Upgrade auf 23.7 - Unbound startet nicht mehr

[bruen985]

Hallo,

nachdem ich gestern meine OPNSense von 23.1.11_1 auf 23.7 upgedatet habe, startet leider der Unbound Service nicht mehr. Nachdem ich nun etliche Dinge gegoogled und auch hier im Forum gelesen habe, komme ich nicht wirklich weiter.

Folgende System-Infos kann ich anhand der Suche hier im Forum schon mitgeben:

root@OPNsense:~ # unbound -ddvv -c /var/unbound/unbound.conf

Code: [Select]

[1691077744] unbound[59258:0] notice: Start of unbound 1.17.1.
/var/unbound/etc/access_lists.conf:1: error: syntax error
read /var/unbound/unbound.conf failed: 1 errors in configuration file
[1691077744] unbound[59258:0] fatal error: Could not read config file: /var/unbound/unbound.conf. Maybe try unbound -dd, it stays on the commandline to see more errors, or unbound-checkconf

root@OPNsense:~ # configctl unbound check

Code: [Select]

/var/unbound/etc/access_lists.conf:1: error: syntax error
read /var/unbound/unbound.conf failed: 1 errors in configuration file

Ich habe mir schon mehrfach die access_lists.conf und die unbound.conf angeschaut, kann aber keinen Fehler finden. Prinzipiell hatte ich unbound mit custom-config und DNSCrypt Proxy laufen.

Ich habe im WebUI auch noch folgende Fehlermeldung unter System -> LogFiles -> Backend:

Code: [Select]

2023-08-03T17:02:27 Error configd.py [be10630e-9cec-4828-9b3c-2bff3da5c219] Script action failed with Command '/usr/local/opnsense/scripts/unbound/wrapper.py -s ' returned non-zero exit status 1. at Traceback (most recent call last): File "/usr/local/opnsense/service/modules/actions/script_output.py", line 44, in execute subprocess.check_call(script_command, env=self.config_environment, shell=True, File "/usr/local/lib/python3.9/subprocess.py", line 373, in check_call raise CalledProcessError(retcode, cmd) subprocess.CalledProcessError: Command '/usr/local/opnsense/scripts/unbound/wrapper.py -s ' returned non-zero exit status 1.

Hat jemand eine Idee was hier beim Update schief gelaufen ist bzw. was ich korrigieren muss, damit unbound wieder startet?


root@OPNsense:~ # cat /var/unbound/unbound.conf

Code: [Select]

##########################
# Unbound Configuration
##########################

##
# Server configuration
##
server:
chroot: /var/unbound
username: unbound
directory: /var/unbound
pidfile: /var/run/unbound.pid
root-hints: /var/unbound/root.hints
use-syslog: yes
port: 53
include: /var/unbound/advanced.conf
harden-referral-path: no
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
do-daemonize: yes
so-reuseport: yes
module-config: "python validator iterator"
num-threads: 4
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
auto-trust-anchor-file: /var/unbound/root.key



# Interface IP(s) to bind to
interface: 0.0.0.0
interface: ::
interface-automatic: yes



# Private networks for DNS Rebinding prevention (when enabled)
private-address: 0.0.0.0/8
private-address: 10.0.0.0/8
private-address: 100.64.0.0/10
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 192.0.2.0/24
private-address: 192.168.0.0/16
private-address: 198.18.0.0/15
private-address: 198.51.100.0/24
private-address: 203.0.113.0/24
private-address: 233.252.0.0/24
private-address: ::1/128
private-address: 2001:db8::/32
private-address: fc00::/8
private-address: fd00::/8
private-address: fe80::/10


# Private domains (DNS Rebinding)
include: /var/unbound/private_domains.conf

# Static host entries
include: /var/unbound/host_entries.conf

# DHCP leases (if configured)
include: /var/unbound/dhcpleases.conf

# Custom includes
include: /var/unbound/etc/*.conf



python:
python-script: dnsbl_module.py

remote-control:
    control-enable: yes
    control-interface: 127.0.0.1
    control-port: 953
    server-key-file: /var/unbound/unbound_server.key
    server-cert-file: /var/unbound/unbound_server.pem
    control-key-file: /var/unbound/unbound_control.key
    control-cert-file: /var/unbound/unbound_control.pem

root@OPNsense:~ # cat /var/unbound/etc/access_lists.conf

Code: [Select]

access-control: 0.0.0.0/0 allow
access-control: ::/0 allow
access-control: 127.0.0.1/8 allow
access-control: ::1/128 allow

Danke und Gruß
Oliver

[franco]

Hi Oliver,

Das hier: https://github.com/opnsense/core/commit/f5efffcf94

# opnsense-patch f5efffcf94
# /usr/local/opnsense/mvc/script/run_migrations.php
# pluginctl dns


Grüsse
Franco

[bruen985]

Hi Franco,

danke für Deine Hilfe. Leider jedoch nicht erfolgreich.
Muss aber auch noch gestehen, dass ich diesen Patch schon mal gestern installiert hatte.

Habe es jetzt nochmal durchgeführt. Nach dem zweiten Befehl kam keine Ausgabe, daher habe ich hier zwischen den 2 Befehlen einen Abstand eingefügt:

Code: [Select]

root@OPNsense:~ # opnsense-patch f5efffcf94
Found local copy of f5efffcf94, skipping fetch.
Hmm...  Looks like a unified diff to me...
The text leading up to this was:
--------------------------
|From f5efffcf94a02bda53a2e66bb2f29e665effec5c Mon Sep 17 00:00:00 2001
|From: Franco Fichtner <franco@opnsense.org>
|Date: Wed, 2 Aug 2023 09:49:38 +0200
|Subject: [PATCH] unbound: migration of empty nodes failed
|
|PR: https://forum.opnsense.org/index.php?topic=35134.0
|---
| .../mvc/app/models/OPNsense/Unbound/Migrations/M1_0_5.php       | 2 +-
| 1 file changed, 1 insertion(+), 1 deletion(-)
|
|diff --git a/src/opnsense/mvc/app/models/OPNsense/Unbound/Migrations/M1_0_5.php b/src/opnsense/mvc/app/models/OPNsense/Unbound/Migrations/M1_0_5.php
|index 835e7fc5fc..793b198632 100644
|--- a/src/opnsense/mvc/app/models/OPNsense/Unbound/Migrations/M1_0_5.php
|+++ b/src/opnsense/mvc/app/models/OPNsense/Unbound/Migrations/M1_0_5.php
--------------------------
Patching file opnsense/mvc/app/models/OPNsense/Unbound/Migrations/M1_0_5.php using Plan A...
Reversed (or previously applied) patch detected!  Assuming -R.Hunk #1 succeeded at 46.
done
All patches have been applied successfully.  Have a nice day.


root@OPNsense:~ # /usr/local/opnsense/mvc/script/run_migrations.php


root@OPNsense:~ # pluginctl dns
Starting DNSCrypt-Proxy...done.

Danke Dir,
Oliver

[franco]

Hi Oliver,

Hmm, da die Migration nicht der Fehler war kann ich nur sagen, dass Unbound nicht gestartet wird weil es abgestellt ist.

Kannst du es manuell über die GUI aktivieren?


Grüsse
Franco

[bruen985]

Hi Franco,

hab ich probiert. Geht leider nicht.
Der Dienst bleibt in der Lobby auf "rot". Lässt sich einfach nicht starten.
Der Haken "enable unbound" ist gesetzt.

Gruß
Oliver

[bruen985]

... habe nochmal den letzten Befehl auf der Konsole ausgeführt.
Aber Unbound startet nicht, auch wenn hier "done" erscheint..

Code: [Select]

root@OPNsense:~ # pluginctl dns
Starting DNSCrypt-Proxy...done.
Starting Unbound DNS...done.


[franco]

Ok, was sagt  das folgende Kommando wenn es an ist aber rot also nicht startet:

# configctl unbound check


Grüsse
Franco

[bruen985]

root@OPNsense:~ # configctl unbound check
/var/unbound/etc/access_lists.conf:1: error: syntax error
read /var/unbound/unbound.conf failed: 1 errors in configuration file

[bruen985]

Guten Morgen,

für mich hört sich das nach einem (Syntax) Fehler in einem der beiden Dateien an. Finde aber nix.....
Habe in diesen Dateien nichts manuell geändert.
Auszug siehe erster Post.

Danke und Gruß
Oliver

[franco]

Hmm, ich raff es auch nicht. Habe den gleichen Inhalt. oO

Kannst du mal ein Health Audit machen von der Firmware GUI?


Grüsse
Franco

[bruen985]

Hi Franco,

klar:

Code: [Select]

***GOT REQUEST TO AUDIT HEALTH***
Currently running OPNsense 23.7 at Fri Aug  4 14:19:17 CEST 2023
>>> Check installed kernel version
Version 23.7 is correct.
>>> Check for missing or altered kernel files
No problems detected.
>>> Check installed base version
Version 23.7 is correct.
>>> Check for missing or altered base files
No problems detected.
>>> Check installed repositories
OPNsense
>>> Check installed plugins
os-c-icap 1.7_3
os-clamav 1.8
os-crowdsec 1.0.6
os-dnscrypt-proxy 1.14
os-mdns-repeater 1.1
os-nextcloud-backup 1.0_1
os-nut 1.8.1_2
os-telegraf 1.12.8
os-tftp 1.0
os-theme-cicada 1.34
os-wireguard 1.13_6
os-wol 2.4_1
os-zabbix64-agent 1.13_2
>>> Check locked packages
No locks found.
>>> Check for missing package dependencies
Checking all packages: .......... done
>>> Check for missing or altered package files
Checking all packages: .......... done
>>> Check for core packages consistency
Core package "opnsense" has 67 dependencies to check.
Checking packages: .................................................................... done
***DONE***

Gruß
Oliver

[franco]

Ok, dann probieren wir mal das Include Verzeichnis aufzuräumen:

# rm -f /usr/local/etc/unbound.opnsense.d/*.conf
# pluginctl dns
# configctl unbound check


Grüsse
Franco

[bruen985]

Hi Franco,

Danke Dir!! Das hat geholfen!!

Ich verstehe nur nicht genau warum..........
Liegt es an der eigenen Bezeichnung für das custom file? Der Rest ist ja Standard gewesen.

Das heisst bei mir "OBR_DNSCryptProxy.conf".

Auf jeden Fall läuft nun unbound wieder!
Jetzt muss ich nur wieder die customconfig einfügen. Gibt es eine Namenskonvention hierfür?

Danke und Gruß
Oliver

[franco]

Der Name ist eigentlich egal. Ich nehme mal an die Datei wurde als erstes Inkludiert (Grossbuchstabe vor Kleinbuchstabe) und dann access_lists.conf und dies hat einen Syntax Error provoziert den Unbound auf die nächste Datei schob?


Grüsse
Franco

[bruen985]

Hallo Franco,

o.k., ich habe die Datei nun in "custom.conf" umbenannt.
Und mehrfache unbound neustarts funktionierten nun problemlos! Hoffe das war's nun .... 

Vielen Dank für Deine Hilfe!!!
Ich wünsche Dir ein schönes WE!!

Gruß
Oliver