Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Update pfsense Infrastruktur auf Version 2.3.1

    Scheduled Pinned Locked Moved Deutsch
    10 Posts 3 Posters 2.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      genesis_mp
      last edited by

      Hallo,

      wir haben folgende Infrastruktur:

      2x pfsense FW1 + FW2 - active / passive - Standort Firma - Versions 2.2.6 Release

      1x pfsense FW3 - active - Standort Extern - 2.2.6 Release

      Die Standorte sind über eine IPSEC Verbindung verknüpft und stellen direkt untereinander die Verbindung her.

      Ich möchte nun alle 3 Firewalls auf Version 2.3.1-RELEASE updaten. Ist dabei irgendetwas besonderes zu beachten und welche Reihenfolge würdet ihr vorschlagen? Ist eine IPSEC Verbindung auch zwischen verschiedenen Versionen der pfsense ohne Probleme möglich?

      Hauptgrund für das Update ist auch um auf dem neuesten Sicherheitsstandard zu sein. Ist dafür essentiell die Version 2.3.1 nötig?

      Beste Grüße
      Timo

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hauptgrund für das Update ist auch um auf dem neuesten Sicherheitsstandard zu sein. Ist dafür essentiell die Version 2.3.1 nötig?

        Ja

        Ist eine IPSEC Verbindung auch zwischen verschiedenen Versionen der pfsense ohne Probleme möglich?

        Da es um 2.2 und 2.3 geht -> Ja. Bei 2.1 wäre ich vielleicht vorsichtiger, da es unterschiedliche IPSec Implenentierungen sind (Raccoon vs. StrongSwan), aber 2.2 und 2.3 haben da den gleichen Prozess.

        Ist dabei irgendetwas besonderes zu beachten und welche Reihenfolge würdet ihr vorschlagen?

        Um auf Nummer sicher zu gehen und die Update Reihenfolge bei CARP (vermute das hast du auf FW1/2 laufen?) einzuhalten: FW2, FW1, FW3. Da FW2 nicht aktiv ist, kann man die problemlos updaten. Dann FW1 und prüfen, ob beim Reboot FW2 übernimmt und wieder an FW1 abgibt. Wenn das sauber durchlief, FW3 updaten und durch.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • G
          genesis_mp
          last edited by

          Perfekt! Danke für die ausführliche Antwort  ;)

          Ja FW1 und FW 2 laufen im CARP. Ich probiere das dann genau in der Reihenfolge. Da eben die FW3 nicht direkt bei uns steht ist das die heikelste Firewall fürs Update wenn etwas schief gehen sollte.

          Grüße

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Tipp dafür: Wenn da FW3 -> FW1/2-CARP eine Verbindung läuft, würde ich die externe IP von FW3 per Filter von Source FW1/2 IP aus freigeben (sprich FW3 HTTPS/SSH erreichbar von extern nur von Main Office public IP aus), damit hat man - auch wenn IPSec ausfallen sollte - die Möglichkeit das zu reparieren ohne vor Ort sein zu müssen. Und der Security Impact bei einer Freigabe auf eine / einen sehr kleinen Kreis IP(s) ist recht gering.

            Gruß

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Noch eine Empfehlung dazu:
              In 2.3 werden einige Packages nicht mehr unterstützt:
              https://doc.pfsense.org/index.php/2.3_Removed_Packages
              Solltest du solche installiert haben, erst deinstallieren.

              Vor dem Upgrade natürlich eine Sicherung der Konfig machen.

              Und die FW1, die vermutlich im Normalfall Master ist, vor dem Upgrade in den "Persistent CARP Maintenance Mode" schalten (Status > CARP). Damit übernimmt die zweite sofort den Master und die erste kann in Ruhe erst alle Packages nachinstallieren ohne dass sie bereits Master ist, dann den Maintenance Mode wieder ausschaltest.

              Das steht auch alles im Upgrade Guide: https://doc.pfsense.org/index.php/Upgrade_Guide

              1 Reply Last reply Reply Quote 0
              • G
                genesis_mp
                last edited by

                Perfekt, danke euch für die ausführlichen Antworten!

                @JeGR: hab mal so eine Freigabe eingerichtet für den Fall der Fälle.

                @viragomann: Danke für die Links! Das mit den removed packages ist ein wichtiger Punkt an den ich jetzt gar nicht gedacht hätte im ersten Moment!

                1 Reply Last reply Reply Quote 0
                • G
                  genesis_mp
                  last edited by

                  Also Update auf FW 1 und FW 2 sind durch. Hat soweit alles geklappt! Mit FW 3 warte ich noch ein bisschen.

                  Nun habe ich bei FW1 und FW2 nur 2 Probleme:

                  • Interfaces WAN1 und WAN2 stehen auf "Unknown" und Pending. Internet und IPSEC läuft aber und im Gatway sagt er auch Connected. Im Log steht:

                  Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN2_TO_WAN1)
                  Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN1_TO_WAN2)
                  Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN1_AND_WAN2)
                  Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Default gateway down setting GW_LAN1_SAFE as default!

                  Wir haben Multi WAN im Einsatz und konfiguriert.

                  • Wenn ich nun Packages installieren möchte, kommt folgender Fehler: The process will require 14 MiB more space.
                    Ich habe aber laut Dashboard folgende Ressourcen frei:

                  Memory usage
                  2% of 16273 MiB
                  SWAP usage
                  0% of 32767 MiB
                  Disk usage ( / )
                  9% of 77GiB - ufs
                  Disk usage ( /var/run )
                  3% of 3.4MiB - ufs in RAM

                  Gibt es hierbei noch etwas zu beachten?

                  Danke euch!

                  1 Reply Last reply Reply Quote 0
                  • G
                    genesis_mp
                    last edited by

                    Auf FW2 kann ich die Packages installieren aber auf FW1 kommt der Fehler:

                    Installing pfSense-pkg-openvpn-client-export…
                    Updating pfSense-core repository catalogue...
                    Unable to update repository pfSense-core
                    Updating pfSense repository catalogue...
                    Unable to update repository pfSense
                    All repositories are up-to-date.
                    The following 4 package(s) will be affected (of 0 checked):

                    New packages to be INSTALLED:
                    pfSense-pkg-openvpn-client-export: 1.3.8 [pfSense]
                    zip: 3.0_1 [pfSense]
                    p7zip: 15.14 [pfSense]
                    openvpn-client-export: 2.3.11 [pfSense]

                    The process will require 14 MiB more space.
                    7 MiB to be downloaded.
                    Failed

                    1 Reply Last reply Reply Quote 0
                    • G
                      genesis_mp
                      last edited by

                      Ich habe den Fehler gefunden! Es lag an den WAN Einstellungen.

                      Unter Gateways -> WAN 1+2 -> Advanced -> Time Period.

                      Dort war auf 3000 eingestellt. Als ich das gelöscht habe und jetzt auf Default habe, war normaler Internetzugriff möglich und auch der "Unknown" Status der Gateways funktioniert nun und wird korrekt angezeigt.

                      Sollte dieser Wert auf Default gelassen werden?

                      Viele Grüße

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Hallo genesis_mp

                        das Gateway Überwachungstool hat sich zwischen 2.2 und 2.3 geändert und wurde neu geschrieben. Der neue "Pinger" hat da teils andere Grundwerte und sollte jetzt stabiler funktionieren, es kann sein dass bei der Übernahme der alten Konfiguration die Werte dann nicht sinnvoll zurückgesetzt wurden. Es wurde meistens empfohlen erstmal die neuen Defaults zu lassen und zu beobachten obs jetzt nicht eh besser läuft und dann ggf. nochmal anzupassen.

                        Grüße

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.