OPNSense Update (Erfahrungen)

Beobachtungen der Community bei den Updates werden in diesem Thread gesammelt. Einfach hier ergänzen (Wiki-Beitrag-Bearbeiten; neueste Kommentare oben):

21.1.3:

  • Squid startet nicht, wenn SSL / SNI aktiviert ist.
  • Der Schritt von 20.7.8_4 zu 21.1 dauert etwas länger.

20.1.1

  • von der 20.7.6 auf die 20.1.1
    Hat aber fast eine Stunde gedauert, bis alles Zwischenschritte abgearbeitet waren. Funktioniert immer noch alles.

Hi Tobias,

Ich bin seit ein paar Wochen auf der 21.1 und hab bisher keine Probleme bemerkt.
(Insofern die gpo Geschichte nichts damit zutun hat, was ich aber bezweifle: Fehler bei gpupdate )

VG, Dorian

Hallo!
Bin heute von der 20.7.6 auf die 20.1.1 geklettert. Funktioniert immer noch alles.
Hat aber fast ne Stunde gedauert, bis alles Zwischenschritte abgearbeitet waren.
VG
Micha

Habe jetzt schon in mehreren Schulen die OPNsense auf 21.1 hochgezogen, von daher:
jo

Hallo zusammen,
Habe jetzt schrittweise via Konsole auf 21.1.3 aktualisiert. Funktioniert soweit. Der Schritt von 20.7.8_4 zu 21.1 dauert etwas länger.

Hatte aber auch noch kein OpenVPN oder Wireguard im Einsatz. U.a. werden für Freeradius Updates angewendet.

Squid startet nicht, wenn SSL / SNI aktiviert ist.

VG
Chris

Hi.
Kann jetzt auch verkünden: 21.1.3_3 vom 2021-03-10 läuft. Das Update ging aber überraschend schnell. Hatte schon mit einem stundenlangen Prozess gerechnet … aber es war in <15 Minuten erledigt.

Viele Grüße,
Michael

Haben heute auch über Konsole in mehreren Schritten auf die aktuellste Version upgedatet. Scheint zu funktionieren.
Hoffentlich läuft jetzt auch unbound stabiler, der ist immer mal wieder abgeschmiert.

Viele Grüße,
Jochen

Hallo zusammen,
Upgrade von 21.1.3 auf 21.1.3_3 durchgeführt. Das geht ohne Neustart. Keine Probleme.

Das vorherige Problem, dass der Squid nicht startet, wenn SSL / SNI Filterung aktiv ist, lässt sich beheben, indem von dem bisherigen linuxmuster Zertifikat auf ein neu angelegtes (z.B. für VPN) erstelltes internes Zertifikat hierzu gewechselt wird. Es muss extra als internes angelegt worden sein und im Webproxy dort angegeben worden sein.
VG
Chris

Hallo Chris,

kannst du das genauer beschreiben?

LG

Holger

Hallo Holger,
in der OPNSense unter Dienste → Web-Proxy → Verwaltung → Weiterleitungsproxy
gibt es einen Eintrag zu „zu verwendende CA“. Hier hatte ich anfangs die CA für linuxmuster drin, die ich nach dem setup hatte.
Wenn Du unter System → Sicherheit → Aussteller gehst siehst Du u.a., ob der Aussteller intern ist oder nicht. Für linuxmuster steht bei mir NEIN.
Für OpenVPN hatte ich eine neu CA erstellt und diese als intern definiert.
Diese habe ich nun hier angegeben.
Ob das weitere Effekte hat kann ich noch nicht sagen. Kann ich erst morgen in der Schule testen.
VG
Chris

Hat jemand das Upgrade auf OPNSense 21.1.6 durchgeführt?

Ja, hab nichts Negatives von den Kolleg:innen gehört.
Der Update-Vorgang gibt regulär von statten.