Pfsense 2.2: Package Installation (bei allen) schlägt fehl
-
Hallo, ich habe ein Problem.
Habe auf meiner APU 1D4 pfsense 2.2 (AMD64 2GB) installiert (auf SDCard interner Slot). Funktioniert soweit ganz gut.
Jedoch… ich kann keine Packages installieren. Habe verschiedene ausprobiert... es hängt immer bei "Extracting".
Wenn ich ein Package per Shell installieren will bekomme ich diese Fehlermeldung:
pkg: /tmp/snort-2.9.6.0-amd64.pbi.XXXXX is not a valid package: no manifest foundKann mir einer sagen wie ich Packages installieren kann?
-
Installation hat jetzt funktioniert… nach 2 Stunden rumprobieren, reboot, rc.conf.mount rw und pkg, pkg update und viele andere Experimente...
... habe ich die Installation von Snort nochmal per Package Installer angestossen... und nach ca. 10 Minuten warten, hat er dann "Complete" angezeigt. Ich weiss allerdings nicht woran es lag^^
... aber, ich kann den Snort Service nicht starten! (habe auch mal das "blinkled" Package installiert... der Service lässt sich auch nicht starten!)
Logs:
Jun 14 18:11:55 SnortStartup[45082]: Snort START for WAN(57813_re0)…
Jun 14 18:11:55 php-fpm[14555]: /rc.start_packages: The command '/usr/local/bin/blinkled -i 're0' -l '/dev/led/led2'' returned exit code '1', the output was 'Error: Unable to access /dev/led/led2'
Jun 14 18:11:55 php-fpm[14555]: /rc.start_packages: The command '/usr/local/bin/blinkled -i 're1' -l '/dev/led/led3'' returned exit code '1', the output was 'Error: Unable to access /dev/led/led3'
Jun 14 18:11:55 snort[45639]: FATAL ERROR: /usr/pbi/snort-amd64/etc/snort/snort_57813_re0//usr/pbi/snort-amd64/etc/snort/snort_57813_re0/rules/snort.rules(0) Unable to open rules file "/usr/pbi/snort-amd64/etc/snort/snort_57813_re0//usr/pbi/snort-amd64/etc/snort/snort_57813_re0/rules/snort.rules": No such file or directory.Kann mir jemand erklären wie ich Snort einrichte und der Service startet?
-
Hat sich erledigt. Weiss zwar nicht woran es genau lag, aber nach ein paar Einstellungen gibt es dann. Es gab noch Probleme mit den Rules. Die habe ich alle aktiviert, und nun läuft es.
Könnte alles ein bisschen einfacher und vor allem "automatischer funktionieren".
Hier sieht man mal wieder das hier Experten für Experten programmieren.
-
Erstmal Hallo,
Könnte alles ein bisschen einfacher und vor allem "automatischer funktionieren".
Das funktioniert schon alles automatisch, wenn du aber auf einer low-power Plattform große und Ressourcenfresser Pakete wie Snort und Co einsetzt, bist du an der Stelle "selbst schuld" wenn du nicht wartest bis die Installation fertig ist. Dass große Pakete auf einer kleinen SD Karte die noch dazu recht langsam ist entsprechend lange brauchen, sollte sich schon ein wenig selbst erklären. Zumal ich eine 2GB SD Karten Installation für Snort und Co zu klein finde (da Snort Rulesets und ordentliches Logging Platz brauchen).
Dass dann "doch alles ging" zeigt ja, dass du an der Stelle wohl einfach zu ungeduldig warst. Dass zudem Snort nicht direkt nach der Installation gleich "einfach geht", ist auch bekannt wenn man sich vorher ein ganz klein wenig informiert.
Hier sieht man mal wieder das hier Experten für Experten programmieren.
Ich würde hier eher sagen, dass pfSense nicht eine "Klick klick go" Software ist, die einfach mal alles macht ohne dass man irgendwas konfiguriert. Da gibt es andere Toolsets oder Installationen für. pfSense - wie jede andere gute Firewall - muss man hier eben auch lernen, verstehen, planen. Das gehört bei Security einfach dazu.
Schönen Sonntag :)
-
Das erklärt natürlich einiges. Ich dachte wenn ich eine 8 GB 10 Class SDCard benutze müsste das doch relativ flott sein.
Kann man das 2 GB Image nachträglich auf der SDCard erweitern, da ich ja eine 8 GB SDCard benutze?
=> 63 15564737 da0 MBR (7.4G)
63 1890945 1 freebsd [active] (923M)
1891008 63 - free - (32K)
1891071 1890945 2 freebsd (923M)
3782016 102816 3 freebsd (50M)
3884832 11679968 - free - (5.6G)[0;1;33m[[0;1;37m2.2.2-RELEASE[0;1;33m][0;1;33m[1m[[0;1;37mroot[0;1;31m@[0;1;37msecurity.localdomain[0;1;33m][0;1;32m[m/root[0;1;33m[0;1;36m[0;1;31m:[0;0;0m df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/ufs/pfsense0 908M 415M 420M 50% /
devfs 1.0K 1.0K 0B 100% /dev
/dev/ufs/cf 49M 1.1M 44M 2% /cf
/dev/md0 38M 504K 35M 1% /tmp
/dev/md1 58M 18M 35M 35% /var
devfs 1.0K 1.0K 0B 100% /var/dhcpd/devZu dem einfach, und lernen: Vielleicht bin ich etwas streng in diesen Sachen, weil ich weiss das es einfacher und komfortabler geht, und mich dann solche Sachen einfach ärgern, weil das mir die Zeit und Nerven raubt. Ich habe mir openSense angesehen, dass deutlich aufgeräumter und besser organisiert erlebt habe, jedoch ich keinen Package Manager finden konnte (um Snort zu installieren).
Ich zum Beispiel programmiere seit gut 30 Jahren, und profitiere von kläglich benutzbarer Software, weil ich das selbe nur besser anbieten kann, in dem ich 30 Einstellungen in nur 5 packe, und die GUI so vereinfache, dass man fast gar nichts mehr machen muss… und es läuft. Da finde ich Apples Ansatz wirklich gut, wobei dann die Windows User laut schreien: "Wo sind denn die zig Untermenüs mit den 100 Einstellungen?"
Die Entwickler denken in meinen Augen zu kompliziert und schleppen all den Ballast mit sich herum, den andere produziert haben... und denken dann auch noch das müsste so sein, oder es geht nicht anders. Apple zeigt immer wieder das es immer anders geht, die Frage ist nur, ob man das will und kann.
-
Das erklärt natürlich einiges. Ich dachte wenn ich eine 8 GB 10 Class SDCard benutze müsste das doch relativ flott sein.
Selbst Class 10 ist trotz allem zum einen nicht das schnellste, zum anderen ist auch die Anbindung des Kartencontrollers an die Hardware ein Faktor. Speicherkarten sind meistens deshalb nicht so wirklich wahnsinnig flott, müssen das aber auch nicht sein. Wer sein System recht klar hält und ohne große Zusatzpakete, für den spielt das keine Rolle, da das meiste eh aus dem RAM bedient wird - sobald alles geladen ist. Wenn aber viel lokales Logging mit dabei ist und auf die Karte geschrieben wird, kann das eng werden, auch für die Schreibzyklen der Karte.
Kann man das 2 GB Image nachträglich auf der SDCard erweitern, da ich ja eine 8 GB SDCard benutze?
Nein, da das NanoBSD Image so gebaut ist, dass es zwei Boot Slices hat und diese können dann nicht mehr verändert werden. Ist aber kein Problem, du kannst auch das 4GB Image flashen und deine Konfiguration wieder importieren.
Ich habe mir openSense angesehen, dass deutlich aufgeräumter und besser organisiert erlebt habe
OpnSense ist ein Fork der meines Erachtens momentan nur ein Bootstrap Theme über den Kern gelegt hat, aber viel mehr habe ich noch nicht bemerkt. Ob das nun wirklich so irrsinnig viel "freundlicher" ist, sei dahingestellt. Aber GUI/Optik ist ein Ding, deshalb muss ich trotzdem mit den Features klar kommen.
Ich zum Beispiel programmiere seit gut 30 Jahren, und profitiere von kläglich benutzbarer Software, weil ich das selbe nur besser anbieten kann, in dem ich 30 Einstellungen in nur 5 packe, und die GUI so vereinfache, dass man fast gar nichts mehr machen muss… und es läuft.
Wir reden hier aber von einer Security/Firewall Appliance. Wenn du da deine sämtlichen Einstellungen in wenige Schalter verpackst, musst du viele Vorannahmen treffen die eben nicht mehr bei jedem zutreffen, der sie also wieder ändern muss und damit das ganze wieder ad absurdum führst. Nochmal: Ich verstehe den Sinn und zweck von "simpler", aber bei einer Netzwerkappliance, bei der es um höher angesetze Funktionen geht, IST pfSense meiner Ansicht nach bereits ganz gut darin, die Dinge zu verstecken. Manch einer, mich inklusive, würde sich an einigen Ecken eher mehr Funktion wünschen, die ich in der Oberfläche tätigen kann, weil eben bestimmte Dinge der Einfachheit halber nicht konfigurierbar sind. Irgendwo muss man eben die Grenze ziehen was man weiter vereinfacht und was nicht.
Der Vergleich mit Apple hinkt dazu extrem - zumindest IMHO - da wir hier nicht von EndUser OS sprechen. Da darfst du gern mit Mac vs. Windows kommen und ich bin raus, die Diskussion ist mir dann zu sinnfrei. Aber wir sind hier nicht bei einem EndUser OS, sondern - wie oben schon gesagt - bei einer (kann man schon so sagen) Enterprise Grade Firewall Lösung. Die schon viel durch initialen Wizard und die WebGUI löst, was andere Konkurrenten teils nur auf simplen CLIs machen wenn man sich gern mal Cisco und Juniper ansieht. Teils, weil bspw. Cisco dann mit einem kruden Java Client ankomme, bestimmte Dinge aber trotzdem nur via SSH und CLI laufen. Juniper macht es ähnlich mit CLI+WebGUI. Wenn wir also schauen, WO wir uns bewegen, muss ich sagen, dass es zwar noch ein paar Ecken, Kanten und Ösen gibt, aber pfSense trotz allem besser - auch für Einsteiger - zu managen ist, als irgend ein größerer Hersteller. Und der Vergleich mit SoHo Routern à la Fritzbox und Co, der gern kommt, ist IMHO ebenfalls zu weit hergezogen. Wenn ich mich nicht auskenne (und mich bspw. auch nicht einarbeiten will), dann fange ich auch nicht an mit Kanonen auf Spatzen zu schießen und hole mir eine Software, die 1000% mehr kann als die 5 Knöpfe die ich möchte.
Dann aber für alle die komplette Software auf jene 5 Knöpfe zu reduzieren ist denke ich schon am Ziel sehr weit vorbeigeschossen. :)
-
Moin,
kauf eine kleine mSata und mach eine Vollinstallation das läuft locker und rund!
Wenn Du was Einfaches willst, nimme ne Fritte (Fritzbox) Benutzerdaten eingeben & fertig
Du hast dich für pfSense entschieden, dann solltest Du auch akzeptieren, das andere User vielleicht deutlich komplexere Szenarien mit pfSense abfrühstücken, als wir beide zusammen uns vorstellen können, wahrscheinlich in Leistungsregionen jenseits meines PCs, dagegen sind unsere APU bessere Taschenrechner.-teddy
-
Das stimmt wohl. Aber ich mag es eben trotzdem möglichst einfach :)
Manchmal wäre es besser, wenn sich die Entwickler auf einige wenige, sehr oft benötigte Szenarien (den Rest ausblenden) und nicht auf 1000 Optionen + 100% Flexibilität konzentrieren würden. Dann würde man zum Beispiel wie auf OpenWRT/Tomato in einem Fenster eine OpenVPN Provider Verbindung aufbauen können… ohne jegliche weitere Einstellung machen zu müssen. Das Problem bei pfsense... man muss überallhin (Klick, klick, klick, klick, klick, ... bis man umfällt). Das nervt schnell.
Das mit mSata, ich weiss nicht, kommt mir eher overpowerd vor. Das funktioniert mit der SDCard wirklich gut... und die 8GB werden kaum genutzt.
Habe nun Snort eingerichtet... und soweit ich das sehen kann läuft /var im Speicher.
Werden die Logs nicht auf /var gespeichert und /var ist auf der RAMDisk?"These log files are held in /var/log which is in a RAM disk on NanoBSD (optional on a full install)"
Somit wird die SCDard nur beim hochfahren bemüht. Was würde dann eine SSD bringen? Nur schneller booten? Das wäre mir zu wenig.
Habe jetzt auch herausgefunden warum bei mir das LED Plugin nicht funktioniert... ist nur für ALIX Boards... nicht für APU.
-
Das stimmt wohl. Aber ich mag es eben trotzdem möglichst einfach :)
Das mag bei dir so sein ;) ist aber dein Einsatzzweck. Wie gesagt, wenn du eine Klick-Bumm-Fertig Lösung haben möchtest, ist pfSense nicht das richtige Projekt.
Manchmal wäre es besser, wenn sich die Entwickler auf einige wenige, sehr oft benötigte Szenarien (den Rest ausblenden) und nicht auf 1000 Optionen + 100% Flexibilität konzentrieren würden. Dann würde man zum Beispiel wie auf OpenWRT/Tomato in einem Fenster eine OpenVPN Provider Verbindung aufbauen können… ohne jegliche weitere Einstellung machen zu müssen. Das Problem bei pfsense... man muss überallhin (Klick, klick, klick, klick, klick, ... bis man umfällt). Das nervt schnell.
S.o., wenn du einfach und simpel willst, bist du bei anderen Projekten besser aufgehoben. Wenn dort dann aber eben ein Anwendungsfall aus deinen 99% herausfällt wird es gerne gleich mal ein großer K(r)ampf das dann noch alles ans Laufen zu bekommen. Alles andere sehe ich nicht so. Ich weiß ja nicht was du überall klicken musst, aber gerade die Intial-Einrichtung und bspw. der VPN Wizard machen genau das: mit wenigen Klicks die Konfiguration etc. schon komplett vorbereiten. Wer's noch simpler mag für den ist das einfach nicht die richtige Adresse. Dann solltest du einen Router à la Fritzbox oder Airport suchen, bei dem man die paar Einstellungen die du machen willst, sogar mit einer App bedienen kann. Für alles weitere wirds dann komplexer und da sollte man eben auch wissen was man tut und nicht nur klicken ohne Sinn.
"These log files are held in /var/log which is in a RAM disk on NanoBSD (optional on a full install)"
Richtig, normale Logs sind bei Nano Installation im RAM, die RAMDisk Einstellungen sind aber eher klein, deshalb steht da nicht so viel Platz zur Verfügung. Wenn entsprechend viel/groß geloggt werden soll, muss das entweder vergrößert werden oder auf Disk gehen. Dann ist eine mSATA oder SSD nicht verkehrt. Gerade wenn dann noch Pakete wie Squid o.ä. hinzukommen, die Caching durch lokales Zwischenspeichern reinholen.
Somit wird die SCDard nur beim hochfahren bemüht. Was würde dann eine SSD bringen? Nur schneller booten? Das wäre mir zu wenig.
Bei einem Update muss auch die Updatedatei heruntergeladen und geschrieben werden können. Wer dann schon große Pakete auf der SD entpackt und wenig lokalen Platz hat, kann schnell in ein Problem laufen. Deshalb lieber zwischendurch mal prüfen, wie groß die Belegung ist.