Update pfsense Infrastruktur auf Version 2.3.1
-
Hallo,
wir haben folgende Infrastruktur:
2x pfsense FW1 + FW2 - active / passive - Standort Firma - Versions 2.2.6 Release
1x pfsense FW3 - active - Standort Extern - 2.2.6 Release
Die Standorte sind über eine IPSEC Verbindung verknüpft und stellen direkt untereinander die Verbindung her.
Ich möchte nun alle 3 Firewalls auf Version 2.3.1-RELEASE updaten. Ist dabei irgendetwas besonderes zu beachten und welche Reihenfolge würdet ihr vorschlagen? Ist eine IPSEC Verbindung auch zwischen verschiedenen Versionen der pfsense ohne Probleme möglich?
Hauptgrund für das Update ist auch um auf dem neuesten Sicherheitsstandard zu sein. Ist dafür essentiell die Version 2.3.1 nötig?
Beste Grüße
Timo -
Hauptgrund für das Update ist auch um auf dem neuesten Sicherheitsstandard zu sein. Ist dafür essentiell die Version 2.3.1 nötig?
Ja
Ist eine IPSEC Verbindung auch zwischen verschiedenen Versionen der pfsense ohne Probleme möglich?
Da es um 2.2 und 2.3 geht -> Ja. Bei 2.1 wäre ich vielleicht vorsichtiger, da es unterschiedliche IPSec Implenentierungen sind (Raccoon vs. StrongSwan), aber 2.2 und 2.3 haben da den gleichen Prozess.
Ist dabei irgendetwas besonderes zu beachten und welche Reihenfolge würdet ihr vorschlagen?
Um auf Nummer sicher zu gehen und die Update Reihenfolge bei CARP (vermute das hast du auf FW1/2 laufen?) einzuhalten: FW2, FW1, FW3. Da FW2 nicht aktiv ist, kann man die problemlos updaten. Dann FW1 und prüfen, ob beim Reboot FW2 übernimmt und wieder an FW1 abgibt. Wenn das sauber durchlief, FW3 updaten und durch.
Grüße
-
Perfekt! Danke für die ausführliche Antwort ;)
Ja FW1 und FW 2 laufen im CARP. Ich probiere das dann genau in der Reihenfolge. Da eben die FW3 nicht direkt bei uns steht ist das die heikelste Firewall fürs Update wenn etwas schief gehen sollte.
Grüße
-
Tipp dafür: Wenn da FW3 -> FW1/2-CARP eine Verbindung läuft, würde ich die externe IP von FW3 per Filter von Source FW1/2 IP aus freigeben (sprich FW3 HTTPS/SSH erreichbar von extern nur von Main Office public IP aus), damit hat man - auch wenn IPSec ausfallen sollte - die Möglichkeit das zu reparieren ohne vor Ort sein zu müssen. Und der Security Impact bei einer Freigabe auf eine / einen sehr kleinen Kreis IP(s) ist recht gering.
Gruß
-
Noch eine Empfehlung dazu:
In 2.3 werden einige Packages nicht mehr unterstützt:
https://doc.pfsense.org/index.php/2.3_Removed_Packages
Solltest du solche installiert haben, erst deinstallieren.Vor dem Upgrade natürlich eine Sicherung der Konfig machen.
Und die FW1, die vermutlich im Normalfall Master ist, vor dem Upgrade in den "Persistent CARP Maintenance Mode" schalten (Status > CARP). Damit übernimmt die zweite sofort den Master und die erste kann in Ruhe erst alle Packages nachinstallieren ohne dass sie bereits Master ist, dann den Maintenance Mode wieder ausschaltest.
Das steht auch alles im Upgrade Guide: https://doc.pfsense.org/index.php/Upgrade_Guide
-
Perfekt, danke euch für die ausführlichen Antworten!
@JeGR: hab mal so eine Freigabe eingerichtet für den Fall der Fälle.
@viragomann: Danke für die Links! Das mit den removed packages ist ein wichtiger Punkt an den ich jetzt gar nicht gedacht hätte im ersten Moment!
-
Also Update auf FW 1 und FW 2 sind durch. Hat soweit alles geklappt! Mit FW 3 warte ich noch ein bisschen.
Nun habe ich bei FW1 und FW2 nur 2 Probleme:
- Interfaces WAN1 und WAN2 stehen auf "Unknown" und Pending. Internet und IPSEC läuft aber und im Gatway sagt er auch Connected. Im Log steht:
Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN2_TO_WAN1)
Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN1_TO_WAN2)
Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Gateways status could not be determined, considering all as up/active. (Group: WAN1_AND_WAN2)
Jun 9 18:08:38 php-fpm 80447 /rc.filter_configure_sync: Default gateway down setting GW_LAN1_SAFE as default!Wir haben Multi WAN im Einsatz und konfiguriert.
- Wenn ich nun Packages installieren möchte, kommt folgender Fehler: The process will require 14 MiB more space.
Ich habe aber laut Dashboard folgende Ressourcen frei:
Memory usage
2% of 16273 MiB
SWAP usage
0% of 32767 MiB
Disk usage ( / )
9% of 77GiB - ufs
Disk usage ( /var/run )
3% of 3.4MiB - ufs in RAMGibt es hierbei noch etwas zu beachten?
Danke euch!
-
Auf FW2 kann ich die Packages installieren aber auf FW1 kommt der Fehler:
Installing pfSense-pkg-openvpn-client-export…
Updating pfSense-core repository catalogue...
Unable to update repository pfSense-core
Updating pfSense repository catalogue...
Unable to update repository pfSense
All repositories are up-to-date.
The following 4 package(s) will be affected (of 0 checked):New packages to be INSTALLED:
pfSense-pkg-openvpn-client-export: 1.3.8 [pfSense]
zip: 3.0_1 [pfSense]
p7zip: 15.14 [pfSense]
openvpn-client-export: 2.3.11 [pfSense]The process will require 14 MiB more space.
7 MiB to be downloaded.
Failed -
Ich habe den Fehler gefunden! Es lag an den WAN Einstellungen.
Unter Gateways -> WAN 1+2 -> Advanced -> Time Period.
Dort war auf 3000 eingestellt. Als ich das gelöscht habe und jetzt auf Default habe, war normaler Internetzugriff möglich und auch der "Unknown" Status der Gateways funktioniert nun und wird korrekt angezeigt.
Sollte dieser Wert auf Default gelassen werden?
Viele Grüße
-
Hallo genesis_mp
das Gateway Überwachungstool hat sich zwischen 2.2 und 2.3 geändert und wurde neu geschrieben. Der neue "Pinger" hat da teils andere Grundwerte und sollte jetzt stabiler funktionieren, es kann sein dass bei der Übernahme der alten Konfiguration die Werte dann nicht sinnvoll zurückgesetzt wurden. Es wurde meistens empfohlen erstmal die neuen Defaults zu lassen und zu beobachten obs jetzt nicht eh besser läuft und dann ggf. nochmal anzupassen.
Grüße
