[SOLVED] 21.x Backup in OPNsense 24.x verwenden?

[ABrostmeyer]

Hallo!

Wir haben zwei baugleiche Systeme:
Auf dem älteren läuft aktuell OPNsense 21.10.3_1, das neue hat bereits OPNsense 24.4.1_3 ...

Die Idee ist nun, die Konfiguration auf dem Alt-System zu exportieren und auf dem neuen zu importieren: Für die eigentliche Netzwerk-Konfiguration funktioniert dies, d.h. alle Gateways, Netze etc. sind da und verhalten sich wie gewünscht.

Was nicht funktioniert ist die OpenVPN-Konfiguration:
Benutzer, Zertifikate und Server (Legacy) sind zwar da (und laufen), die Clients können aber keine Verbindung aufbauen. Oder genauer, es sind zwar Verbindungsversuche sichtbar, es scheint aber Problem bei der "Benutzerzuordnung" zu geben.

Ist das ein bekanntes Problem oder haben wir evtl. nur eine Kleinigkeit übersehen?

Danke!

Andreas
 

[franco]

Hi Andreas,

Es kann sein, dass es noch einen Bug gibt in der Kompatibilität vom neuen "Trust" mit API gibt zur alten Konfiguration, denn Grundsätzlich sollten alte Backups immer funktionieren.

Steht was im OpenVPN Log dazu? Sieht die Server Konfiguration so weit richtig aus (v.a. in Bezug auf die Zertifikate).


Grüsse
Franco

[ABrostmeyer]

Hallo Franco,

danke für die schnelle Antwort ...

1) Was genau meinst Du mit "neuen 'Trust' mit API"? Ich habe dazu nichts in den Release Notes gefunden und weiß daher nicht genau, wonach ich suchen soll.

2) Bei der Durchsicht der Release Notes habe ich aber den Eintrag zu den "Empty CRLs" in der BE 22.10 (wir nutzen übrigens die BE - hatte ich gestern vergessen zu erwähnen) gefunden: Entsprechende Fehlermeldungen hatten wir auch im VPN Log und ich habe daher bei unseren CRLs aufgeräumt bzw. gemäß Hinweis Dummy Zertifikate in die CRLs eingetragen.
Diese Meldungen sind nach einer erneuten Übertragung der Konfiguration jetzt verschwunden.

3) Und nun zum OpenVPN Log ...

a) Es gibt drei Warnungen, die (vermutlich) nichts mit dem Problem zu tun haben:
2024-08-22T15:26:49   Warning   openvpn_server2   NOTE: the current --script-security setting may allow this configuration to call user-defined scripts   
2024-08-22T15:26:49   Warning   openvpn_server2   DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.   
2024-08-22T15:26:49   Warning   openvpn_server2   WARNING: --topology net30 support for server configs with IPv4 pools will be removed in a future release. Please migrate to --topology subnet as soon as possible.

b) Und eine Fehlermeldung, die evtl. relevant ist:
2024-08-22T15:26:49   Error   openvpn_server2   TCP/UDP: Socket bind failed on local address [AF_INET]203.0.113.34:1196: Address already in use (errno=48)

Die Adresse ist korrekt (= es ist die externe Adresse des Gateways), aber sie wird nur einmal verwendet und von daher kann ich das "already in use" nicht deuten: Hast Du einen Tipp dazu?

Danke und viele Grüße
Andreas

[ABrostmeyer]

Es sieht so aus, als hätten wir beim letzten (Fehl-)Versuch einen elementaren Lösungsschritt nicht versucht:
Have You Tried Turning It Off And On Again?

Wir hatten die neue FW zuvor nur mit minimalen Netzwerk-Verbindungen gestartet und konfiguriert und hatten dann - im laufenden Betrieb - die restlichen Verbindungen gesteckt. Leider haben wir dabei übersehen, dass die korrekte Zuordnung der Hardware-Schnittstellen zu den konfigurierten Interfaces nur beim Start/Boot erfolgt ...

Der Fehler "Address already in use"  existiert zwar weiterhin - und hat wohl auch den automatischen Start des 2. OpenVPN-Servers verhindert - aber der Server ließ sich manuell starten und nun sind beide in Benutzung.

Andreas

[franco]

Hallo Andreas,

Entschuldige die ausgebliebene Antwort.

Die 24.4 läuft also nun? Gibt es noch Probleme (wie das address in use) die einen tieferen Blick brauchen? Das sind alles noch Legacy Server nehme ich an?


Grüsse
Franco