WebGui nach Zertifikatsanpassung - Aktualisierung nicht mehr erreichbar

[TheCreyy]

WebGui nach Zertifikatsanpassung - Aktualisierung nicht mehr erreichbar

Hallo zusammen,

frohes neues Jahr Wünsche ich erstmal.
Wir haben hier eine kleines Problem mit unserer OPNSense Appliance.
Ich bin selber noch neu im Unternehmen und hatte soweit mit OPNSense noch keine Berührungspunkte, daher bin ich hier lieber etwas vorsichtig.

Hier im Forum habe ich so nichts direkt gefunden was passt, da einige Punkte so nicht gegeben sind die ggf. ne Lösung sein könnten.

Aber nun zum Problem:
Nach einen Update des eigenen Zertifikates (Lets Encrypt, funkioniert auf anderen Servern) ist die GUI nicht mehr zu erreichen.
Egal ob er HTTP oder HTTPS, es kommt immer ein Time Out (ERR_CONNECTION_TIMED_OUT) egal welcher Browser. (Vermute das die Weiterleitung von HTTP auf HTTPS eingeschaltet ist)
Die FW selber funktioniert aber noch ohne Probleme, nur halt die GUI nicht.

Einen Neustart der Appliance hab ich noch nicht gemacht, da ich keine Fan von Hard-Reboot bin und solange alles klappt wollte ich auch nicht riskieren dass nach dem Neustart gar nichts mehr klappt.

Leider wurde SSH hier nie aktiviert sodass ich nicht via SSH drauf zugreifen kann. (System reagiert nicht auf SHH anfragen)

Hätte dann dies Probiert: https://docs.opnsense.org/troubleshooting/webgui.html

Ich könnte mir auch vorstellen, dass dies hier das Problem und die Lösung ist:
https://forum.opnsense.org/index.php?topic=20544.msg95524#msg95524

Aber auch dazu brauch ich ja SSH Zugang.

Mehr Informationen zur Version oder so kann ich aktuell leider nicht geben, da sich hier lange niemand darum gekümmert hat.
Ich weiß nur das die Version mind. 1 Jahr alt ist, da wohl solange keine Updates mehr gemacht wurden.
(Die hatten aus mir unbekannten gründen nicht funktioniert, wäre das nächste Thema was angeschaut werden muss)

Alles in allem etwas verzwickt und naja.. scheisse eben..

Meine nächster Ansatzpunkt wäre nun über den Consolen USB Port zu gehen und dort dann die beiden oben genannten schritte zu versuchen oder habt ihr womöglich eine andere Idee?

Erschwerend kommt auch noch hinzu, das natürlich von der gesamten Konfiguration keine Backup, bzw. kein aktuelles Backup gemacht wurde !
Gibt es eine Möglichkeit über den Consolen USB Port erstmal ein Backup zu machen und Lokal herunterzuladen?
Eine neu Konfiguration kommt also nicht in frage da mit vielen V-lans, VPN und externen Anbindungen gearbeitet wird.

Wäre für jede Hilfe oder Tipp wie ich am besten vorgehen sollte dankbar an dieser Stelle.
Danke !

[Monviech (Cedrik)]

Die gesamte Konfiguration der OPNsense ist in einer XML Datei gesichert.

/conf/config.xml

Da es keine Datenbank ist, ist die OPNsense sehr nachgiebig was reboots angeht (Vor allem wenn das Dateisystem auf ZFS eingestellt ist, das ist so gut wie unkaputtbar auch mit hard reboots)

Über den Konsolen Port kannst du die Sicherung der config.xml machen, indem du Putty z.B. so einstellst, dass alle Zeilen in der Zwischenablage gehalten werden. Dann im Terminal die gesamte config.xml mit z.B. cat runterschreiben lassen, und dann in Putty die gesamte Zwischenablage kopieren.

Alles in allem würde ich ein Support Fenster mit den betroffenen Parteien ausmachen (wenn man sich unsicher ist halt mal einen ganzen Tag) und dann die Firewall neustarten.

Wenn du dir wirklich komplett unsicher bist, und das ganze System echt kritisch ist - bei Deciso gibt es bezahlten Support. https://shop.opnsense.com/product-categorie/support/

[TheCreyy]

HI,

vielen Dank für die Antwort.
Konnte am Wochenende probieren via Serial Verbindung auf die FW zu connecten.
Hat soweit sehr gut und wie erwartet geklappt.

Haben dann Ermstal die Dienste nur neu gestartet, dies hat das Problem nicht gelöst.

Die Config XML habe ich wie von dir beschrieben, vielen Dank dafür, nun über den CAT Befehl in die Log schrieben lassen und "extrahiert" in eine eigenen XML Datei.
Theoretisch müsste ich diese ja, soll ich die FW mal neu bespielen müssen, einfach nur einspielen müssen und ALLE Optionen etc. sind genauso wie stand jetzt. Allerdings wohl auch der Zertifikats-Fehler, oder ?


Dan habe ich einfach folgenden Befehl eingeben und das WEbGui war wieder erreichbar !

^{configctl webgui restart renew}

Vielen Dank für die Hilfe hier !

mfg