Update pfsense Infrastruktur auf Version 2.3.1



  • Hallo,

    wir haben folgende Infrastruktur:

    2x pfsense FW1 + FW2 - active / passive - Standort Firma - Versions 2.2.6 Release

    1x pfsense FW3 - active - Standort Extern - 2.2.6 Release

    Die Standorte sind über eine IPSEC Verbindung verknüpft und stellen direkt untereinander die Verbindung her.

    Ich möchte nun alle 3 Firewalls auf Version 2.3.1-RELEASE updaten. Ist dabei irgendetwas besonderes zu beachten und welche Reihenfolge würdet ihr vorschlagen? Ist eine IPSEC Verbindung auch zwischen verschiedenen Versionen der pfsense ohne Probleme möglich?

    Hauptgrund für das Update ist auch um auf dem neuesten Sicherheitsstandard zu sein. Ist dafür essentiell die Version 2.3.1 nötig?

    Beste Grüße
    Timo


  • Rebel Alliance Moderator

    Hauptgrund für das Update ist auch um auf dem neuesten Sicherheitsstandard zu sein. Ist dafür essentiell die Version 2.3.1 nötig?

    Ja

    Ist eine IPSEC Verbindung auch zwischen verschiedenen Versionen der pfsense ohne Probleme möglich?

    Da es um 2.2 und 2.3 geht -> Ja. Bei 2.1 wäre ich vielleicht vorsichtiger, da es unterschiedliche IPSec Implenentierungen sind (Raccoon vs. StrongSwan), aber 2.2 und 2.3 haben da den gleichen Prozess.

    Ist dabei irgendetwas besonderes zu beachten und welche Reihenfolge würdet ihr vorschlagen?

    Um auf Nummer sicher zu gehen und die Update Reihenfolge bei CARP (vermute das hast du auf FW1/2 laufen?) einzuhalten: FW2, FW1, FW3. Da FW2 nicht aktiv ist, kann man die problemlos updaten. Dann FW1 und prüfen, ob beim Reboot FW2 übernimmt und wieder an FW1 abgibt. Wenn das sauber durchlief, FW3 updaten und durch.

    Grüße



  • Perfekt! Danke für die ausführliche Antwort  ;)

    Ja FW1 und FW 2 laufen im CARP. Ich probiere das dann genau in der Reihenfolge. Da eben die FW3 nicht direkt bei uns steht ist das die heikelste Firewall fürs Update wenn etwas schief gehen sollte.

    Grüße


  • Rebel Alliance Moderator

    Tipp dafür: Wenn da FW3 -> FW1/2-CARP eine Verbindung läuft, würde ich die externe IP von FW3 per Filter von Source FW1/2 IP aus freigeben (sprich FW3 HTTPS/SSH erreichbar von extern nur von Main Office public IP aus), damit hat man - auch wenn IPSec ausfallen sollte - die Möglichkeit das zu reparieren ohne vor Ort sein zu müssen. Und der Security Impact bei einer Freigabe auf eine / einen sehr kleinen Kreis IP(s) ist recht gering.

    Gruß



  • Noch eine Empfehlung dazu:
    In 2.3 werden einige Packages nicht mehr unterstützt:
    https://doc.pfsense.org/index.php/2.3_Removed_Packages
    Solltest du solche installiert haben, erst deinstallieren.

    Vor dem Upgrade natürlich eine Sicherung der Konfig machen.

    Und die FW1, die vermutlich im Normalfall Master ist, vor dem Upgrade in den "Persistent CARP Maintenance Mode" schalten (Status > CARP). Damit übernimmt die zweite sofort den Master und die erste kann in Ruhe erst alle Packages nachinstallieren ohne dass sie bereits Master ist, dann den Maintenance Mode wieder ausschaltest.

    Das steht auch alles im Upgrade Guide: https://doc.pfsense.org/index.php/Upgrade_Guide



  • Perfekt, danke euch für die ausführlichen Antworten!

    @JeGR: hab mal so eine Freigabe eingerichtet für den Fall der Fälle.

    @viragomann: Danke für die Links! Das mit den removed packages ist ein wichtiger Punkt an den ich jetzt gar nicht gedacht hätte im ersten Moment!



  • Also Update auf FW 1 und FW 2 sind durch. Hat soweit alles geklappt! Mit FW 3 warte ich noch ein bisschen.

    Nun habe ich bei FW1 und FW2 nur 2 Probleme:

    • Interfaces WAN1 und WAN2 stehen auf "Unknown" und Pending. Internet und IPSEC läuft aber und im Gatway sagt er auch Connected. Im Log steht:

    Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN2_TO_WAN1)
    Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN1_TO_WAN2)
    Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN1_AND_WAN2)
    Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Default gateway down setting GW_LAN1_SAFE as default!

    Wir haben Multi WAN im Einsatz und konfiguriert.

    • Wenn ich nun Packages installieren möchte, kommt folgender Fehler: The process will require 14 MiB more space.
      Ich habe aber laut Dashboard folgende Ressourcen frei:

    Memory usage
    2% of 16273 MiB
    SWAP usage
    0% of 32767 MiB
    Disk usage ( / )
    9% of 77GiB - ufs
    Disk usage ( /var/run )
    3% of 3.4MiB - ufs in RAM

    Gibt es hierbei noch etwas zu beachten?

    Danke euch!



  • Auf FW2 kann ich die Packages installieren aber auf FW1 kommt der Fehler:

    Installing pfSense-pkg-openvpn-client-export…
    Updating pfSense-core repository catalogue...
    Unable to update repository pfSense-core
    Updating pfSense repository catalogue...
    Unable to update repository pfSense
    All repositories are up-to-date.
    The following 4 package(s) will be affected (of 0 checked):

    New packages to be INSTALLED:
    pfSense-pkg-openvpn-client-export: 1.3.8 [pfSense]
    zip: 3.0_1 [pfSense]
    p7zip: 15.14 [pfSense]
    openvpn-client-export: 2.3.11 [pfSense]

    The process will require 14 MiB more space.
    7 MiB to be downloaded.
    Failed



  • Ich habe den Fehler gefunden! Es lag an den WAN Einstellungen.

    Unter Gateways -> WAN 1+2 -> Advanced -> Time Period.

    Dort war auf 3000 eingestellt. Als ich das gelöscht habe und jetzt auf Default habe, war normaler Internetzugriff möglich und auch der "Unknown" Status der Gateways funktioniert nun und wird korrekt angezeigt.

    Sollte dieser Wert auf Default gelassen werden?

    Viele Grüße


  • Rebel Alliance Moderator

    Hallo genesis_mp

    das Gateway Überwachungstool hat sich zwischen 2.2 und 2.3 geändert und wurde neu geschrieben. Der neue "Pinger" hat da teils andere Grundwerte und sollte jetzt stabiler funktionieren, es kann sein dass bei der Übernahme der alten Konfiguration die Werte dann nicht sinnvoll zurückgesetzt wurden. Es wurde meistens empfohlen erstmal die neuen Defaults zu lassen und zu beobachten obs jetzt nicht eh besser läuft und dann ggf. nochmal anzupassen.

    Grüße


Log in to reply