OPNSense Update (Erfahrungen)

MachtDochNix · 12. März 2021 um 05:06

Beobachtungen der Community bei den Updates werden in diesem Thread gesammelt. Einfach hier ergänzen (Wiki-Beitrag-Bearbeiten; neueste Kommentare oben):

aktuelle ohne Beschwerden: 23.1.7_3

23.1.7_3

Beim update wird irgendwo gemeldet, dass os-web-sso-proxy misskonfiguriert wird. Unklar, ob das ein Problem ist.

22.7.x

Entfernt wird das Plugin os-web-proxy-useracl. Dieses wird als verwaist markiert und ist nicht mehr verfügbar. Folgendes wird also nicht mehr funktionieren:
anwenderwiki:firewall_lmn7:squidproxy:start [CommunityWiki]

22.1.x

Beim update auf 22.1.x gab es zumindest zu Beginn Pakete, die man deinstallieren konnte/sollte
Warnung vor dem Auslaufen der dyn-DNS-Funktion, von @Michael hier

21.1.7_1:

Massive Probleme berichtet @lomann hier
Andere haben keine Probleme und weitere Upgrades hinter sich

21.1.3:

Squid startet nicht, wenn SSL / SNI aktiviert ist, ist mit 21.7 obsolet
Der Schritt von 20.7.8_4 zu 21.1 dauert etwas länger.

20.1.1

von der 20.7.6 auf die 20.1.1
Hat aber fast eine Stunde gedauert, bis alles Zwischenschritte abgearbeitet waren. Funktioniert immer noch alles.

MachtDochNix · 12. März 2021 um 05:15

dorian · 20. Februar 2021 um 07:18

Hi Tobias,

Ich bin seit ein paar Wochen auf der 21.1 und hab bisher keine Probleme bemerkt.
(Insofern die gpo Geschichte nichts damit zutun hat, was ich aber bezweifle: Fehler bei gpupdate )

VG, Dorian

michael_kohls · 2. März 2021 um 13:15

Hallo!
Bin heute von der 20.7.6 auf die 20.1.1 geklettert. Funktioniert immer noch alles.
Hat aber fast ne Stunde gedauert, bis alles Zwischenschritte abgearbeitet waren.
VG
Micha

trapper-keeper · 2. März 2021 um 13:20

Habe jetzt schon in mehreren Schulen die OPNsense auf 21.1 hochgezogen, von daher:
jo

cweikl · 11. März 2021 um 21:32

Hallo zusammen,
Habe jetzt schrittweise via Konsole auf 21.1.3 aktualisiert. Funktioniert soweit. Der Schritt von 20.7.8_4 zu 21.1 dauert etwas länger.

Hatte aber auch noch kein OpenVPN oder Wireguard im Einsatz. U.a. werden für Freeradius Updates angewendet.

Squid startet nicht, wenn SSL / SNI aktiviert ist.

VG
Chris

Michael · 19. März 2021 um 16:45

Hi.
Kann jetzt auch verkünden: 21.1.3_3 vom 2021-03-10 läuft. Das Update ging aber überraschend schnell. Hatte schon mit einem stundenlangen Prozess gerechnet … aber es war in <15 Minuten erledigt.

Viele Grüße,
Michael

jochen · 19. März 2021 um 19:42

Haben heute auch über Konsole in mehreren Schritten auf die aktuellste Version upgedatet. Scheint zu funktionieren.
Hoffentlich läuft jetzt auch unbound stabiler, der ist immer mal wieder abgeschmiert.

Viele Grüße,
Jochen

cweikl · 24. März 2021 um 09:03

Hallo zusammen,
Upgrade von 21.1.3 auf 21.1.3_3 durchgeführt. Das geht ohne Neustart. Keine Probleme.

Das vorherige Problem, dass der Squid nicht startet, wenn SSL / SNI Filterung aktiv ist, lässt sich beheben, indem von dem bisherigen linuxmuster Zertifikat auf ein neu angelegtes (z.B. für VPN) erstelltes internes Zertifikat hierzu gewechselt wird. Es muss extra als internes angelegt worden sein und im Webproxy dort angegeben worden sein.
VG
Chris

baumhof · 24. März 2021 um 09:26

Hallo Chris,

kannst du das genauer beschreiben?

LG

Holger

cweikl · 24. März 2021 um 10:16

Hallo Holger,
in der OPNSense unter Dienste → Web-Proxy → Verwaltung → Weiterleitungsproxy
gibt es einen Eintrag zu „zu verwendende CA“. Hier hatte ich anfangs die CA für linuxmuster drin, die ich nach dem setup hatte.
Wenn Du unter System → Sicherheit → Aussteller gehst siehst Du u.a., ob der Aussteller intern ist oder nicht. Für linuxmuster steht bei mir NEIN.
Für OpenVPN hatte ich eine neu CA erstellt und diese als intern definiert.
Diese habe ich nun hier angegeben.
Ob das weitere Effekte hat kann ich noch nicht sagen. Kann ich erst morgen in der Schule testen.
VG
Chris

Michael · 11. Juni 2021 um 15:18

Hat jemand das Upgrade auf OPNSense 21.1.6 durchgeführt?

Tobias · 11. Juni 2021 um 16:28

Ja, hab nichts Negatives von den Kolleg:innen gehört.
Der Update-Vorgang gibt regulär von statten.

lomann · 29. Juni 2021 um 18:44

Die 21.1.6 lief problemlos, Nach einem Update auf die 21.1.7_1 funktioniert nahezu nichts mehr. Scheinbar ist die LAN-Adresse der OPNSense (10.0.0.254) aus dem Servernetz (10.0.0.0/16) nicht erreichbar. Genau genommen ist der gesamte Tarffic im 10.0.0.0/16 Netz unterbrochen. Ein Ping geht ebenfalls nicht durch und natürlich geht es von allen Clients auch nicht in die weite Welt…
Zurücksetzen auf 21.1.6 und alles läuft wieder. Leider kann ich nun aber keine Plugins mehr auf der OPNSense installieren, da diese dafür dieses Update verlangt, wonach nichts mehr geht.
Ein Zugriff auf die OPNSense ist danach nur noch über den Wireguard-VPN-Tunnel möglich. Über diesen ist die Firewall erreichbar, der Rest der Server allerdings nicht…

Tobias · 29. Juni 2021 um 20:27

Hi @lomann ,

bei mir tut noch alles (wie oben angedeutet) mit der 21.1.7_1. Ich habe allerdings auch folgende Netze:

 DMZ (em0)       -> v4: 172.16.17.254/24
 LAN (vtnet1)    -> v4: 10.16.1.254/12
 Portal (vtnet2) -> v4: 172.16.16.254/24
 WAN (vtnet0)    -> v4: xxx.xxx.xxx.xxx

und außerdem ein subnetting, auf das ich manuell bei der Einrichtung ein Auge drauf hatte (weil automatisch nicht alles tat):

root@firewall:~ # netstat -r
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            xxx.xxx.xxx.xxx       UGS      vtnet0
10.16.0.0/12       link#2             U        vtnet1
firewall           link#2             UHS         lo0
10.16.12.0/24      10.16.1.253        UGS      vtnet1
10.16.14.0/24      10.16.1.253        UGS      vtnet1
10.16.16.0/24      10.16.1.253        UGS      vtnet1
10.16.17.0/24      10.16.1.253        UGS      vtnet1
10.16.18.0/24      10.16.1.253        UGS      vtnet1
localhost          link#6             UH          lo0
xxx.xxx.xxx.xxx/28    link#1             U        vtnet0
firewall           link#1             UHS         lo0
172.16.16.0/24     link#4             U        vtnet2
firewall           link#4             UHS         lo0
172.16.17.0/24     link#3             U           em0
firewall           link#3             UHS         lo0

Internet6:
...

Keine Ahnung, ob dir das was bei der Fehlersuche hilft?
VG, Tobias

lomann · 5. Juli 2021 um 06:58

Zumindest scheinbar hab ich das Problem lösen können, auch wenn ich es offen gestanden nicht ganz verstehe…):
Ich habe die Routen für das Server-, und die beiden WLAN-Netze auf der OPNSense entfernt. seitdem geht`s. Die Dinger waren eh merkwürdig, da dadurch eine Änderung an den Schnittstelleneinstellungen immer scheiterte, da diese mit der jeweiligen Routingeinstellung im Konflikt stand. Entweder hat man die IP-Adresse der Schnittstellen mit einem 32er SubNet versehen, oder diese Route entfernt. Mit der IP 10.0.0.254/32 funktionierte bei mir aber nahezu gar nichts. Aber in allen Anleitungen/Erklärungen finde ich nur, dass die Routen angelegt werden sollen und die Schnittstellen auf ein 24er oder 16er Netz eingestellt sein sollen, was die OPNSense aber nicht akzeptiert.
Verwirrtichbinaberfrohdassgradüberhauptwasgeht…

michael_kohls · 30. Juli 2021 um 10:12

Hallo!
Heute bin ich bis auf die 21.7 hochgeklettert. Bis jetzt ohne Probleme.
Micha

Tobias · 1. September 2021 um 17:22

Hallo, heute auf die 21.7.1.
Bis jetzt ohne Probleme.
VG, Tobias

Tobias · 29. September 2021 um 04:04

upgrade auf 21.7.3_1
bislang ohne Probleme

Michael · 27. Oktober 2021 um 18:03

gerade „versehentlich“ auf 21.7.4 gewechselt … Upgrade lief bisher ohne erkennbare Probleme.