Messages

Changing to another mirror helped.

Hi

I got an error and installation stops at beginning of upgrade vom 21.7.6 to 21.7.7. Did it through Web GUI.

Code Select Expand

***GOT REQUEST TO UPDATE***
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
All repositories are up to date.
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
All repositories are up to date.
Checking for upgrades (33 candidates): .......... done
Processing candidates (33 candidates): .......... done
The following 32 package(s) will be affected (of 0 checked):

Installed packages to be UPGRADED:
curl: 7.79.1 -> 7.80.0
cyrus-sasl-gssapi: 2.1.27_1 -> 2.1.27_2
dnsmasq: 2.86,1 -> 2.86_2,1
glib: 2.70.1,2 -> 2.70.2,2
libcbor: 0.8.0 -> 0.9.0
mpd5: 5.9_4 -> 5.9_6
nss: 3.72 -> 3.73
openssl: 1.1.1l,1 -> 1.1.1l_1,1
opnsense: 21.7.6 -> 21.7.7
opnsense-update: 21.7.5_2 -> 21.7.7
os-acme-client: 3.5 -> 3.6
php74: 7.4.25 -> 7.4.26
php74-ctype: 7.4.25 -> 7.4.26
php74-curl: 7.4.25 -> 7.4.26
php74-dom: 7.4.25 -> 7.4.26
php74-filter: 7.4.25 -> 7.4.26
php74-gettext: 7.4.25 -> 7.4.26
php74-json: 7.4.25 -> 7.4.26
php74-ldap: 7.4.25 -> 7.4.26
php74-mbstring: 7.4.25 -> 7.4.26
php74-openssl: 7.4.25 -> 7.4.26
php74-pdo: 7.4.25 -> 7.4.26
php74-phpseclib: 2.0.34 -> 2.0.35
php74-session: 7.4.25 -> 7.4.26
php74-simplexml: 7.4.25 -> 7.4.26
php74-sockets: 7.4.25 -> 7.4.26
php74-sqlite3: 7.4.25 -> 7.4.26
php74-xml: 7.4.25 -> 7.4.26
php74-zlib: 7.4.25 -> 7.4.26
py38-dns-lexicon: 3.8.2 -> 3.8.3
py38-pycparser: 2.20 -> 2.21

Installed packages to be REINSTALLED:
suricata-6.0.4 (options changed)

Number of packages to be upgraded: 31
Number of packages to be reinstalled: 1

22 MiB to be downloaded.
[1/32] Fetching suricata-6.0.4.txz: .......... done
pkg-static: cached package suricata-6.0.4: size mismatch, fetching from remote
[2/32] Fetching suricata-6.0.4.txz: .......... done
pkg-static: cached package suricata-6.0.4: size mismatch, cannot continue
Consider running 'pkg update -f'
Starting web GUI...done.
Generating RRD graphs...done.
***DONE***

Any ideas?

thanks

Hallo zusammen

Ich beziehe auf WAN Seite per DHCP die IP. Wie kann ich das lösen, dass ich zusätzliches IP ziehen kann. Via Virtual IPs kann ich zwar ein zweites "Interface" erstellen, aber dort keine IP per dhcp ziehen, nur statische Netze eintragen.

Hat jemand eine Idee?

Grüsse
-oliver

Quick workaround, thanks Franco. It works for me.

I have the same with 18.1.6:

Code Select Expand

There were error(s) loading the rule: /tmp/rules.debug:15: cannot define table bogonsv6: Cannot allocate memory - The line in questions reads [15]: table persist file /usr/local/etc/bogonsv6.

Ich habe das glatt überlesen. Alles klar. Sticky-Option per default macht Sinn (wenn auch nicht jeder ein v4 Subnetz auf WAN Seite hat).

Danke für OPNSense.

-oliver

Danke Franco. Ich erachte dies wichtig, explizit in der Doku anzugeben und darauf hinzuweisen.

Denn wer wie ich davon ausgeht (von 17.7 her kommend und auf 18.1 upgegradet), dass mit einem Subnetz auf WAN Seite die outgoing Adresse der Sessions eineindeutig der gesetzten einzelnen WAN-Adresse entspricht, kommt nie auf die Idee, dass alle virtual IPs des WAN Subnetzes session rotierend verwendet werden. Ich habe auf zig Servern einen Fehler gesucht, weil Ip-basierte Zugriffslisten nicht funzten, bis ich das in einem Logfile entdeckte, dass der Kern woanders hinkommt.

Gruss -oliver

Hallo

Ich konntes es nachvollziehen, in der Tat rotiert es mit den Auto Rules Outbound (siehe Bild wie default).
Mit hybrid rules mit einem manuellen Eintrag (Bild) funzt es, nun wird immer die richtige IP und eine WAN angezeigt. Gehe ich wieder zurück auf Auto, gleiches Verhalten wie beschrieben. Könnte ein Bug sein.

Gruss
-oliver

Hi zusammen

18.1.2 auf guter Hardware. Standard config /WAN/DMZ/LAN) mit Portforwarding und OpenVPN, gemäss Anleitung.

Ich habe ein 8er Subnetz Beispielnetz 123.123.123.210/29 . 1 IP auf WAN gelegt und 3 als Virtual IPs (IP Alias). LAN normales DHCP, alles Standard. Mit Auto Rules Out.

Wenn ich nun ausm LAN in der Welt herumsurfe, wechselt die Absender IP (WAN) ständig. OPNSense verwendet rotierend alle vier IPs, die als WAN und die als Virtual IPs zugewiesen sind und zwar je Session. Dh. ein zugriff auf einen IP basierte ACL- Ressource funktioniert nur dann, wenn grad die richtig IP genutzt wird. Ich habe keine Idee, wie ich nur immer die WAN IP nutzen kann (ausser ich lösche die IP Aliases). Für Hinweise wäre ich  froh.


Aufbau:

WAN / Internet
            :
            : Provider
            :
      .-----+-----.
      |  Gateway  |  (Bridge)
      '-----+-----'
            |
        WAN | 123.123.123.210/29 WAN, Virtual IPs (211 212 213)
            |
      .-----+------.   private DMZ      .------------.
      |  OPNsense  +--------------------+ DMZ-Server |
      '-----+------'   192.168.222.0/24 '------------'
            |
        LAN | 192.168.57.0/24
            |
     

Running also the fanless i5 with 8G RAM and SSD with OPNSense 17.7.11. OPNsense GUI is really smooth and seamless integrated. Bandwidth 500/50 without running on high load (0.12 avg).

[UPDATE:]

Bin derzeit an einer Neuinstallation auf neuer Hardware mit aktuellen VGA image. Die Config der bisherigen Hardware unter 17.7.7 habe ich abgespeichert und auf USB stick geladen, zur Sicherheit als config.xml und in directory config/config.xml, weil ich nicht weiss wie der importer liest.

Habe 3 verschiedene USB Stick USB2 und USB3 ausprobiert, alle als FAT MBR, auch mit GPT formatiert.

importer meint immer, nach Boot prozess:

Code Select Expand

No known partition layout was found for 'da1'

Überspringe ich den Import und will den in der VGA Install einlesen kommt ein segmentation fault.

Habt ihr Ideen wie ich das hinbekomme?

grüsse oliver

UPDATE: Install und via WebGUI ging. Wechsel auf neue Hardware erfolgreich.

Ich wollte am Wochenende miene Fw mit OPNsense von einer Hardware auf die andere umziehen, dabei lief ich in ein paar Hürden und frage Euch um Tipps an:

a. Bei einer frischen VGA-basierten Installation von OPNsense möchte ich den LAN Schnittstelle als Bestandteil meines TestLan haben, also LAN IP 192.168.9.3 als Bestandteil des 192.168.9.0/24 Subnetzes mit Gw .1. Das habe ich nicht hinbekommen, denn sobald ich die WAN IP Adresse eingefüllt habe, ging das System in den NAT Modus und fertig lustig mit Konnektivität auf der LAN Seite.

b. Was ist der einfachste und gescheiteste Weg OPNsense die gesamte Konfig mit Schlüsseln von einer Hardware auf eine andere umzuziehen?
1. Konfiguration abspeichern
2. Alle SSL und andere Schlüssel abspeichern.
3. Konfig einlesen - wenn ich die bestehende Konfiguration einlese, kann ich dann die Schnittstellen so zuweisen, sofern die neue FW mehr Schnittstellen hat (Alt 3 Schnittstellen, neu 4 Schnittstellen)?
4. Weitere Ideen von Euch?

Danke für Tipps
Gruss oliver

[Fazit:]

Hallo zusammen

Der Installer startet, wenn man installer als Login verwendet :o
Ich stand wohl wirklich total aufm Schlauch.

Fazit: OPNsense 17.1 und 17.7 lässt sich wunderbar problemlos via Installer auf einem Qotom Q355G4 installieren und funktioniert tadellos.

Hoi Franco

Danke für Deine Antwort. Ich will den Sachverhalt verstehen, daher mache ich nicht einfach einen Nano Install oder nehme die Disk raus und beschreibe sie extern. Gerät muss nicht sofort tun, sondern dann richtig;-)

Was passiert:
a. Ich installiere amd64 vga/serial auf USB Disk via dd (macos). NEO ist der hier verwendete USB2 Stick mit 16GB.
b. Setze USB in Device ein (egal in welchen von 4 Ports), qotom bootet, boot menu kommt, startet mit default boot settings als Boot Multi user.
c. Anschliessend läuft die Hardware-Erkennung Seite FreeBSD und läuft so weit. Siehe Auszug und mögliche Fehler unten.
d. Dann fragt der Installer nach dem "configuration importer" und läuft weiter zu "Press any key to start manual interface assignment". Gleich ob manual oder automatisch, alles funzt und läuft durch.

Der Installer 17.1.4 fragt nie der Disk, nach der Installation auf Disk oder bringt sonst einen Hinweis, dass er die gesamte Disk verwenden will oder so.

Hier noch relevante Logauszüge, der einen Fehler zu zeigen scheint:

Code Select Expand

umass0: <NEO NEO T-Reader, class 0/0, rev 2.00/1.00, addr 1> on usbus0
umass0:  SCSI over Bulk-Only; quirks = 0xc100
umass0:1:0: Attached to scbus1
ada0 at ahcich0 bus 0 scbus0 target 0 lun 0
ada0: <INTEL SSDMCEAC120A3 LLGi> ACS-2 ATA SATA 3.x device
ada0: Serial Number XYZmodified
ada0: 600.000MB/s transfers (SATA 3.x, UDMA6, PIO 8192bytes)
ada0: Command Queueing enabled
ada0: 114473MB (234441648 512 byte sectors)
da0 at umass-sim0 bus 0 scbus1 target 0 lun 0
SMP: AP CPU #1 Launched!
SMP: AP CPU #2 Launched!
SMP: AP CPU #3 Launched!
da0: <NEO USB  SD Reader 0.00> Removable Direct Access SCSI-2 device
da0: Serial Number XYZmodified
da0: 40.000MB/s transfers
da0: 15360MB (31457280 512 byte sectors)
da0: quirks=0x2<NO_6_BYTE>
Timecounter "TSC" frequency 1596341156 Hz quality 1000
Trying to mount root from ufs:/dev/ufs/OPNsense_Install [ro,noatime]...
Mounting filesystems...
tunefs: soft updates set
tunefs: file system reloaded
camcontrol: ATA ATAPI_IDENTIFY via pass_16 failed
** /dev/ufs/OPNsense_Install
FILE SYSTEM CLEAN; SKIPPING CHECKS
clean, 54865 free (17 frags, 6856 blocks, 0.0% fragmentation)
** /dev/ufs/OPNsense_Install
FILE SYSTEM CLEAN; SKIPPING CHECKS
clean, 54865 free (17 frags, 6856 blocks, 0.0% fragmentation)
Configuring vt: blanktime.
Press any key to start the configuration importer: .......
Bootstrapping config.xml...done.
Configuring crash dump device: /dev/null
.ELF ldconfig path: /lib /usr/lib /usr/lib/compat /usr/local/lib /usr/local/lib/ipsec /usr/local/lib/perl5/5.24/mach/CORE
32-bit compatibility ldconfig path:
done.
Starting configd.
Launching the init system...done.
Initializing............done.
Loading configuration...done.
Starting device manager...done.
Configuring login behaviour...done.
Default interfaces not found -- Running interface assignment option.

Als Folge des Fehlers oben bei camcontrol, habe ich in der Shell camcontrol auf ada0 überprüft:

Code Select Expand

root@OPNsense:~ # camcontrol identify ada0
camcontrol identify ada0
pass0: <INTEL SSDMCEAC120A3 LLGi> ACS-2 ATA SATA 3.x device
pass0: 600.000MB/s transfers (SATA 3.x, UDMA6, PIO 8192bytes)

protocol              ATA/ATAPI-9 SATA 3.x
device model          INTEL SSDMCEAC120A3
firmware revision     LLGi
serial number         XYZmodified
WWN                   XYZmodified
cylinders             16383
heads                 16
sectors/track         63
sector size           logical 512, physical 512, offset 0
LBA supported         234441648 sectors
LBA48 supported       234441648 sectors
PIO supported         PIO4
DMA supported         WDMA2 UDMA6
media RPM             non-rotating
...

Das hier habe ich aber auch bei meinen Versuchen gesehen, bezieht sich auf die da0, also den USB Stick:

Code Select Expand

OPNsense kernel: GEOM: da0: the secondary GPT header is not in the last HBA

Hallo Franco

Der Installer läuft ab USB Stick, auch kann ich Ports, IPs etc. konfigurieren und bin dann im LIVE CD Modus auf der Weboberfläche. Ich gehe davon aus, dass der Installer läuft. Installer will wohl nicht schreiben;-)

Ich finde in der Shell (weder im Auto/noch im manuellen Modus) weder in in den Logs noch auf dem Schirm einen Hinweis auf einen Fehler, aber auch keinen dass ein Install auf Disk probiert wurde. Die SSD Disk ada0 wird erkannt, ebenso da0 als einer der 4 unterschiedlichen USB2/3 Sticks die ich ausprobiert habe.

Einziger Hinweis ist, dass da0 (der USB) das (nun frei ausm Kopf) Secondary LBA am anderen Ende hat oder so ähnlich.

Oliver