OPNSense Update (Erfahrungen)

Supergamer · 23. September 2023 um 06:11

Steht bei dir immer noch missconfigured?

Ich habe jetzt die neusten OPNsense Udpates eingespielt und jetzt ist missconfigured weg.

Lg Pascal

jochen · 23. September 2023 um 08:12

Das haben wir auch und ich konnte bisher noch keine Regelmäßigkeit herausfinden. Könnte es mit wechselnder Nutzung des Windows und Linux Clients zu tun haben?

Viele Grüße,
Jochen

eck_berlin · 23. September 2023 um 11:47

Nein. Wir haben nur Linux Clients, bis auf eine Handvoll speziell konfigurierter Windows-Geräte. Denkst Du, dass die alles durcheinanderbringen könnten?
@Supergamer: Das funktionierte dann beim Update automatisch? Bei welcher Version bist Du denn?

LG aus Berlin

Tobias · 9. Dezember 2023 um 13:33

um mein Wiki-Edit nach oben zu pushen: Update auf 23.7.x ging irgendwann problemlos (bereits im August gemeldet von Jochen).
Jetzt ist 23.7.9 aktuell und läuft flüssig.

Tobias · 24. Januar 2024 um 10:37

Update auf 23.7.11 und 23.7.12 läuft flüssig. beide auch ohne reboot.

Frank84 · 24. Januar 2024 um 10:55

Hallo Tobias,

besteht das Problem mit dem linuxmuster-Setup noch? → Hilfe beim ersten Setup - #13 von Frank84

VG,
Frank

Tobias · 24. Januar 2024 um 11:07

Hi Frank, hatte ich nicht auf dem Schirm. Das gehört hier sicher hin: Die Warnung vor neueren OpnSense-Versionen wenn man neu installiert.
Wenn ich den Thread richtig lese, ist es möglich, dass es alle Versionen ab > 23.1, also z.B. die ganze 23.7-er Reihe betrifft, richtig? Ich ergänze das oben im Wiki.
Danke für den Hinweis!

Frank84 · 24. Januar 2024 um 12:23

Ja genau, wobei ich den aktuellesten Stand nicht kenne, ob daran gearbeitet wird/wurde.

Tobias · 31. Januar 2024 um 17:07

Update auf 23.7.12_5.
Das Update auf 24.1 steht bereits an. Das ist ein Major Update mit vielen Änderungen „under the hood“. Hat das jemand bereits getestet?

VG, Tobias

RElevante Änderungen, die ich sehe:

plugins: os-firewall moved to core
plugins: os-squid 1.0 offers the removed web proxy core functionality
plugins: os-wireguard moved to core
plugins: os-wireguard-go was discontinued

Tobias · 31. Januar 2024 um 21:07

Ich habe 24.1 heute getestet:

Achtung

bei mir war danach das Gateway weg und ich habe es manuell wieder konfiguriert.

System → Gateways → Configuration → GW_WAN konfigurieren und Apply nicht vergessen.

Sonst scheint erstmal alle Portforwards und routings in Ordnung zu sein.

EDIT: ich habe jetzt ein paar Monate später das Upgrade nochmal durchgeführt und keine Probleme gehabt, das GW_WAN zu „haben“. Hat ohne Probleme geupdatet.

VG, Tobias

jochen · 1. Februar 2024 um 17:04

Hab meine Home OPNsense und die Management OPNsense in der Schule erfolgreich auf 24.1 gebracht. Auch der Umzug des vorher konfigurierten Wireguard in den Core hat wunderbar geklappt. Die LMN-OPNsense hab ich noch nicht auf 24.1 upgegraded.

Viele Grüße,
Jochen

roesslerrr · 17. Februar 2024 um 17:04

Hallo Zusammen!

Ich habe Anfang der Woche die OPNSense auf Version 24.1.1 gebracht:
Currently running OPNsense 24.1.1 at Sat Feb 17 17:58:33 CET 2024

Bisher habe ich keine negativen Erfahrungen gemacht und alles was ich getestet habe, hat funktioniert.

Gruß - Rainer

Michael · 17. Februar 2024 um 20:25

Hi.
Das Upgrade auf die 24.1 haben wir auch hinter uns.

Eine Sache ist uns aber dann doch aufgefallen: wenn man die OPNSense dazu verwendet, LE Zertifikate erstellen zu lassen, hat sich mit dem 24er Update der Pfad geändert, wo die Certs abgelegt werden! Muss man bedenken, wenn man (so wie wir) die Zertifikate vom v7-Server per scp von der Opnsense holen will…

Viele Grüße
Michael

michael_kohls · 2. April 2024 um 09:25

Hallo,
beim Update von 23.7.12 auf 24.1 gab es bei mir zunächst eine Fehlermeldung.

…Error in upgrade script ‚20-unbound-duckdb.py‘ …

Die Lösung war recht schnell zu finden: https://forum.opnsense.org/index.php?topic=38430.0
Einfach vorher unter Berichterstattung → Einstellungen → "Unbound DNS reporting „Reset DNS data“ anklicken. Danach läuft das Update durch.

Viele Grüße
Michael

Michael · 22. April 2024 um 13:26

Ich habe gerade das Update auf OPNsense 24.1.6 durchgeführt – bisher alles ohne Probleme.

Eine sehr sinnvolle Neuerung ist jetzt an Bord:
→ VPN → WireGuard → Peer Generator
Damit kann man VPN-Zugänge über Wireguard sehr schnell erzeugen

Michael · 4. Mai 2024 um 06:25

Hallo.
Falls jemand auf der OPNSense den Dienst „Dynamisches DNS“
os-ddclient (installiert) 1.21_2 OPNsense Dynamic DNS client
zusammen mit freeDNS/afraid verwendet und sich wundert, dass der Dienst in den letzten Tagen nicht mehr richtig lief:

Die Einstellungen für den ddclient haben sich seit einem Update geändert.
Neue Einstellungen hier: I can't find instructions for freedns.afraid.org

Viele Grüße,
Michael

Sascha · 8. Mai 2024 um 15:46

Moin,
Michael hat in diesem Beitrag schon darauf hingewiesen - im Update auf 24.1 haben sich die Pfade für die Zertifikate geändert, die man mit dem ACME-client automatisch aktualisieren lassen kann.
Wir nutzen ein Automation plugin, dass die Zertifikate danach automatisch auf den Server kopiert – das hat jetzt natürlich nicht mehr getan. Wir mussten in

/usr/local/opnsense/service/conf/actions.d/actions_ldapserver.conf

die Zeile

command:scp -i /root/.ssh/id_rsa_samba /var/etc/acme-client/home/example.server.de/* root@10.16.1.1:/etc/samba/tls

ändern in

command:scp -i /root/.ssh/id_rsa_samba /var/etc/acme-client/cert-home/*/example.server.de/* root@10.16.1.1:/etc/samba/tls

Gruß
Sascha

Michael · 8. Mai 2024 um 15:57

Ja – das ist genau das „Problem“: Jetzt liegen die Zertifiakte in irgendwelchen „kryptischen Unterverzeichnissen“ (vielleicht IDs?). Zum Glück kann man das aber trotzdem schnell zuordnen und wiederfinden, indem man auf der OPNSense unter
root@firewall:/var/etc/acme-client/cert-home/ in die einzelnen Unterverzeichnisse schaut, denn darin sieht man wieder die Namen, für die die Zertifkate ausgestellt wurden. Am schnellsten so:
find . -type d -maxdepth 2 -mindepth 2

Wir kopieren von dort ebenfalls die LE-Zertifikate auf diverse andere VMs … funktioniert.

Michael · 9. Mai 2024 um 08:05

In der Zwischenzeit hat sich übrigens noch ein anderes Problem gezeigt, das meiner Meinung nach erst seit dem letzten Upgrade vorhanden ist:

Wir nutzen das Captive Portal der OPNSense. Dort haben wir ein paar „Allowed MACs“ eingetragen, die ohne Portal online sein sollen. Das funktioniert aber nicht mehr. Die Adressen werden ignoriert und stattdessen wird auch auf diesen Clients das Portal gezeigt. Kann das jemand bestätigen oder sind nur wir davon betroffen?
In den OPNSense-Logs habe ich das hier gefunden:

tail /var/log/configd/latest.log

#Script action failed with Command '/usr/local/opnsense/scripts/OPNsense/CaptivePortal/
listClients.py /zoneid '0' /output_type 'json'' returned non-zero exit status 1. at Traceback (most 
recent call last):   File "/usr/local/opnsense/service/modules/actions/script_output.py", line 44, in 
execute subprocess.check_call(script_command, env=self.config_environment, shell=True,   File "/
usr/local/lib/python3.9/subprocess.py", line 373, in check_call     raise CalledProcessError(retcode, 
cmd) subprocess.CalledProcessError: Command '/usr/local/opnsense/scripts/OPNsense/
CaptivePortal/listClients.py /zoneid '0' /output_type 'json'' returned non-zero exit status 1.

Versionen 	
OPNsense 24.1.6-amd64
FreeBSD 13.2-RELEASE-p11
OpenSSL 3.0.13

Michael · 14. Mai 2024 um 18:36

vorübergehende Lösung: