> v4: xxx.xxx.xxx.xxx

und außerdem ein subnetting, auf das ich manuell bei der Einrichtung ein Auge drauf hatte (weil automatisch nicht alles tat):

root@firewall:~ # netstat -r
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            xxx.xxx.xxx.xxx       UGS      vtnet0
10.16.0.0/12       link#2             U        vtnet1
firewall           link#2             UHS         lo0
10.16.12.0/24      10.16.1.253        UGS      vtnet1
10.16.14.0/24      10.16.1.253        UGS      vtnet1
10.16.16.0/24      10.16.1.253        UGS      vtnet1
10.16.17.0/24      10.16.1.253        UGS      vtnet1
10.16.18.0/24      10.16.1.253        UGS      vtnet1
localhost          link#6             UH          lo0
xxx.xxx.xxx.xxx/28    link#1             U        vtnet0
firewall           link#1             UHS         lo0
172.16.16.0/24     link#4             U        vtnet2
firewall           link#4             UHS         lo0
172.16.17.0/24     link#3             U           em0
firewall           link#3             UHS         lo0

Internet6:
...

Keine Ahnung, ob dir das was bei der Fehlersuche hilft?
VG, Tobias

Zumindest scheinbar hab ich das Problem lösen können, auch wenn ich es offen gestanden nicht ganz verstehe…):
Ich habe die Routen für das Server-, und die beiden WLAN-Netze auf der OPNSense entfernt. seitdem geht`s. Die Dinger waren eh merkwürdig, da dadurch eine Änderung an den Schnittstelleneinstellungen immer scheiterte, da diese mit der jeweiligen Routingeinstellung im Konflikt stand. Entweder hat man die IP-Adresse der Schnittstellen mit einem 32er SubNet versehen, oder diese Route entfernt. Mit der IP 10.0.0.254/32 funktionierte bei mir aber nahezu gar nichts. Aber in allen Anleitungen/Erklärungen finde ich nur, dass die Routen angelegt werden sollen und die Schnittstellen auf ein 24er oder 16er Netz eingestellt sein sollen, was die OPNSense aber nicht akzeptiert.
Verwirrtichbinaberfrohdassgradüberhauptwasgeht…

Hallo!
Heute bin ich bis auf die 21.7 hochgeklettert. Bis jetzt ohne Probleme.
Micha

Hallo, heute auf die 21.7.1.
Bis jetzt ohne Probleme.
VG, Tobias

upgrade auf 21.7.3_1
bislang ohne Probleme

gerade „versehentlich“ auf 21.7.4 gewechselt … Upgrade lief bisher ohne erkennbare Probleme.

1 „Gefällt mir“