OPNSense Update (Erfahrungen)

Hallo zusammen,
Upgrade von 21.1.3 auf 21.1.3_3 durchgeführt. Das geht ohne Neustart. Keine Probleme.

Das vorherige Problem, dass der Squid nicht startet, wenn SSL / SNI Filterung aktiv ist, lässt sich beheben, indem von dem bisherigen linuxmuster Zertifikat auf ein neu angelegtes (z.B. für VPN) erstelltes internes Zertifikat hierzu gewechselt wird. Es muss extra als internes angelegt worden sein und im Webproxy dort angegeben worden sein.
VG
Chris

Hallo Chris,

kannst du das genauer beschreiben?

LG

Holger

Hallo Holger,
in der OPNSense unter Dienste → Web-Proxy → Verwaltung → Weiterleitungsproxy
gibt es einen Eintrag zu „zu verwendende CA“. Hier hatte ich anfangs die CA für linuxmuster drin, die ich nach dem setup hatte.
Wenn Du unter System → Sicherheit → Aussteller gehst siehst Du u.a., ob der Aussteller intern ist oder nicht. Für linuxmuster steht bei mir NEIN.
Für OpenVPN hatte ich eine neu CA erstellt und diese als intern definiert.
Diese habe ich nun hier angegeben.
Ob das weitere Effekte hat kann ich noch nicht sagen. Kann ich erst morgen in der Schule testen.
VG
Chris

Hat jemand das Upgrade auf OPNSense 21.1.6 durchgeführt?

Ja, hab nichts Negatives von den Kolleg:innen gehört.
Der Update-Vorgang gibt regulär von statten.

Die 21.1.6 lief problemlos, Nach einem Update auf die 21.1.7_1 funktioniert nahezu nichts mehr. Scheinbar ist die LAN-Adresse der OPNSense (10.0.0.254) aus dem Servernetz (10.0.0.0/16) nicht erreichbar. Genau genommen ist der gesamte Tarffic im 10.0.0.0/16 Netz unterbrochen. Ein Ping geht ebenfalls nicht durch und natürlich geht es von allen Clients auch nicht in die weite Welt…
Zurücksetzen auf 21.1.6 und alles läuft wieder. Leider kann ich nun aber keine Plugins mehr auf der OPNSense installieren, da diese dafür dieses Update verlangt, wonach nichts mehr geht.
Ein Zugriff auf die OPNSense ist danach nur noch über den Wireguard-VPN-Tunnel möglich. Über diesen ist die Firewall erreichbar, der Rest der Server allerdings nicht…

Hi @lomann ,

bei mir tut noch alles (wie oben angedeutet) mit der 21.1.7_1. Ich habe allerdings auch folgende Netze:

 DMZ (em0)       -> v4: 172.16.17.254/24
 LAN (vtnet1)    -> v4: 10.16.1.254/12
 Portal (vtnet2) -> v4: 172.16.16.254/24
 WAN (vtnet0)    -> v4: xxx.xxx.xxx.xxx

und außerdem ein subnetting, auf das ich manuell bei der Einrichtung ein Auge drauf hatte (weil automatisch nicht alles tat):

root@firewall:~ # netstat -r
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            xxx.xxx.xxx.xxx       UGS      vtnet0
10.16.0.0/12       link#2             U        vtnet1
firewall           link#2             UHS         lo0
10.16.12.0/24      10.16.1.253        UGS      vtnet1
10.16.14.0/24      10.16.1.253        UGS      vtnet1
10.16.16.0/24      10.16.1.253        UGS      vtnet1
10.16.17.0/24      10.16.1.253        UGS      vtnet1
10.16.18.0/24      10.16.1.253        UGS      vtnet1
localhost          link#6             UH          lo0
xxx.xxx.xxx.xxx/28    link#1             U        vtnet0
firewall           link#1             UHS         lo0
172.16.16.0/24     link#4             U        vtnet2
firewall           link#4             UHS         lo0
172.16.17.0/24     link#3             U           em0
firewall           link#3             UHS         lo0

Internet6:
...

Keine Ahnung, ob dir das was bei der Fehlersuche hilft?
VG, Tobias

Zumindest scheinbar hab ich das Problem lösen können, auch wenn ich es offen gestanden nicht ganz verstehe…):
Ich habe die Routen für das Server-, und die beiden WLAN-Netze auf der OPNSense entfernt. seitdem geht`s. Die Dinger waren eh merkwürdig, da dadurch eine Änderung an den Schnittstelleneinstellungen immer scheiterte, da diese mit der jeweiligen Routingeinstellung im Konflikt stand. Entweder hat man die IP-Adresse der Schnittstellen mit einem 32er SubNet versehen, oder diese Route entfernt. Mit der IP 10.0.0.254/32 funktionierte bei mir aber nahezu gar nichts. Aber in allen Anleitungen/Erklärungen finde ich nur, dass die Routen angelegt werden sollen und die Schnittstellen auf ein 24er oder 16er Netz eingestellt sein sollen, was die OPNSense aber nicht akzeptiert.
Verwirrtichbinaberfrohdassgradüberhauptwasgeht…

Hallo!
Heute bin ich bis auf die 21.7 hochgeklettert. Bis jetzt ohne Probleme.
Micha

Hallo, heute auf die 21.7.1.
Bis jetzt ohne Probleme.
VG, Tobias

upgrade auf 21.7.3_1
bislang ohne Probleme

gerade „versehentlich“ auf 21.7.4 gewechselt … Upgrade lief bisher ohne erkennbare Probleme.

1 „Gefällt mir“

Hallo,

wenn jemand mit Squid und ACL mein Geschreibsel im Wiki nachgebaut hat, dann ist der letzte Abschnitt mit OPNSense 21.7 nicht mehr nötig. Es ist also einfacher geworden. Das Wiki habe ich entsprechend aktualisiert bzw. einen Hinweis hinterlassen:

https://wiki.linuxmuster.net/community/anwenderwiki:firewall_lmn7:squidproxy:start#problem_in_der_squidconf

Viele Grüße
Klaus

1 „Gefällt mir“

Hallo Michael,

ich habe den Punkt 12 „Update von Konsole“ gewählt, komme aber nur auf die Version 21.1.9_1.

Gruß

Alois

Hallo Alois,
reboote mal und versuche es nochmal. Bei mir haben alle updates von der Konsole geklappt.
Vielleicht ist der noch nicht richtig fertig mit dem letzten Update?
Achso: Upgrade auf 21.7 ist ein Meilenstein, da musst du den output der Konsole genau lesen. Man muss „21.7“ eingeben, statt einfach nur „Y“ für yes.
VG, Tobias

Hallo Tobias,

danke, hat geklappt. Dass es da die Option 21.7 gab habe ich völlig übersehen.

Gruß

Alois

Update der Firewall auf 21.7.5 (amd64/OpenSSL) - erfolgreich!

1 „Gefällt mir“

Gerade mach ich ein update auf opnsense 22.1.

Make sure you have read the release notes and migration guide before
attempting this upgrade. Around 500MB will need to be downloaded and
require 1000MB of free space. Continue with this major upgrade by
typing the major upgrade version number displayed above.

bin die einzelnen Punkte nicht im Detail durchgegangen, vllt. für manche relevant:

The Realtek vendor driver is no longer bundled with the updated FreeBSD kernel. If unsure whether FreeBSD 13 supports your Realtek NIC please install the os-realtek-re plugin prior to upgrading to retain operability of your NICs.

Das upgrade lief ziemlich schnell durch und meine firewall tuts noch.

well:

py37-markupsafe has a missing dependency: python37
py37-markupsafe has a missing dependency: py37-setuptools
py37-markupsafe is missing a required shared library: libpython3.7m.so.1.0

>>> Missing package dependencies were detected.
>>> Found 2 issue(s) in the package database.

pkg-static: No packages available to install matching 'python37' have been found in the repositories
pkg-static: No packages available to install matching 'py37-setuptools' have been found in the repositories
>>> Summary of actions performed:

python37 dependency failed to be fixed
py37-setuptools dependency failed to be fixed

ist jetzt nicht gar keine probleme

Da inzwischen py38 die Regel ist, scheint mir das Paket veraltet… ich vermute, das gehört weg… Vielleicht kann mal jemand vergleichen, ob er auch alle diese, oder noch mehr Pakete hat, wenn er/sie auf 22.1 upgedated hat:

root@firewall:~ # pkg info
beep-1.0_1                     Beeps a certain duration and pitch out of the PC Speaker
ca_root_nss-3.74               Root certificate bundle from the Mozilla Project
choparp-20150613               Simple proxy arp daemon
cpdup-1.22                     Comprehensive filesystem mirroring and backup program
cpustats-0.1                   Gather system statistics
curl-7.80.0                    Command line tool and library for transferring data with URLs
cyrus-sasl-2.1.27_2            RFC 2222 SASL (Simple Authentication and Security Layer)
cyrus-sasl-gssapi-2.1.27_2     SASL GSSAPI authentication plugin
dhcp6c-20200512_1              OPNsense WIDE-DHCPv6 client
dhcpleases-0.2                 Read dhpcd.lease file and add it to hosts file
dnsmasq-2.86_2,1               Lightweight DNS forwarder, DHCP, and TFTP server
dpinger-3.0                    IP device monitoring tool
e2fsprogs-libuuid-1.46.4       UUID library from e2fsprogs package
expat-2.4.2                    XML 1.0 parser written in C
expiretable-0.6_2              Utility to remove entries from the pf(4) table based on their age
filterlog-0.6                  Parse pflog(4) output
flock-2.37.2                   Manage locks from shell scripts
flowd-0.9.1_3                  Small, fast, and secure NetFlow collector
freeradius3-3.0.25             Free RADIUS server implementation
gdbm-1.22                      GNU database manager
gettext-runtime-0.21           GNU gettext runtime libraries and programs
glib-2.70.2,2                  Some useful routines of C programming (current stable version)
gmp-6.2.1                      Free library for arbitrary precision arithmetic
groff-1.22.4_4                 Software typesetting package
hostapd-2.10                   IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/EAP/RADIUS Authenticator
hyperscan-5.4.0                High-performance multiple regex matching library
ifinfo-13.0                    Interface statistics reader
iftop-1.0.p4                   Display bandwidth usage on an interface by host
indexinfo-0.3.1                Utility to regenerate the GNU info page index
isc-dhcp44-relay-4.4.2P1       The ISC Dynamic Host Configuration Protocol relay
isc-dhcp44-server-4.4.2P1_1    ISC Dynamic Host Configuration Protocol server
jansson-2.14                   C library for encoding, decoding, and manipulating JSON data
json-c-0.15_1                  JSON (JavaScript Object Notation) implementation in C
krb5-1.19.2                    MIT implementation of RFC 4120 network authentication service
ldns-1.8.1                     Library for programs conforming to DNS RFCs and drafts
libargon2-20190702             Memory hard password hashing program and library
libcbor-0.9.0                  CBOR protocol implementation for C and others
libcjson-1.7.15                Ultralightweight JSON parser in ANSI C
libedit-3.1.20210216,1         Command line editor library
libevent-2.1.12                API for executing callback functions on events or timeouts
libffi-3.3_1                   Foreign Function Interface
libfido2-1.9.0                 Provides library functionality for FIDO 2.0
libiconv-1.16                  Character set conversion library
liblz4-1.9.3,1                 LZ4 compression library, lossless and very fast
libnet-1.1.6_5,1               C library for creating IP packets
libnghttp2-1.46.0              HTTP/2.0 C Library
libpaper-1.1.28                Library providing routines for paper size management
libucl-0.8.1                   Universal configuration library parser
libxml2-2.9.12                 XML parser library for GNOME
libyaml-0.2.5                  YAML 1.1 parser and emitter written in C
lighttpd-1.4.63                Secure, fast, compliant, and flexible Web Server
lzo2-2.10_1                    Portable speedy, lossless data compression library
monit-5.29.0_1                 Unix system management and proactive monitoring
mpd5-5.9_6                     Multi-link PPP daemon based on netgraph(4)
mpdecimal-2.5.1                C/C++ arbitrary precision decimal floating point libraries
msktutil-1.1_2                 Utility to manage Active Directory interoperability
mysql57-client-5.7.36          Multithreaded SQL database (client)
nettle-3.7.3                   Low-level cryptographic library
nspr-4.33                      Platform-neutral API for system level and libc like functions
nss-3.74                       Libraries to support development of security-enabled applications
ntp-4.2.8p15_4                 The Network Time Protocol Distribution
oniguruma-6.9.7.1              Regular expressions library compatible with POSIX/GNU/Perl
openldap24-client-2.4.59_4     Open source LDAP client implementation
openssh-portable-8.8.p1_1,1    The portable version of OpenBSD's OpenSSH
openssl-1.1.1m_1,1             TLSv1.3 capable SSL and crypto library
openvpn-2.5.5                  Secure IP/Ethernet tunnel daemon
opnsense-22.1                  OPNsense community release
opnsense-installer-22.1        OPNsense installer scripts
opnsense-lang-21.7.8           OPNsense translations
opnsense-update-22.1           OPNsense update utilities
os-dyndns-1.27_2               Dynamic DNS Support
os-freeradius-1.9.18           RADIUS Authentication, Authorization and Accounting Server
os-web-proxy-sso-2.2_2         Kerberos authentication module
pam_opnsense-19.1.3            OPNsense shared authentication system using PAM
pcre-8.45                      Perl Compatible Regular Expressions library
pcre2-10.39                    Perl Compatible Regular Expressions library, version 2
perl5-5.32.1_1                 Practical Extraction and Report Language
pftop-0.7_9                    Utility for real-time display of statistics for pf
php74-7.4.27                   PHP Scripting Language
php74-ctype-7.4.27             The ctype shared extension for php
php74-curl-7.4.27              The curl shared extension for php
php74-dom-7.4.27               The dom shared extension for php
php74-filter-7.4.27            The filter shared extension for php
php74-gettext-7.4.27           The gettext shared extension for php
php74-google-api-php-client-2.4.0 Google APIs Client Library for PHP
php74-json-7.4.27              The json shared extension for php
php74-ldap-7.4.27              The ldap shared extension for php
php74-mbstring-7.4.27          The mbstring shared extension for php
php74-openssl-7.4.27           The openssl shared extension for php
php74-pdo-7.4.27               The pdo shared extension for php
php74-pecl-psr-1.2.0           Provides accepted PSR interfaces
php74-pecl-radius-1.4.0b1_1    Radius client library for PHP
php74-phalcon4-4.1.3           Phalcon PHP Framework written in C-language
php74-phpseclib-2.0.35         PHP Secure Communications Library
php74-session-7.4.27           The session shared extension for php
php74-simplexml-7.4.27         The simplexml shared extension for php
php74-sockets-7.4.27           The sockets shared extension for php
php74-sqlite3-7.4.27           The sqlite3 shared extension for php
php74-xml-7.4.27               The xml shared extension for php
php74-zlib-7.4.27              The zlib shared extension for php
pkg-1.16.3_1                   Package manager
protobuf-3.17.3,1              Data interchange format library
psutils-1.17_5                 Utilities for manipulating PostScript documents
py37-markupsafe-1.1.1_1        Implements XML/HTML/XHTML Markup safe string for Python
py38-Babel-2.9.1               Collection of tools for internationalizing Python applications
py38-Jinja2-3.0.1              Fast and easy to use stand-alone template engine
py38-certifi-2021.10.8         Mozilla SSL certificates
py38-cffi-1.15.0               Foreign Function Interface for Python calling C code
py38-chardet-4.0.0,1           Universal encoding detector for Python
py38-cryptography-3.3.2        Cryptographic recipes and primitives for Python developers
py38-dnspython2-2.2.0          DNS toolkit for Python - 2.X branch
py38-idna-2.10                 Internationalized Domain Names in Applications (IDNA)
py38-markupsafe-2.0.1          Implements XML/HTML/XHTML Markup safe string for Python
py38-netaddr-0.8.0             Manipulation of IPv4, IPv6, CIDR, EUI and MAC network addresses
py38-openssl-20.0.1            Python interface to the OpenSSL library
py38-pycparser-2.21            C parser in Python
py38-pysocks-1.7.1             Python SOCKS module
py38-pytz-2021.3,1             World Timezone Definitions for Python
py38-requests-2.25.1           HTTP library written in Python for human beings
py38-setuptools-57.0.0         Python packages installer
py38-six-1.16.0                Python 2 and 3 compatibility utilities
py38-sqlite3-3.8.12_7          Standard Python binding to the SQLite3 library (Python 3.8)
py38-ujson-5.0.0               Ultra fast JSON encoder and decoder for Python
py38-urllib3-1.26.7,1          HTTP library with thread-safe connection pooling, file post, and more
py38-yaml-5.4.1                Python YAML parser
python38-3.8.12_1              Interpreted object-oriented programming language
radvd-2.19_1                   Linux/BSD IPv6 router advertisement daemon
readline-8.1.1                 Library for editing command lines as they are typed
rrdtool-1.7.2_4                Round Robin Database Tools
samplicator-1.3.8.r1_1         Receives UDP datagrams and redistributes them to a set of receivers
sqlite3-3.37.2,1               SQL database engine in a C library
squid-4.15                     HTTP Caching Proxy
strongswan-5.9.4               Open Source IKEv2 IPsec-based VPN solution
sudo-1.9.8p2                   Allow others to run commands as root
suricata-6.0.4_1               High Performance Network IDS, IPS and Security Monitoring engine
syslog-ng-3.35.1               Powerful syslogd replacement
talloc-2.3.1                   Hierarchical pool based memory allocator
uchardet-0.0.7                 Universal charset detection library
udns-0.4_1                     DNS resolver library with sync and async queries
unbound-1.14.0                 Validating, recursive, and caching DNS resolver
wpa_supplicant-2.10            Supplicant (client) for WPA/802.1x protocols
zip-3.0_1                      Create/update ZIP files compatible with PKZIP

VG, Tobias

Hallo Tobias,

die Python-Meldungen hab ich beim Updaten unserer Mgmt-OPNsense auch bekommen. Scheint aber alles zu funktionieren.
Unsere LMN-OPNsense hab ich noch nicht upgedatet.

Viele Grüße,
Jochen