nach Update auf 25.10.1 Business offline, kein Login möglich

Started by Sanibonani, December 12, 2025, 11:10:02 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 12, 2025, 11:10:02 AM
Hallo zusammen,

unsere DEC3860 ist nach dem Update auf 25.10.1 Business nicht mehr erreichbar gewesen. Update lief per Webinterface fehlerfrei durch und informierte über Neustart. Danach war alles offline!

Nachdem ich heute vor Ort war und per Console Verbindung hatte, stellte ich fest, dass kein Login möglich ist (2FA TOTP war/ist aktiv). Internetzugriff im Default-LAN war aber gegeben. Alles hinter dem VLAN-TRUNK war weiterhin offline.

Habe die Firewall daraufhin durch Drücken sauber heruntergefahren und sah dabei Uptime ~10h. Danach habe ich einmal die Spannungsversorgung getrennt.
Firewall wieder gestartet, alle erlaubten VLANs kommen wieder ins Internet.

Ein Login ist aber weder per Console noch per Webinterface möglich. (default Login getestet, Passwort+2FA, 2FA+Passwort, nur Passwort ohne Erfolg)

Habe ich ein Problem mit der Uhrzeit auf der FW? Die Hardware ist aus 07/24.

Update von 25.10 -> 25.10.1
Zenarmor, Crowdsec, unbound, openvpn i.V.

Vielen Dank für Hilfestellungen.
December 17, 2025, 10:06:39 AM #1
Klingt danach, als würde die Zeit ggf. nicht stimmen, dadurch ist der TOTP den die Firewall berechnet anders als der, den du mitgibst und damit falsch. Darum rät man nicht umsonst, einen Admin/Root Account zu machen mit "Brachialpasswort" (laaaange und komplex) und den im Tresor zu werfen, damit man einen Weg hat, der nicht an irgendwelchen Dependencies hängt um sich Notfalls einzuloggen.

Eventuell sind nach dem Update Crowdsec oder Zenarmor oder was anderes am Ausrasten, blockieren ggf. Verbindungen oder NTP und damit bekommst du keinen Zugriff. Das wäre zumindest eine Hypothese. Wenn du keinerlei andere Möglichkeit des Logins hast, wird das ggf. tricky.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
December 17, 2025, 10:18:24 AM #2
Quote from: JeGr on December 17, 2025, 10:06:39 AMDarum rät man nicht umsonst, einen Admin/Root Account zu machen mit "Brachialpasswort" (laaaange und komplex) und den im Tresor zu werfen

Das ist richtig. Leider beherrscht die OPNsense es aber nach wie vor nicht, 2FA für einzelne Accounts zu erzwingen oder eben nicht. D.h. wenn man die Möglichkeit des Login ohne 2FA aktiviert lässt, kann auch jeder andere Admin-Account diese einfach weg lassen.

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 17, 2025, 10:24:53 AM #3
Quote from: Patrick M. Hausen on December 17, 2025, 10:18:24 AMD.h. wenn man die Möglichkeit des Login ohne 2FA aktiviert lässt, kann auch jeder andere Admin-Account diese einfach weg lassen.

Oh stimmt, bei Local wird das der Fall sein, da hast du recht. Ich war im Kopf von zweitem Provider via LDAP/Radius + TOTP ausgegangen, dann bleibt natürlich Lokal noch eine non-TOTP Option. Aber beides Lokal wird der non-TOTP natürlich alles zunichte machen. Damn, da sollte man für Local+TOTP sowas wie Group-Binding anlegen, dass man das an Hand der Gruppe ggf. erzwingen/selektieren kann.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions