V7 WebUI - Internetsperre für Schüler

:+1: Danke!

@thomas
Hallo Thomas,

ich glaube das Thema ist noch nicht erledigt.
Gerade ist mir aufgefallen, daß ich in der jetzigen Konfiguration, wenn ich SSO deaktiviere, der Squid nicht mehr startet.

root@firewall:/usr/local/etc/squid/pre-auth # service squid start
Starting squid.
2020/03/13 13:14:42| Can't use proxy auth because no authentication schemes are fully configured.
2020/03/13 13:14:42| FATAL: ERROR: Invalid ACL: acl InternetAllowed external InternetAllowed

2020/03/13 13:14:42| Squid Cache (Version 4.9): Terminated abnormally.
CPU Usage: 0.012 seconds = 0.006 user + 0.006 sys
Maximum Resident Size: 64400 KB
Page faults with physical i/o: 0
/usr/local/etc/rc.d/squid: WARNING: failed to start squid

Ich denke man darf /usr/local/etc/squid/pre-auth/50-linuxmuster.pre-auth.conf nur zusammen mit SSO aktivieren/schreiben. Also doch eine aufwändigere Anpassung der OPNsense configd Templates?

Dann muss man halt jetzt erstmal SSO aktiviert lassen und Hosts und Subnetze, die damit nicht klarkommen, in die noproxy Gruppe aufnehmen. SSO ist halt unser Standardsetup. Kannst ja einen Issue erstellen.

VG, Thomas

Hi.
Holger schrieb neulich, dass es ein Problem mit v20.1 im Zshg mit dem Upgrade und SSO gab. Ist das nun auch gelöst oder wird 20.1 weiterhin nicht empfohlen? (Da unser Server noch im Testbetrieb läuft, ist SSO noch nicht aktiv – daher die Rückfrage, bevor ich lange suchen muss).
Schöne Grüße,
Michael

Hier läuft OPNsense 20.1.2 ohne Probleme.

VG, Thomas

Hi Thomas,
auch im Zshg mit Holgers Beitrag? →

Schöne Grüße,
Michael

@thomas

Issue ist erstellt: https://github.com/linuxmuster/linuxmuster-base7/issues/89

Danke!

Hallo Michael,

Hallo, ich möchte darauf hinweisen, dass in wenigstens 2
Testumgebungen das Update auf 20.1-2 die SSO Authentifizierung nicht
mehr funktionierte. Die Probleme werden derzeit untersucht. Das
testen des Zugangs nach dem update in der kerberosauthentifizierung
des SSO bringt zwar noch den Erfolg, aber der
Authentifizierungstester unter System->authentifizierungen-> Prüfer
gibt eienen Fehler: surfen über den Proxy funktioniert dann nicht
mehr. Deswegen rate ich zur Vorsicht bei diesem Update…

ich stehe auch weiterhin dazu.
Du kannst nun also sagen: gut, nur eine Installation bei Holger
betroffen … so what.
Ich hab inzwischen auch meine virtuelle Umgebung aktualisiert: da hat es
auch funktioniert.

Als ich das letztes Wochenende bemerkt hatte, hab ich Thomas gebeten
doch wieder ein script zur Verfügung zu stellen, mit dem man eine
frische OPNsense an eine bestehende lmn anbinden kann: so wie das immer
mit linuxmuster-ipfire --setup --first ging.
Das hat er auch gleich gemacht, siehe hier:

linuxmuster-opnsense-reset

… aber ich hab das script noch nicht getestet …

Es würde der Statistik aber natürlich helfen, wenn du das Update
durchführen würdest: dann könnten alle anderen besser einschätzen, wie
wahrscheinlich es sit, dass das klappt bzw. schief geht.
Also: frisch auf: backup her und upgedatet :slight_smile:

LG

Holger

Das „Problem“ ist … ich bin längst auf 20.1.2 und habe gehofft, dass das SSO wieder funktioniert, wenn ich es scharf stelle. Von daher kann ich’s nicht wirklich ausprobieren

Also, wie gesagt, SSO funktioniert hier nach dem Upgrade auf 20.1.2 ohne Probleme. Keine Ahnung, was bei Holger los ist.

VG, Thomas

Ich habe hier bei einer OPNSesne das Problem, dass der Eintrag SSO gar nicht mehr unter Webproxy zu finden ist… Schaue ich an der falschen Stelle oder wo wird SSO aktiviert bei einer OPNSense 20.1.7 (grade aktuell).

Kann sich da was vermurkst haben und es hilft eine neue, leere opnsense zu importieren?

EDIT:

Ich hab die Firewall mit linuxmuster-opnsense-reset zurückgesetzt, jetzt sieht das ganze wesentlich besser aus.

Hallo.
Ich habe den Button hier auch nicht mehr! Er sollte in der OPNSense unter
Dienste → Webproxy → Single Sign On zu finden sein; ist aber verschwunden.

… da frage ich mich natürlich: Was macht das sonst noch alles? Welche Einstellungen werden dabei zurückgesetzt? Ich will danach natürlich nicht von vorne beginnen …

Schöne Grüße,
Michael

Es wird alles auf den gegenwärtigen Auslieferungszustand zurückgesetzt. Schön finde ich das jetzt auch nicht, aber ein Fan der OPNSense war ich auch zuvor nicht :slight_smile:

… das heißt: Du fängst gerade bei 0 wieder an? Alle eigenen Regeln, alle Settings, alles weg?

Hallo Andreas,

ist die sso-Erweiterung installiert?

VG, Thomas

Naja das ist eine Firewall, kein Tagebuch.
Ich hab mir natürlich meine Settings vorher exportiert, das muss jetzt halt wieder rein. Das geht schneller als noch weiter rauszufinden was an der Firewall sonst zwischen den Updates gemurkst wurde.

Hi.
Also dieser Punkt wurde neulich schon mal im OPNSense-Forum diskutiert:
Wenn man ein OPNSense Backup erzeugt, dann eine frische Installation hochzieht und dieses Backup wieder einspielt, würde man ja eigentlich erwarten, dass damit ALLES wieder genauso ist wie zuvor. Doch weit gefehlt: Die OPNSense installiert NICHT die selbst installierten Plugins/Erweiterungen nach (hat aber sehr wohl die Konfigurationen aller Plugins an Bord!).
Mir fiel das auf, als ich von der VM zurück auf’s Blech umgezogen bin: der HAProxy lief plötzlich nicht mehr und noch schlimmer: Die Weboberfläche der OPNSense war plötzlich im WAN erreichbar! Da gingen zunächst alle Warnlampen an aber als ich das Plugin „HAProxy“ wieder installiert hatte, war sofort wieder alles ok. Das muss man unbedingt wissen und es wurde im OPNSense-Forum auch kontrovers diskutiert … es müsste beim Zurückholen eines Backups MINDESTENS eine Warnung erscheinen, dass man die ganzen Plugins, die man selbst installiert hat, manuall nachinstallieren muss!

Das scheint hier auch der Fall zu sein, denn das Paket „os-web-proxy-sso“ ist hier im Moment gar nicht akitivert. @thomas – das ist das richtige, oder?

@Michael

Ja, os-web-proxy-sso.

Vorgehensweise in dem Fall:

  • Konfigurationsbackup erzeugen
  • linuxmuster-opnsense-reset
  • ggf. fehlende Plugins installieren
  • Backup zurückspielen

Wobei man natürlich darauf achten muss, dass das Backup von einem
funktionsfähigen Zustand stammt.

VG, Thomas

1 „Gefällt mir“

Ergänzung:
Backup zurückspielen funktioniert nicht, wenn man nach dem Backup das SSL-Zertifikat der Firewall geändert hat.

Das kann ich so bestätigen, hat in meinem Fall problemlos funktioniert. Ich würde auch sagen fehlende Plugins werden so nachinstalliert, zumindest hab ich das beobachtet.

Ich kann mir nicht so richtig vorstellen dass die OPNsense Backups nicht ordentlich zurückspielt, das wäre echt schwach wenn das schon nicht funktionieren würde…