[SOLVED] Bekomme keine Updates mehr von "(default)"

[Emma2]

Hallo.
Ich habe zwei opnSenses, die nahezu identisch konfiguriert sind.
Auf der hiesigen (Deutschland) funktioniert es, Updates zu holen.

Auf der zweiten Maschine (die in Schweden steht), erhalte ich jedoch immer die Fehlermeldung "Could not authenticate the selected mirror."
Ich habe hier keine Änderung vorgenommen, d.h. insbesondere der "Firmware-Server" steht auf "(default)".

Wenn ich nun einen anderen Server wähle (Aalborg in DK oder Lund in SE), dann bleibt die Meldung gleich.
Trage ich einen deutschen Server ein, funzt es sofort wieder.

Woran liegt das? Mache ich etwas falsch?

Danke für Eure Erläuterung!

[chemlud]

Egal ob Lund, Aalborg, oder OPNsense NL, bei mir immer:

No updates available on this server

...also kein Fehler.

Welche Version soll den upgedatet werden?

[Emma2]

Ich bekomme aber die Meldung, der Updateserver könne nicht authentifiziert werden.
Von Deutschland aus klappt es, auch wenn keine Updates da sind.

[franco]

SSL Proxy ist im weg beim Auth Error oder das ca_root_nss SSL Bundle ist kaputt durch einen Stromausfall... alles schon passiert. oO


Grüsse
Franco

[Emma2]

Bitte nicht falsch verstehen: ich bin nicht störrisch, sondern möchte es nur verstehen:

SSL Proxy ist im weg beim Auth Error oder das ca_root_nss SSL Bundle ist kaputt

Meinst Du bei mir oder beim Anbieter?

Nochmal beschrieben: Die beiden opnSenses (19.1.6.amd64) verhalten sich zur gleichen Zeit unterschiedlich.
Jetzt gerade habe ich auf dem deutschen den Server Aalborg gewählt und erhalte "Es sind auf dem ausgewählten Spiegelserver keine Aktualisierungen verfügbar." Die selbe Einstellung auf meiner schwedischen Installation liefert "Could not authenticate the selected mirror."

Nochmal gefragt: Bedeutet das, dass auf meiner schwedischen Installation ein Fehler ist?
Wenn ich dort LeaseWeb wähle, erhalte ich erwartungsgemäß "Es sind auf dem ausgewählten Spiegelserver keine Aktualisierungen verfügbar." Das ist doch seltsam, oder?

Kann oder sollte Ich etwas tun? Oder liegt das doch an der Kombi aus Update-Server und Standort der anfragenden opnSense?

[franco]

Hi Emma2,

Alles gut, Fragen sind prima. Ich meine tatsächlich bei dir (Schweden).

Haben jüngst einen Bug entdeckt in dem SSL scheinbar ohne Fehlermeldung kaputt geht. Man kann es an den Dateien prüfen:

# ls -lah /usr/local/etc/ssl/cert.pem*
-rw-r--r--  1 root  wheel   809K Apr 30 06:38 /usr/local/etc/ssl/cert.pem
lrwxr-xr-x  1 root  wheel    38B Apr 18 00:49 /usr/local/etc/ssl/cert.pem.sample -> /usr/local/share/certs/ca-root-nss.crt

Die cert.pem hat dann 0 Byte nach Stromausfall (Dateisystem kaputt) und FreeBSD fetch/libfetch kann die SSL CAs nicht mehr finden und das Health Audit findet es auch nicht... Einen Fix gibt es in Version 19.1.7, aber den kannst du ggf. schlecht laden, daher:

# cp /usr/local/etc/ssl/cert.pem.sample /usr/local/etc/ssl/cert.pem

Und dann sollte es wieder funktionieren.

Ein weiters Indiz ist der Leaseweb Server -- der ist "nur" HTTP, daher muss SSL nicht verifiziert werden. Das kann man jetzt auch testen in dem man genau auf HTTP/HTTPS schaut in der Mirror Beschreibung und es tatsächlich so ist dass HTTPS nicht geht, aber HTTP schon.


Grüsse
Franco

[Emma2]

Boah ey, Franco.

Ich bin zutiefst beeindruckt! (Liegt vielleicht daran, dass ich von Windows komme und mit Linux und seinen Verwandten (ich weiß mittlerweile, dass opnSense auf "FreeBSD" fußt) noch nicht so firm bin.

Aber Deine Diagnose stimmt (Datei hatte die Größe null), Dein Tip hat geholfen, und ich sage:
Herzlichen Dank!

[Emma2]

Nachtrag/Frage: Ich weiß nicht, wie hier im Forum eine Frage als "gelöst" gekennzeichnet wird, habe stattdessen das Thema geändert und das Daumen-Hoch-Symbol verwendet.

[franco]

Sieht korrekt aus so, danke!

Wir benutzen HardenedBSD. Es basiert auf FreeBSD aber ist von der Sicherheit her mehr mit OpenBSD vergleichbar.

Schon witzig: ich hatte den Support Fall erst neulich und nur deswegen kam es bekannt vor. Hatte damals eine halbe Stunde gedauert das zu finden, also schon eher sehr versteckt.


Grüsse
Franco

[Emma2]

Auf alle Fälle toller Support hier. Danke!