[solved] 20.7.2 - haproxy zerschossen/ GUI hat Ladeprobleme

[lebernd]

Kurz meine Update-Erfahrung 20.7.1 -> 20.7.2:

- ein

Code Select Expand

Reloading template OPNsense/HAProxy: Execute error während des updates
- update bleibt bei 48/50 [netdata] hängen weil es suricata nicht beenden kann? Oder ntopng?
Merke: update mit wenig laufenden Diensten!
- nach Reboot möchte haproxy nicht starten... die Korrektur eines angezeigten Fehlers - woher kam der? Lässt haproxy doch nicht starten.
- reboot
- ntopng braucht alle Kerne voll  -> keine GUI
- ssh login mit root geht nicht - mit LDAP-user schon. Über die Konsole suricata, ntopng, monit und netdata stoppen. GUI kommt nicht wieder.
- reboot: schnelles einloggen in die GUI, schnelles stoppen von Diensten s.o.
- haproxy: frontends / public service deaktivieren -> haproxy startet mit backends. Einzelnes hinzufügen von frontends geht dann auch fast gut.
- ein ursprünglich simples Port 80 frontend auf einer virt-lan-ip macht einen komischen redirect zu Port 4443.
-> also irgendwas funkt zwischen GUI und haproxy.
- setting /administration: nochmal den Port 22 eingeben, Port von 4443 auf 8443 legen.
- ok. so langsam geht ein bisschen was wieder.

-> caldav/carddav redirect für nextcloud war 'Grund' für den Error - egal erstmal. Das ist weiter draußen. Der einfache redirect auf Port 80 geht noch nicht - erst mal nicht so schlimm.
-> nochmal GUI versucht zu ändern und auf ein 2. Lan auch zu binden. seither keine GUI -> egal.
Der Rest: vpn etc funktioniert anscheinend und die wichtigen Teile von haproxy auch.

Von meiner Seite aus eher eine Warnung vor dem Update.

Beste Grüße,
Bernd

[mimugmail]

Das Suricata sich nicht beendet haben schon ein paar mehr gemeldet, muss man mal schauen was da los ist.
ntopng schau ich mir mal an, vielleicht haben die upstream wieder Mist gemacht. ntopng auf FreeBSD ist nicht so top getestet.
Kannst du HAProxy mal reverten ob das was bringt?

CLI:
opnsense-revert -r 20.7.1 os-haproxy

[lebernd]

Hm,

auch mit dem Befehl hängt meine Konfiguration - haproxy und GUI kommen sich in die Quere.
Auch wird der SSH-Server auf allen virtuellen IPs des LAN interfaces gestartet - war das vorher auch schon so? Dann laufen auf allen virtuellen IPs schon immer die System-Services bevor haproxy startet?

Edit: Meine IPv6 Config auf PPPoE scheint auch den Bach runter zu sein... Was so ein Update alles kann.  ???

[mimugmail]

Ich glaub eher bei dir in der Config läuft was nicht rund. Das ist sicherlich kein generelles Problem, sonst würde hier im Forum alles heiss laufen und davon hab ich nix mitbekommen.

Also du machst einen revert auf 20.7.1 von HAProxy plugin und bekommst trotzdem einen error?

[lebernd]

Nein, der revert geht - aber haproxy startet nicht.

- Der error war nur direkt während des updates. Danach habe ich haproxy ja wieder ans laufen bekommen, allerdings eben nicht die Konfiguration von 20.7.1

- Es gab wohl 2 Probleme soweit ich es bisher auf die Schnelle sehe:
1) ein frontend auf Port 80 mit virt-LAN-IP / das läuft nicht mehr. Bzw. habe ich da eben jetzt auch den redirekt auf Port 4443 der GUI. Dieser Fehler wird von haproxy nicht beim Config-Check erkannt.
2) Config-Check Fehler: caldav/cardav http-redirect Fehler - da muss ich nochmal gucken. Aber es war eigentlich nach Anleitung (schulnetzkonzept.de)

Dass alle Opnsense-Services auch auf den virtuellen IPs der Schnittstelle laufen, das war vorher auch schon so?
Ich habe da z.B.:

Code Select Expand

root@host:~# nmap 192.168.15.16

Starting Nmap 7.40 ( https://nmap.org ) at 2020-09-03 11:11 CEST
Nmap scan report for fritzbox.domain.intern (192.168.15.16)
Host is up (0.0012s latency).
Not shown: 995 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
199/tcp  open  smux
4443/tcp open  pharos
MAC Address: 0C:C4:7A:68:C4:77 (Super Micro Computer)

Nmap done: 1 IP address (1 host up) scanned in 12.57 seconds


Kein Wunder, dass ein einfacher Proxy auf Port 80 nicht mehr klappt.

[mimugmail]

Also wenn dann postest du besser den output von "sockstat -4" anstatt nmap.
Bzgl. redirect war das schon immer so, du kannst HAProxy starten, er hört auf Port 80, aber der redirect ist eine pf regel, die greift vorher, trotzdem darf sich ein Prozess auf den Port binden. War schon immer so, hat sicher nichts mit dem Update zu tun

Ich hab jetzt hier noch ntopng gestartet mit 20.7.2 .. performance ist super .. nur wenn man halt viel an der GUI macht und sich anzeigen lässt steigt die CPU last. Ich glaub aber das war schon immer so.

[lebernd]

Alles klar. Dann wird es bei mir ja auch bald wieder laufen.

Wenn ich zur Laufzeit eine virtuelle IP erstelle, dann werden `lighttpd`und `sshd` darauf nicht gestartet. Das würde zumindest erklären, warum Port 80 direkt nach erstellen der virtuellen IP über haproxy funktioniert hat.