Aus WebGUI ausgesperrt

[jmeyer]

Hallo,

ich habe mich scheinbar aus der WebGUI meiner OPNsense ausgesperrt. Nun bräuchte ich eure Hilfe, um wieder in das System zu kommen.

Ich vermute, es hat damit zu tun, das ich unter System->Settings->Administration->"Authentication: Server" LDAP Server ausgewählt und die default "Local Database" dabei vergessen habe.

Wenn ich mich mit einem LDAP-User anmelde, bekomme ich nur "no page assigned to this user"
Mit meinem lokalen admin-User bekomme ich "Wrong username or password" - die Zugangsdaten stimmen aber.
Ich hätte noch einen "sync" User zur verfügung, der hat aber nur das Recht auf "GUI -> XMLRPC Library"

Zu dem Setup:
Die OPNsense FW läuft in einen High Availability Cluster (auf den Standby Knoten komme ich noch problemlos).
Es ist die Version "OPNsense 19.1.2". Das ganze System läuft in einer virtualisierten Umgebung (KVM), würde also auch an die Festplatte direkt kommen.

Hoffe jemand hat eine Idee, wie ich das System noch retten kann. Würde die FW ungern löschen und neu aufbauen...

Grüße
Julian

[superwinni2]

Also das einfachste und schnellste was mir einfällt, wäre via console ein Backup zurückspielen wo die Einstellung noch nicht gesetzt war... (vorausgesetzt ein Ausfall ist egal... Hier sollte im Normalfall jedoch die Backup FW greifen)

Andere Möglichkeit was mir grad einfällt, wäre die HA Synchronisation von der Backup auf die Haupt FW zu spielen...

Gesendet von meinem LG-H815 mit Tapatalk

[jmeyer]

Also per ssh kann ich mich ebenfalls nicht einloggen. Somit scheidet die console auch aus.

Ausfall wäre nicht gut, da sie Produktiv ist.

Was ich mich frage, Wie vollständig der sync zwischen den Systemen ist. Grund: Ich habe auf der Master z.B. Interfaces für openVPN Server erstellt. Die habe ich auf der Standby nicht...

Ob die HA Synchronisation hilft weiß ich nicht, da dieser Part ja auch nicht auf die Standby übertragen wird. Diese systemspezifischen Werte werden ja nicht immer mit übertragen...

[superwinni2]

Soweit ich weiß, wird nur noch synchronisiert wenn man es manuell anstößt...
Dann denke ich mal, dass dein Haupt/Backup hat nicht "synchron" ist...
Somit hoffe ich, dass sich noch ein Experte meldet jener uns mitteilt wie man dies ohne Ausfall hinbekommen kann

Gesendet von meinem LG-H815 mit Tapatalk

[jmeyer]

Wo landen eigentlich die Firewall Regeln, die von Master auf Standby gesynct werden, wenn auf Master z.B. für einen OpenVPN Server unter Interfaces ein eigenes Interface erstellt und dort die Regeln konfiguriert wurden?

Da dies ja manuell erstellt wurde, wurde das "Interface" ja nicht gesynct, der openVPN Server ist auf der Standby aber ja vorhanden...

[superwinni2]

Na ebenfalls unter den Config Dateien für das Interface...
Wenn es eben das Interface auf der StandbyFW nicht gibt, dann werden die verständlicherweise auch die Regeln nicht angezeigt.
Es ist jedoch sehr empfehlenswert die Interfaces "synchron" zu halnte da es ansonsten schnell starke Probleme geben kann