OPNSense Update (Erfahrungen)

Hallo zusammen,

OpnSense schreibt in ihren Updates, dass es eine Änderung von LibreSSL zu OpenSSL geben wird, die man am besten jetzt schon durchführt. Ich habe das in der GUI gefunden und von (default) auf OpenSSL umgestellt.

Danach ein update ausgeführt und es hat sich scheinbar nichts geändert… bin mir also nicht sicher, ob OpenSSL nicht bei mir schon standardmäßig LibreSSL ersetzt hat, oder ob ich z.B. keine Plugins installiert hatte, die bisher auf libressl setzten und das mit der Änderung jetzt eine Deinstallation zur Folge hätte, wie z.B. TOR, wie heise schreibt: Firewall: OPNsense 22.7 mit verbesserten Funktionen und aktualisierter Basis | heise online

Lange Rede… jetzt bin ich auf 22.7.1 (von 22.7_4) ohne reboot…

Außerdem nice: ab jetzt gibt es - egal ob per GUI oder auf der Konsole - eine Nachricht, was alles geupdated wurde. Ob jetzt nur die Nachricht seit dem letzten Versionsstand oder alle Nachrichten seit dem Versionsstand von dem man updated :slight_smile: wird man sehen. (Oder es gab diese Nachrichten schon immer, und ich habe sie übersehen…)

2022-08-10_12-11


VG, Tobias

Hallo Tobias,

ich hatte das so gelesen, dass man es jetzt am besten noch NICHT selbst durchführt, weil noch einige Skripte getestet und angepasst werden!? Finde aber die Stelle gerade nicht mehr.

Viele Grüße,
Jochen

Heise:

Dafür sollen die OpenSSL-„Geschmacksrichtungen“ einziehen, die auch weitere Pflege erhalten. Die nächste Hauptversion soll den Umzug auf OpenSSL automatisch vornehmen. Die Entwickler raten Nutzern jedoch dazu, die Umstellung jetzt schon vorzunehmen, um potenzielle Auswirkungen zu minimieren.

und https://docs.opnsense.org/releases/CE_22.7.html

LibreSSL flavour is scheduled for removal at the end of this series and will likely receive no further maintenance. Software failing to work properly starting with Tor will have its plugin removed from the flavour from now on to be able to keep updating the software to their latest versions in the OpenSSL flavour. The next major upgrade will automatically transition to the OpenSSL flavour, but we would encourage everyone to switch between 22.7.x for the least amount of possible impact.

„switch between 22.7.x“ ist irgendwie seltsames Englisch. Aber ich denke das upgrade jetzt gut wäre, damit man sieht, was nicht tut.

VG, Tobias

eieiei, da hat mich mein altersschwaches Hirn betrogen! :slight_smile:

Danke Dir und viele Grüße,
Jochen

upgrade auf 22.7.5 successful…

upgrade von 22.7.6 auf 22.7.8 schlägt fehl, vermutlich wg. freeradius:

Installed packages to be UPGRADED:
        freeradius3: 3.0.25 -> 3.2.1
        opnsense: 22.7.6 -> 22.7.8
        os-freeradius: 1.9.21 -> 1.9.21_1

Number of packages to be upgraded: 3
[1/3] Upgrading freeradius3 from 3.0.25 to 3.2.1...
===> Creating groups.
Using existing group 'freeradius'.
===> Creating users
Using existing user 'freeradius'.
===> Setting user and group in radiusd.conf
[1/3] Extracting freeradius3-3.2.1: .......... done
freeradius3-3.0.25: missing file /usr/local/lib/freeradius-3.0.25/libfreeradius-dhcp.a
freeradius3-3.0.25: missing file /usr/local/lib/freeradius-3.0.25/libfreeradius-dhcp.la
freeradius3-3.0.25: missing file /usr/local/lib/freeradius-3.0.25/libfreeradius-dhcp.so
[...]
reeradius3-3.0.25: missing file /usr/local/share/licenses/freeradius3-3.0.25/catalog.mk
pkg-static: Fail to set time on /var/log/radacct:No such file or directory
Starting web GUI...done.
Generating RRD graphs...done.

ich deinstalliere mal freeradius…
jetzt läuft das update zwar durch…
danach kann ich freeradius auch wieder installieren.

stelle aber fest, dass zwei weitere Plugins (vielleicht schon länger) „misconfigured“ in der Weboberfläche sind:

mir ist gar nicht klar, ob ich die plugins überhaupt verwende…

6 Beiträge wurden in ein neues Thema verschoben: Probleme bei neuer OpnSense Installation

Versionsupdate auf 22.7.10_2 funktioniert so weit ich sehen kann.

Hinweis! Version 23.1 wird Ende Januar rauskommen.

Hallo Tobias,

das freeradius-Problem beim opnsense-Update war bei mir auch das Problem. Alle installierten Plugins standen auf misconfigured, inkl. os-freeradius (Ausnahme: wireguard).

Ich habe ebenfalls os-freeradius deinstalliert, die opnsense-updates aufgespielt, freeradius wieder installiert (alles ohne Neustart möglich), die Einstellungen blieben glücklicherweise erhalten und alles läuft jetzt wieder mit opnsense 22.7.10_2.

Viele Grüße,
Stefan

1 „Gefällt mir“

Danke für den Hinweis @garblixa!

1 „Gefällt mir“

Darf ich nochmal kurz nachhaken: Funktioniert der freeradius-Server nun doch direkt auf der OPNSense? Im Handbuch steht’s ja (im Zusammenhang mit auth_ntlm) ausdrücklich anders:
https://docs.linuxmuster.net/de/latest/systemadministration/network/radius/index.html?highlight=freeradius#einsatz-auf-der-opnsense
:thinking: :interrobang:
Viele Grüße,
Michael

Hallo Michael,

sorry, da bin ich überfragt. Es sind ein paar Einstellungen drin, vermutlich seit der Installation der lmn7.0, aber ob der wirklich benötigt wird, weiß ich nicht.

Viele Grüße,
Stefan

Hi Michael,
nein, ich vermute, freeradius funktioniert immer noch nicht. (Basierend auf der bisherigen Geschichte und der seltsamen Versionsnummer, die das freeradius-plugin hat).
Zudem: bei den neuesten TLS-Problemen die Windows-Systeme zeigen, glaube ich nicht daran, dass unter opnsense und dem freeradius-plugin da ein freeradius 3.2 läuft. Aber: man sollte man wieder nachschauen und testen, wenn man das will.

@lessi bezog sich darauf, dass das opnsense update nur funktionierte, wenn man freeradius de- und wieder installierte. Auch bei mir ist das installiert, aber ohne Funktion.

VG, Tobias

Hallo in die Runde.
Ok – bei uns ist es jedenfalls nicht installiert, da der v7-Server die freeRADIUS-Funktion komplett übernommen hat. Ob und wie gut das bei einem v7-dist-upgrade irgendwann in naher Zukunft erhalten bleibt und weiterläuft, muss sich zwar auch noch zeigen aber das Plugin os-freeradius auf der OPNSense scheint dann ja wirklich bei allen (?) hier unnötig zu sein?!?
Viele Grüße,
Michael

Hi,
Major Update to 23:

OPNsense 22.7 „Powerful Panther“ has reached its end of life. As such it will not receive any more updates, but the upgrade to the new 23.1 series is seamless and can be performed right here from the web GUI.

Another method is to import and reinstall using a new installation image, which will retain your settings using „Import Configuration“, then reformat the disk and apply a clean system using either „Install (UFS)“ or „Install (ZFS)“.

You can also upgrade via console / SSH by using option 12 from the menu by typing „23.1“ when prompted.

Make sure to read the migration notes and adjust for possible minor breaking changes.

Please backup your configuration, preview the new version via live image or in a virtual machine. Create snapshots. If all else fails, report back in the forums for assistance.

Hat jemand vor, zu Reinstallieren, statt upzugraden?

VG, Tobias

Hallo Tobias,
ein schrittweise Update über 22.7.x zu 23.1 via OPNsense Konsole war hier erfolgreich. Allerdings waren auch keine besonderen Plugins etc. installiert.
VG
Chris

Ich hatte das gleiche Upgrade Problem mit os-freeradius.

habe es dann deinstalliert, dann das Update gemacht und wieder installiert.

Bin dann auf 23.1 jetzt habe ich aber folgendes Problem:

Diese zwei Module sind misconfigured.

os-dyndns und os-web-proxy-sso.

Wie kann ich das wieder reparieren?

LG Pascal

Hallo,

korrigiert mich wenn ich falsch liege aber ich glaube os-dyndns wurde durch os-ddclient abgelöst oder?

Grüße
Michael

ist auch bei mir schon länger so. Vermutlich nutzen wir beides nicht (dyndns: stimmt, web-proxy-sso: nicht das ich wüsste), daher war mir das bisher egal.
Eine klare Lösung wäre aber gut.
VG, Tobias

Also hat web-proxy-sso nicht mit dem single sine one vom proxy zu tun damit die PCs sich über die Domäne am Internetproxy anmelden?

Wäre nur schlecht wenn das irgendwann nicht mehr richtig funktioniert :wink: