Guten Abend zusammen,
ich habe ein Problem mit dem Standby-Knoten meines OPNsense-HA-Clusters: Seit einiger Zeit kann dieser keine Updates mehr erhalten, zeigt keine Pakete an und auch die Anzeige der Firmware-Statusinformationen dauert sehr lange. Wenn ich dann auf "Auf Aktualisierungen prüfen" klicke, dann sehe ich im Protokoll folgendes:
***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 26.1.2_5 (amd64) at Thu Mar 12 21:25:44 CET 2026
Fetching changelog information, please wait... fetch: transfer timed out
Updating OPNsense repository catalogue...
Waiting for another process to update repository OPNsense
All repositories are up to date.
Upgrading package manager from version '2.3.1_1' to ''
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error... (den Rest zeigt es mir nicht mehr an, weil ich zwischendurch noch etwas geprüft habe.
Immerhin kam jetzt mal "Upgrading package manager from version '2.3.1_1' to ''" usw., aber irgendetwas stimmt nicht. Ich habe schon einiges ausprobiert:
- opnsense-bootstrap
- Umstellung des Spiegelservers, Reboot und wieder zurück zum ursprünglichen Spiegelserver "(default)"
- Reset to Factory defaults
- Neuinstallation und Wiederherstellung der letzten Konfiguration
Keiner dieser Maßnahmen hat geholfen.
Der aktive Knoten hat überhaupt keine Probleme, Aktualisierungen usw. herunterzuladen.
Hat irgendjemand eine Idee, was ich noch machen kann?
Vielen Dank und viele Grüße
Mach doch als erstes mal ein Connectivity Audit und zeig das Ergebnis.
Wie erstelle ich ein solches Audit?
System: Firmware: Status
Unten rechts: Run an audit.
OK, diese Option sieht man erst, wenn die Daten eingelesen sind und angezeigt werden, was bei dieser OPNsense recht lange dauert.
Ich bin mir jetzt nicht sicher, ob das die Audit-Ausgaben sind. Ich habe neben dem Audit noch "Plugin-Konflikte beheben" gesehen und da den automatischen Resolver gestartet. Vermutlich sind das die Ausgaben vom Versuch, die Konflikte zu beheben:
***GOT REQUEST TO SYNC***
Currently running OPNsense 26.1.2_5 (amd64) at Fri Mar 13 08:12:25 CET 2026
Updating OPNsense repository catalogue...
Waiting for another process to update repository OPNsense
All repositories are up to date.
pkg: Repository OPNsense cannot be opened. 'pkg update' required
pkg: No packages available to install matching 'os-acme-client' have been found in the repositories
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Error updating repositories!
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Error updating repositories!
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Error updating repositories!
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Error updating repositories!
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
Da hängt das System jetzt wohl in einer Schleife. Ich starte jetzt erst einmal neu und versuche dann, den Audit zu starten.
Auf der Konsole sieht man ständig Meldungen der Art "lighttpd stopped" und "lighttpd started". Ist das normal? Kommt das evtl. durch die regelmäßigen Updates im HA-Cluster - die OPNsense mit dem Problem ist das Standby-System.
Hier nun das Ergebnis des Audits:
***GOT REQUEST TO AUDIT CONNECTIVITY***
Currently running OPNsense 26.1.2_5 (amd64) at Fri Mar 13 09:05:51 CET 2026
Checking connectivity for host: pkg.opnsense.org -> 89.149.222.99
PING 89.149.222.99 (89.149.222.99): 1500 data bytes
--- 89.149.222.99 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
Checking connectivity for repository (IPv4): https://pkg.opnsense.org/FreeBSD:14:amd64/26.1
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Error updating repositories!
Checking connectivity for host: pkg.opnsense.org -> 2001:1af8:5300:a010:1::1
ping: UDP connect: No route to host
Checking connectivity for repository (IPv6): https://pkg.opnsense.org/FreeBSD:14:amd64/26.1
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
Unable to update repository OPNsense
Error updating repositories!
Checking server certificate for host: pkg.opnsense.org
0810A528E43B0000:error:8000003C:system library:BIO_connect:Operation timed out:/usr/src/crypto/openssl/crypto/bio/bio_sock2.c:125:calling connect()
0810A528E43B0000:error:10000067:BIO routines:BIO_connect:connect error:/usr/src/crypto/openssl/crypto/bio/bio_sock2.c:127:
connect:errno=60
***DONE***
Aus irgendeinem Grund hat dein Standby-System keinen Internet-Zugriff. Den braucht es aber.
Ich suche den Fehler, warum diese OPNsense nicht ins Internet kommt. Aber ich komme da nicht weiter. Das hat definitiv schon funktioniert, denn ich konnte bereits Anfang März erfolgreich ein Update des Systems durchführen.
Die beiden OPNsense-Knoten sind identisch konfiguriert, laufen auf separaten ESXi-Hosts und auch dort sind die Netzwerkeinstellungen (Portgruppen, vSwitches, Netzwerkkarten) identisch.
Aber die OPNsense mit den Problemen kann nicht einmal die Geräte im WAN-Segment pingen. Sie sieht aber diese Geräte als Nachbarn. Irgendetwas unterbindet die Netzwerk-Verbindung.
Interessant: Im Firewall-Log taucht die CARP-VIP auf, wenn ich ein Gerät im WAN-Segment anpinge. Aber die CARP-VIP läuft auf dem aktiven Knoten und wird als Backup auf dem Standby-Knoten angezeigt. Ich habe erwartet, dass der Ping vom Standby-Knoten über die IP-Adresse der Netzwerkkarte erfolgt. Das würde auch erklären, warum ein Traceroute aus dem LAN zu www.heise.de die OPNsense zeigt, obwohl diese noch gar nicht produktiv ist, sondern parallel zum Sophos UTM Cluster läuft, da sich die OPNsense noch im Aufbau befindet.
Gibt es eine Idee, wie ich das lösen kann?
Das übliche: ifconfig, netstat -r, ping ... irgendwas klemmt.
Ping geht nicht, das habe ich ja schon geschrieben.
ifconfig: Ich habe die Netzwerk-Einstellungen in der Schnittstellen-Übersicht der OPNsense im WebUI geprüft und finde keinen Fehler.
netstat -r: Hilft mir da nicht weiter.
Wie ich bereits geschrieben habe, hat das bis vor kurzem noch funktioniert. Ich weiß aber nicht, was ich möglichweise geändert habe, das zu dem Problem führt. Ich hatte das Captive Portal im Verdacht, aber wenn ich das deaktiviere, ändert sich nichts.
Und seltsam ist, dass die OPNsense in den Nachbarn alle Geräte im WAN-Segment sieht.
Ich starte jetzt mal beide Knoten durch, vielliecht hilft das ja...