Heute bin ich mal munter meine verschiedenen Systeme durchgegangen und habe routinemäßig Updates/Upgrades durchgeführt. Als ich wieder mal auf einem OPNsense Firewall Appliance geschaut habe, stellte ich fest, dass ein größeres Upgrade verfügbar ist, da meine benutzte Version (19.1) End of Life war.
Also kurzerhand – wie so oft den „Aktualisieren“-Button gedrückt und gewartet, bis das Upgrade auf 19.1 durchgelaufen war. Webmenü war nach einer gewissen Zeit wieder da und die Dienste starteten auch schön langsam alle (sieht man ja im Dashboard).
Tja, nur hatte ich nach dem Upgrade über das LAN keine Internetverbindung mehr. Von außen kam ich über das Handynetz ohne Probleme auf die freigegebenen Maschinen. Aber über das LAN/WLAN ins Internet? Keine Chance.
Also erstmal versucht mit IPMIView auf die OPNsense Appliance zu kommen, um einen Blick auf die Ausgabe zu werfen. Aus unerfindlichen Gründen funktioniert das Tool für KVM Verbindungen nicht mehr bei mir: Connection Failed. F***k! Also alten Monitor gesucht, für die altmodische Variante: Direkt anstecken an die Appliance. Blöd nur, dass ich zig DVI Kabel, aber kein einziges VGA Kabel mehr habe.
Nach ewigem hin und her, habe ich es dann geschafft mit meinem Firmen-Laptop auf Windoof-Basis über den Browser eine KVM-Verbindung über IPMI aufzubauen. Und siehe da: OPNsense hängt im Booten beim Laden eines Kernelmoduls und zeigt nur Booting… an.
Ich dachte also, ich hätte das Problem lokalisiert – irgendwas ging mit dem Upgrade schief. Was mich allerdings arg verwunderte: Wieso ist das Webmenü vollständig geladen und die Dienste gestartet, obwohl das Ding eigentlich noch im Bootprozess hängt?
Ich habe mir also per Handy das aktuelle OPNsense Image besorgt und wollte schon die Neuinstallation beginnen, als auf einmal, ohne mein Zutun das Internet bzw. die Verbindung aus dem LAN in selbiges wieder funktionierte. Hä?!
Ich habe dann auch versucht meinen Blog hier zu laden, was einwandfrei ging, denn ich konnte mich an eine nette Mail erinnern, dass ein User bei der Installation auf 19.1 ein Problem hatte, das während dem Booten auftrat. Ich habe dazu auch in meinem Blogbeitrag zur Appliance auch einen Nachtrag verfasst:
Update Mai 2019
Von Wolfgang habe ich den Hinweis bekommen, dass mit der Version 19.1.4 der Installer nicht sauber startet und nach dem laden einiger Kernelmodule abstürzt. Resultat ist ein blauer Screen mit der Ausgabe Boot.
Dieses Problem lässt sich lösen, indem man beim Starten das Boot-Menü durch Drücken der Leertaste unterbricht. Danach geht man mit Option 3 in die Boot-Console und gibt dort folgendes Kommando ein:
set kern.vty=sc
boot -v
Danach startet OPNsense normal hoch.
Siehe Beitrag: Selfmade OPNsense Appliance
Also habe ich genau diesen Ratschlag selbst befolgt und schon startete OPNsense ohne Hänger durch. Nur Internet hatte ich über LAN immer noch nicht. Wahrscheinlich hatte ich das „Booting…“-Problem bereits vorher, nur ist es mir nie aufgefallen, da die Appliance trotzdem funktionstüchtig war?
Übrigens ist das Kommando flüchtig und muss bei jedem Boot eingegeben werden. Außer man schreibt es in die entsprechende Boot-Konfig hinein oder man entfernt einfach den Haken im Webmenü unter System -> Einstellungen -> Verwaltung -> Console -> Verwende den virtuellen Terminal-Treiber (vt).
Die Lösung meines eigentlichen Problems …
… war aber dann doch etwas anders. Zuerst dachte ich an fehlerhafte Firewall-Regeln. Aber hier stimmte eigentlich alles. Und: Das VoIP-Telefon konnte über das VLAN ganz normal eine Verbindung aufbauen, d.h. hier wurden die Regeln nach außen auch nicht angetastet.
Was mir komisch vorkam war, dass es auf einmal ein IPV6-WAN-Gateway gab, das jedoch vom Provider keine IP bekommen hatte. Klar, läuft ja noch über IPV4. Also habe ich dieses GW einfach gelöscht. Keine Ahnung, weshalb das bei Upgrade angelegt wurde.
Nach eeeewiger Sucherei bin ich dann im Gateway-Menü (System -> Gateways -> Einzeln) darauf gestoßen, dass das Internet-Gateway als „inactive“ gekennzeichnet wurde, obwohl es im Dashboard als „online“ markiert war. Toll.
Nach Entfernen des Hakens bei „Markiere Gateway als inaktiv“ und bei „Deaktiviere Gatewayüberwachung“ sowie dem Setzen des Hakens bei „Upstream Gateway“ konnte ich endlich wieder über das LAN ins Internet. Weshalb diese Punkte beim Upgrade umkonfiguriert wurden, weiß ich nicht. Denke aber, dass es daran lag, dass ich zwei Gateways habe: Einmal das VLAN-GW für die VoIP-Telefonie und einmal das normale GW. Das VoIP-GW wurde nämlich als active markiert.
Vielleicht hilft diese Info ja jemanden und erspart sich damit stundenlange Sucherei ;-)