Was brauche ich alles?

Hallo Guntram,

ich bestätige den von dir gemeldeten Fehler - bin auf der Suche.

Der Link ist definitiv falsch gesetzt! :frowning: Und soll so auch nicht sein, wird auch weiterhin ans Ende des Internets führen.

Beste Grüße

Thorsten

gefixt durch Pull Request #626

Müsste bei der nächsten Aktualisierung online gehen. Der Link dürfte in der Doku nun an allen Stellen richtig sein.

Beste Grüße

Thorsten

Hallo mal wieder.

Ich habe den Server jetzt erst Mal wieder mit nach Hause geschleppt, weil ich hier doch mehr Zeit habe :-(…

Jetzt habe ich aber irgendwie kein Internet mehr. LAN geht - zumindest kann ich via ssh von meinem einen Rechner auf den Server und von dort aus im LAN pingen. Die Oberfläche via IP:8006 kann ich aber z.B. nicht aufrufen (wahrscheinlich, weil ich jetzt vom roten Netz aus komme?).
Namensauflösung scheint noch zu funktionieren, ping google.com gibt mir:

> PING google.com (142.250.186.110) 56(84) bytes of data.
> From lmn1.**-gymnasium.de (10.0.0.20) icmp_seq=1 Destination Host Unreachable
> From lmn1.**-gymnasium.de (10.0.0.20) icmp_seq=2 Destination Host Unreachable
> From lmn1.**-gymnasium.de (10.0.0.20) icmp_seq=3 Destination Host Unreachable
> ^C
> --- google.com ping statistics ---
> 4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 69ms
> pipe 4

Also wurde die IP von google.com aufgelöst. Es wird wohl mit der lokalen Identifizierung (10.0.0.20) zusammenhängen - oder?
Ist der Fehler in der /etc/network/interfaces ?

auto lo
iface lo inet loopback

iface enp2s0 inet manual

iface enp4s0 inet manual

auto vmbr0

iface vmbr0 inet static
        address 10.0.0.20
        netmask 255.255.0.0
        gateway 10.0.0.254

        bridge-ports enp2s0
        bridge-stp off
        bridge-fd 0
#intern/green

auto vmbr1

iface vmbr1 inet dhcp
        bridge-ports enp4s0
        bridge-stp off
        bridge-fd 0
#extern / red

Danke für Tip(p)s!

Hallo Guntram,

ich gehe davon aus, dass die Firewall auf „rot“ eine feste IP hat. Wenn Du des Server nach Hause geschleppt hast, dann muss diese IP an Dein Netz angepasst werden.

Gruß

Alois

Hallo alois,

ich hatte eigentlich keine feste IP von Serverseite aus vergeben.

Wie dem auch sei: ich habe jetzt zuhause den Server noch mal neu aufgesetzt. Bei der Installation des linuxmuster-Servers bekomme ich folgende Meldungen und er scheint in einer Endlosschleife zu hängen:


linuxmuster-setup startet at 2021-06-23 22:56:41


Custom inifile /tmp/setup.ini given on cli, ignoring other arguments!

ini

Reading /usr/share/linuxmuster/setupdefaults.ini … Success!

Reading /var/lib/linuxmuster/prepare.ini … Success!

Reading /var/cache/linuxmuster/custom.ini … Success!

* Domainname … feininger.lan

* Servername … lmn

* Server-IP … 10.0.0.1

* Bitmask … 16

* DHCP range … 10.0.255.1-10.0.255.254

* Firewall IP … 10.0.0.254

* Dockerhost IP … not set!

* Mailserver IP … not set!

Creating global binduser secret … Success!

Writing setup ini file … Success!


templates

Reading setup data … Success!

Processing config templates:

* subnets.csv … Success!

* dhcpd.conf … Success!

* devices.csv … Success!

* dhcpd.devices.conf … Success!

* linux-login.script … Success!

* dhcpd.apparmor.d … Success!

* dhcpd.events.conf … Success!

* ntp.conf … Success!

* smb.conf.admin … Success!

* dhcpd.subnets.conf … Success!

* webui-sudoers … Success!

* rsyncd.conf … Success!

* nsswitch.conf … Success!

* smb.conf … Success!

* cupsd.conf … Success!

* dhcpd.custom.conf … Success!

Network setup … Success!

Adjusting server time … 2021-06-23 22:56:51


fstab

Modifying mount options for / … Success!

Remounting / … Success!


ssl

Reading setup data … Success!

Creating private CA key & certificate … Success!

Creating private lmn key & certificate …Success!

Creating private firewall key & certificate …Success!

Creating private mail key & certificate …Success!

Creating private docker key & certificate …Success!

Creating private opsi key & certificate …Success!

Ensure key and certificate permissions … Success!


ssh

Reading setup data … Success!

Creating ssh keys:

* dsa host key … Success!

* dsa root key … Success!

* ecdsa host key … Success!

* ecdsa root key … Success!

* ed25519 host key … Success!

* ed25519 root key … Success!

* rsa host key … Success!

* rsa root key … Success!

Restarting ssh service … Success!

* Processing ssh link to host 10.0.0.2 on port 22:

> Testing ssh connection … Open!

> Establishing ssh connection … Success!

> Deploying public key … Success!

> Deploying ssl certs & key … Failed!

No connection to host 10.0.0.2 available!

Sind jetzt die SSL-Certs das Problem oder der OPSI mit 10.0.0.2 ?
An letzterem habe ich (gemäß Anleitung) noch nichts weiter gemacht - keine Ahnung, ob der jetzt wirklich auf der 10.0.0.2 lauscht?

:-(,
Guntram

Hallo,

… ich meine, die Firewall muss die 10.0.0.254 haben und nicht die 10.0.0.2.
Außerdem solltest du darauf achten, dass die Firewall, wenn du sie aufgesetzt hast, das Passwort
Muster!
haben muss, sonst kann das setup sie nciht einrichten.

LG

Holger

Hallo,

im SetUp wurde bis dato nichts von einem Aufsetzen der Firewall geschrieben?
Ich bin von hier: https://docs.linuxmuster.net/de/latest/getting-started/installoptions/install-on-proxmox/index.html#virtuelle-maschinen-starten
zum Setup weiter geleitet worden:
https://docs.linuxmuster.net/de/latest/getting-started/setup.html

Da war bisher noch keine Rede von Konfiguration/Passwort setzen der Firewall? Die IP war halt so vorgeschlagen in der Anleitung. Wie finde ich die richtige IP heraus? Habe versucht, mich über die console in opensense einzuloggen - root/Muster! scheint nicht zu passen…

Ich habe die SetUp-Seite noch mal neu geladen - da hat er dann etwas weiter gemacht, scheitert jetzt aber bei:


firewall

Reading setup data … Success!

Calculating radius secret … Success!

Downloading firewall configuration:

* Download failed!

PS: die Firewall IP ist doch mit 10.0.0.254 angegeben? Wie kommst Du auf 10.0.0.2? Das ist ja OPSI…

Hallo Guntram,

… hatte mich verlesen in deinem Log.
OK: Firewall ist 10.0.0.254

Das download failed bedeutet, dass die Firewall nciht das Passwort
Muster!
hat

LG

Holger

Habe ich da in der Anleitung was verpasst? Wann hätte ich dieses Passwort vergeben sollen? Bzw.: was ist denn das derzeitige Passwort (ist ja wohl in der lzo-Datei drin)?

7 Beiträge wurden in ein neues Thema verschoben: Dead links and other curiosities

Noch was anderes: ich bin jetzt mit dem SetUp soweit durch, dass ich die Benutzeraufnahme gemacht habe und meinen admin-PC (welcher nach wie vor direkt per LAN am Server hängt) als Gerät hinzugefügt habe.

Jetzt habe ich schon wieder keinen Internetzugang vom Server ausgehend (ping google.com gibt „temporärer Fehler bei der Namensauflösung“)?
Wo hätte ich da noch was einstellen müssen? In der Fritzbox taucht ein Rechner names „firewall“ auf - ist das der proxmox-Server?
Die zugehörige IP (192.168.178.103) lässt sich im WLAN zumindest schon mal nicht anpingen…

Vom admin-PC kann ich via LAN auf alle 10.0.* Geschichten zugreifen. Internet habe ich dort aber auch nicht…

Ich habe nichts aktiv an Firewall oder interfaces geändert - es muss wohl während des lmn-Setups passiert sein?

Einzig nach dem ssh-login auf die Firewall kann ich von dort aus pingen…

Hallo Guntram,

aler Traffik geht aus dem internen Netz über die Firewall (OPNSense) nach draußen.
Per Default sollte auf den Clients die Firewall mittels:

firewall.meindomain.lan Port 3128 eingetragen sein.
Wenn jetrzt noch die Systemzeit schon beim Login stimmt, dann stimmt auch die Zeit im beim login gezogenen Kerberosticket und dann akzeptiert die Firewall dieses automatisch vom Browser der Firewall vorgelegte Ticket und dann geht es auch ins Netz.

Wilslt du ohne Proxy raus, dann mußt du das in den Firewallregeln in der OPNsense auch erlauben.
Internetsperre geht dann nciht mehr.

LG

Holger

Kannst Du mir noch einen Tip(p) geben, wo das sein soll? Eigentlich steht mein Rechner (IP 10.0.0.1) ja in der NoProxy-Gruppe (welche von Beginn an aktiviert war) und sollte entsprechend keine Blockade erfahren?

Mfg,
Guntram

Hallo Guntram,

wenn ich dich richtig verstanden habe, kommen Firewall und Server ins Internet, ein Client aber nicht. Da kann auch der angemeldete Nutzer eine Rolle spielen. Der linuxadmin kommt bei meinem Linuxclient (altes „Default cloop“) nur ins Internet, wenn der entsprechende Client in der Noproxy-Gruppe steht und auf dem Client die Proxyeinträge deaktiviert sind. Nach dieser Änderung kurz an- und abmelden. Andere Nutzer brauchen die Proxyeinträge, damit sie ins Internet kommen.

Viele Grüße

Wilfried

Hallo wilfried,

es ist kein „offizieller Client“. Einfach nur ein Linuxrechner, der mit Kabel angeschlossen ist (ich bin ja noch mitten im SetUp und wollte jetzt in einer VM meine Images erstellen - da wäre Internet ja hilfreich).

Nach meinem Verständnis braucht es dann doch keine Nutzer-Authentifizierung etc. ? Ich bin doch eigentlich noch eine Stufe vor Geräte via LMN-Server einpflegen…

Ich hatte meinen Rechner probeweise auch in die Geräteliste bei lmn eingetragen - kein Unterschied…

Wohlgemerkt: ich sitze am Rechner mit der 10.0.0.10 - also der ursprüngliche Admin-Rechner beim Einrichtungsvorgang.

Fehler gefunden: ich hatte DNS auf dem Client „automatisch“.
Mir ist inzwischen aufgefallen, dass ping auf IPs geht. Jetzt habe ich die Firewall (10.0.0.254) bei DNS eingetragen und es läuft :slight_smile: !

Hallo mal wieder. Nächste Etappe: Client herstellen. Ich wollte via VirtualBox auf meinem AdminPC (per Kabel am Server) nun einen LinuxMint-Client aufsetzen.
Was muss ich da bei den Netzwerkeinstellungen in Virtualbox einstellen? In der Anleitung (Muster-Clients und Rechneraufnahme — linuxmuster.net 7.0 Dokumentation) wird mir das leider nicht ganz klar.
Im Augenblick bekomme ich kein Boot via Netzwerk hin:

MAC habe ich aus VirtualBox übernommen, IP-Adresse ist einfach so bei lmn eingetragen - kann so derzeit keine IP in VirtualBox vergeben…(sollte ja auch nicht nötig sein?).

Jemand einen Tip(p)?

Hallo,

natürlich nicht NAT, sondern die Netzwerkkarte durchreichen.

LG

Holger

Hallo,

„Netzwerkbrücke“ heißt das.

LG

Holger