Heute bin ich mal munter meine verschiedenen Systeme durchgegangen und habe routinemäßig Updates/Upgrades durchgeführt. Als ich wieder mal auf einem OPNsense Firewall Appliance geschaut habe, stellte ich fest, dass ein größeres Upgrade verfügbar ist, da meine benutzte Version (19.1) End of Life war.

Also kurzerhand – wie so oft den „Aktualisieren“-Button gedrückt und gewartet, bis das Upgrade auf 19.1 durchgelaufen war. Webmenü war nach einer gewissen Zeit wieder da und die Dienste starteten auch schön langsam alle (sieht man ja im Dashboard).

Tja, nur hatte ich nach dem Upgrade über das LAN keine Internetverbindung mehr. Von außen kam ich über das Handynetz ohne Probleme auf die freigegebenen Maschinen. Aber über das LAN/WLAN ins Internet? Keine Chance.

Also erstmal versucht mit IPMIView auf die OPNsense Appliance zu kommen, um einen Blick auf die Ausgabe zu werfen. Aus unerfindlichen Gründen funktioniert das Tool für KVM Verbindungen nicht mehr bei mir: Connection Failed. F***k! Also alten Monitor gesucht, für die altmodische Variante: Direkt anstecken an die Appliance. Blöd nur, dass ich zig DVI Kabel, aber kein einziges VGA Kabel mehr habe.

Nach ewigem hin und her, habe ich es dann geschafft mit meinem Firmen-Laptop auf Windoof-Basis über den Browser eine KVM-Verbindung über IPMI aufzubauen. Und siehe da: OPNsense hängt im Booten beim Laden eines Kernelmoduls und zeigt nur Booting… an.

Ich dachte also, ich hätte das Problem lokalisiert – irgendwas ging mit dem Upgrade schief. Was mich allerdings arg verwunderte: Wieso ist das Webmenü vollständig geladen und die Dienste gestartet, obwohl das Ding eigentlich noch im Bootprozess hängt?

Ich habe mir also per Handy das aktuelle OPNsense Image besorgt und wollte schon die Neuinstallation beginnen, als auf einmal, ohne mein Zutun das Internet bzw. die Verbindung aus dem LAN in selbiges wieder funktionierte. Hä?!

Ich habe dann auch versucht meinen Blog hier zu laden, was einwandfrei ging, denn ich konnte mich an eine nette Mail erinnern, dass ein User bei der Installation auf 19.1 ein Problem hatte, das während dem Booten auftrat. Ich habe dazu auch in meinem Blogbeitrag zur Appliance auch einen Nachtrag verfasst:

Update Mai 2019

Von Wolfgang habe ich den Hinweis bekommen, dass mit der Version 19.1.4 der Installer nicht sauber startet und nach dem laden einiger Kernelmodule abstürzt. Resultat ist ein blauer Screen mit der Ausgabe Boot.

Dieses Problem lässt sich lösen, indem man beim Starten das Boot-Menü durch Drücken der Leertaste unterbricht. Danach geht man mit Option 3 in die Boot-Console und gibt dort folgendes Kommando ein:

set kern.vty=sc

boot -v

Danach startet OPNsense normal hoch.

Siehe Beitrag: Selfmade OPNsense Appliance

Also habe ich genau diesen Ratschlag selbst befolgt und schon startete OPNsense ohne Hänger durch. Nur Internet hatte ich über LAN immer noch nicht. Wahrscheinlich hatte ich das „Booting…“-Problem bereits vorher, nur ist es mir nie aufgefallen, da die Appliance trotzdem funktionstüchtig war?

Übrigens ist das Kommando flüchtig und muss bei jedem Boot eingegeben werden. Außer man schreibt es in die entsprechende Boot-Konfig hinein oder man entfernt einfach den Haken im Webmenü unter System -> Einstellungen -> Verwaltung -> Console -> Verwende den virtuellen Terminal-Treiber (vt).

Deaktivieren des virtuellen Terminal-Treibers im Webmenü
Deaktivieren des virtuellen Terminal-Treibers im Webmenü

Die Lösung meines eigentlichen Problems …

… war aber dann doch etwas anders. Zuerst dachte ich an fehlerhafte Firewall-Regeln. Aber hier stimmte eigentlich alles. Und: Das VoIP-Telefon konnte über das VLAN ganz normal eine Verbindung aufbauen, d.h. hier wurden die Regeln nach außen auch nicht angetastet.

Was mir komisch vorkam war, dass es auf einmal ein IPV6-WAN-Gateway gab, das jedoch vom Provider keine IP bekommen hatte. Klar, läuft ja noch über IPV4. Also habe ich dieses GW einfach gelöscht. Keine Ahnung, weshalb das bei Upgrade angelegt wurde.

Nach eeeewiger Sucherei bin ich dann im Gateway-Menü (System -> Gateways -> Einzeln) darauf gestoßen, dass das Internet-Gateway als „inactive“ gekennzeichnet wurde, obwohl es im Dashboard als „online“ markiert war. Toll.

Nach Entfernen des Hakens bei „Markiere Gateway als inaktiv“ und bei „Deaktiviere Gatewayüberwachung“ sowie dem Setzen des Hakens bei „Upstream Gateway“ konnte ich endlich wieder über das LAN ins Internet. Weshalb diese Punkte beim Upgrade umkonfiguriert wurden, weiß ich nicht. Denke aber, dass es daran lag, dass ich zwei Gateways habe: Einmal das VLAN-GW für die VoIP-Telefonie und einmal das normale GW. Das VoIP-GW wurde nämlich als active markiert.

WAN Gateway-Konfiguration
WAN Gateway-Konfiguration

Vielleicht hilft diese Info ja jemanden und erspart sich damit stundenlange Sucherei 😉

Auch interessant:

Fotobuch von Saal Digital Wenn ich auf Reisen gehe, dann kombiniere ich damit ein zweites Hobby: Die Fotografie bzw. Reisefotografie. Da mir leider im Alltag die Zeit fehlt, m...
OpenStreetMap als Google Maps Alternative in WordP... Seit jeher binde ich Kartenmaterial von Google Maps in meine Reiseberichte ein.  Ich selbst finde es einfach interessanter, wenn man zu den Erzählunge...
Netzwerk im Neubau – Tipps zur Planung und U... Das Netzwerk im Neubau - gerne wird dieses Thema bei der Planung und der (Elektro-) Installation übersehen oder vernachlässigt. Dabei ist es heute ein...
Selfmade OPNsense Appliance Selfmade OPNsense Appliance  - In diesem Artikel möchte ich einen Einblick und eine kleine Bauanleitung liefern, wie ich mir auf Basis von OPNsense un...
Softproof mit ICC-Profilen in Darktable Softproof mit ICC-Profilen in Darktable Wer seine (digitalen) Fotos nicht nur für das Internet bzw. social Media (Facebook, Instagram, etc.) schießt ...
Scribus: Bild/Foto als Hintergrund von Buchstaben Meine Fotobücher bzw. Fotoprojekte erstelle ich recht gerne mit dem Opensource-Programm Scribus. Für ein aktuelles Fotobuch des letzten Urlaubs, habe ...