Beobachtungen der Community bei den Updates werden in diesem Thread gesammelt. Einfach hier ergänzen (Wiki-Beitrag-Bearbeiten; neueste Kommentare oben):
aktuelle ohne Beschwerden: 24.7_9
24.7
bislang keine Probleme
24.1
Achtung. Pfade des ACME-SSL-Client wurden geändert. Hinweis hier und hier, dank @Michael und @Sascha
Achtung bei Upgrade von 23.7.x, siehe zumindest eine Meldung über Netzausfall durch verschwundenes Gateway… konnte allerdings nicht reproduziert werden (siehe selber Post)
Entfernt wird das Plugin os-web-proxy-useracl. Dieses wird als verwaist markiert und ist nicht mehr verfügbar. Folgendes wird also nicht mehr funktionieren: Community-Wiki Eintrag zu Squidproxy
Ich bin seit ein paar Wochen auf der 21.1 und hab bisher keine Probleme bemerkt.
(Insofern die gpo Geschichte nichts damit zutun hat, was ich aber bezweifle: Fehler bei gpupdate )
Hallo!
Bin heute von der 20.7.6 auf die 20.1.1 geklettert. Funktioniert immer noch alles.
Hat aber fast ne Stunde gedauert, bis alles Zwischenschritte abgearbeitet waren.
VG
Micha
Hallo zusammen,
Habe jetzt schrittweise via Konsole auf 21.1.3 aktualisiert. Funktioniert soweit. Der Schritt von 20.7.8_4 zu 21.1 dauert etwas länger.
Hatte aber auch noch kein OpenVPN oder Wireguard im Einsatz. U.a. werden für Freeradius Updates angewendet.
Squid startet nicht, wenn SSL / SNI aktiviert ist.
Hi.
Kann jetzt auch verkünden: 21.1.3_3 vom 2021-03-10 läuft. Das Update ging aber überraschend schnell. Hatte schon mit einem stundenlangen Prozess gerechnet … aber es war in <15 Minuten erledigt.
Haben heute auch über Konsole in mehreren Schritten auf die aktuellste Version upgedatet. Scheint zu funktionieren.
Hoffentlich läuft jetzt auch unbound stabiler, der ist immer mal wieder abgeschmiert.
Hallo zusammen,
Upgrade von 21.1.3 auf 21.1.3_3 durchgeführt. Das geht ohne Neustart. Keine Probleme.
Das vorherige Problem, dass der Squid nicht startet, wenn SSL / SNI Filterung aktiv ist, lässt sich beheben, indem von dem bisherigen linuxmuster Zertifikat auf ein neu angelegtes (z.B. für VPN) erstelltes internes Zertifikat hierzu gewechselt wird. Es muss extra als internes angelegt worden sein und im Webproxy dort angegeben worden sein.
VG
Chris
Hallo Holger,
in der OPNSense unter Dienste → Web-Proxy → Verwaltung → Weiterleitungsproxy
gibt es einen Eintrag zu „zu verwendende CA“. Hier hatte ich anfangs die CA für linuxmuster drin, die ich nach dem setup hatte.
Wenn Du unter System → Sicherheit → Aussteller gehst siehst Du u.a., ob der Aussteller intern ist oder nicht. Für linuxmuster steht bei mir NEIN.
Für OpenVPN hatte ich eine neu CA erstellt und diese als intern definiert.
Diese habe ich nun hier angegeben.
Ob das weitere Effekte hat kann ich noch nicht sagen. Kann ich erst morgen in der Schule testen.
VG
Chris
Die 21.1.6 lief problemlos, Nach einem Update auf die 21.1.7_1 funktioniert nahezu nichts mehr. Scheinbar ist die LAN-Adresse der OPNSense (10.0.0.254) aus dem Servernetz (10.0.0.0/16) nicht erreichbar. Genau genommen ist der gesamte Tarffic im 10.0.0.0/16 Netz unterbrochen. Ein Ping geht ebenfalls nicht durch und natürlich geht es von allen Clients auch nicht in die weite Welt…
Zurücksetzen auf 21.1.6 und alles läuft wieder. Leider kann ich nun aber keine Plugins mehr auf der OPNSense installieren, da diese dafür dieses Update verlangt, wonach nichts mehr geht.
Ein Zugriff auf die OPNSense ist danach nur noch über den Wireguard-VPN-Tunnel möglich. Über diesen ist die Firewall erreichbar, der Rest der Server allerdings nicht…
Zumindest scheinbar hab ich das Problem lösen können, auch wenn ich es offen gestanden nicht ganz verstehe…):
Ich habe die Routen für das Server-, und die beiden WLAN-Netze auf der OPNSense entfernt. seitdem geht`s. Die Dinger waren eh merkwürdig, da dadurch eine Änderung an den Schnittstelleneinstellungen immer scheiterte, da diese mit der jeweiligen Routingeinstellung im Konflikt stand. Entweder hat man die IP-Adresse der Schnittstellen mit einem 32er SubNet versehen, oder diese Route entfernt. Mit der IP 10.0.0.254/32 funktionierte bei mir aber nahezu gar nichts. Aber in allen Anleitungen/Erklärungen finde ich nur, dass die Routen angelegt werden sollen und die Schnittstellen auf ein 24er oder 16er Netz eingestellt sein sollen, was die OPNSense aber nicht akzeptiert.
Verwirrtichbinaberfrohdassgradüberhauptwasgeht…