Downgrade 2.2.0 -> 2.1.5 ?
-
Bonjour,
je rencontre un problème IPSEC entre 2 pfsense depuis le passage de l'un en 2.2.0 l'autre étant toujours en 2.1.5.
Pour résumer mon problème IPSEC, si j'ai plusieurs phases 2 sur une phase 1, le pfsense en 2.2.0 reboot systématiquement, si je laisse une seule phase 2 aucun problème. Auparavant quand les 2 pfsense étaient en 2.1.5 je n'avais aucun problème. Plusieurs personnes ont ce problème voir la section ipsec de ce forum.j'ai refait une config ipsec, mais j'ai eu les mêmes symptômes. J'ai bien lu la note qui demande a passer l'ipsec en IKEv2 au lieu de IKEv1 mais mon autre pfsense en 2.1.5 ne sait pas le gérer.
Vu les problèmes que je rencontre je préfère downgrade le pfsense en cause mais comment m'y prendre ?
je n'ai pas de full backup, juste un backup de la conf avant la mise à jour.2 questions donc :
-Mon pfsense étant une appliance, je ne vois pas comment je pourrai le réinstaller, pas de sortie écran, juste des port usb et eth en façade
-mon autre pfsense étant identique matériellement (voir attachements), si j'effectue un full backup de celui-ci et que je l'importe sur mon pfsense en 2.2.0 avec la bonne config , ca marcherait ?merci pour votre aide.
-
salut salut
Faire une recherche sur le forum et les réponses que nous avons pu faire pour ce type de demande et comment avoir une aide de notre part, n'aurait pas été mal venue.
Présentement vous passer pour un br… qui veux que nous lui sortions une solution d'une boule de cristal. Nous ne refusons d'aider du moment qu'il y a un minimum de travail en amont chose qui manifestement absent de votre par.Non cordialement.
vous n'etes pas le seul==> même ordre et même punition. -
je comprends mal… il te faut un schéma, des ip, ma conf ? non je ne demande pas de résoudre mon problème.
je me pose juste des questions sur le downgrade, etre a ce point obtu..je me répète mais je ne demande pas de solution, je pose juste des questions sur la bonne démarche.
-
Vu les problèmes que je rencontre je préfère downgrade le pfsense en cause mais comment m'y prendre ?
je n'ai pas de full backup, juste un backup de la conf avant la mise à jour.Le backup avant la mise à jour contient toutes les informations ? Ou si vous préférez lors du backup à partir de Diagnostics: Backup/restoreavez vous choisi l'option All pour backup area ? Si oui ce devrait être suffisant. Vous pouvez aussi lire le fichier xml pour vérifier que tout y est.
En pratique pour ne pas courir de risques (à vous d’apprécier le niveau de risque) voici ce que je ferai. Il faut une deuxième machine idéalement.
1. Backup Pfsense en prod avec la version 2.2. Il pourrait vous être utile pour des réécritures manuelles dans le fichier xml si vous n'avez qu'une machine.
2. Installation d'un pfsense 2.1.5 sur une nouvelle machine de test.
3. Restore du backup avant migration. Vous vérifiez si tout est ok.Si vous n'avez pas d'autre machine, un paquet de cierges fera l'affaire (peut-être).
-
Vu les problèmes que je rencontre je préfère downgrade le pfsense en cause mais comment m'y prendre ?
je n'ai pas de full backup, juste un backup de la conf avant la mise à jour.Le backup avant la mise à jour contient toutes les informations ? Ou si vous préférez lors du backup à partir de Diagnostics: Backup/restoreavez vous choisi l'option All pour backup area ? Si oui ce devrait être suffisant. Vous pouvez aussi lire le fichier xml pour vérifier que tout y est.
En pratique pour ne pas courir de risques (à vous d’apprécier le niveau de risque) voici ce que je ferai. Il faut une deuxième machine idéalement.
1. Backup Pfsense en prod avec la version 2.2. Il pourrait vous être utile pour des réécritures manuelles dans le fichier xml si vous n'avez qu'une machine.
2. Installation d'un pfsense 2.1.5 sur une nouvelle machine de test.
3. Restore du backup avant migration. Vous vérifiez si tout est ok.Si vous n'avez pas d'autre machine, un paquet de cierges fera l'affaire (peut-être).
Merci ccnet,
hélas la seule machine que j'ai sous le coude en 2.1.5 qui est identique est en prod, donc je ne peux pas y toucher comme je le souhaiterai.
Donc a par faire un full backup de celui-ci (le 2.1.5) , d'exporter le full backup sur le pfsense 2.2.0, de restaurer ce full backup dessus et d'importer un backup conf pré 2.2.0 de ce pfsense pour finir, je ne vois pas… alors oui effectivement je vais devoir allumer beaucoup de cierge.. :(un full backup contient bien tous les éléments pour faire un downgrade en sécurité ?
https://doc.pfsense.org/index.php/Full_Backup -
Merci ccnet,
hélas la seule machine que j'ai sous le coude en 2.1.5 qui est identique est en prod, donc je ne peux pas y toucher comme je le souhaiterai.
Donc a par faire un full backup de celui-ci (le 2.1.5) , d'exporter le full backup sur le pfsense 2.2.0, de restaurer ce full backup dessus et d'importer un backup conf pré 2.2.0 de ce pfsense pour finir, je ne vois pas… alors oui effectivement je vais devoir allumer beaucoup de cierge.. :(un full backup contient bien tous les éléments pour faire un downgrade en sécurité ?
https://doc.pfsense.org/index.php/Full_BackupAttention, vous ne pouvez pas faire d'import de la conf d'un 2.1.5 sur un pfSense 2.2.0.
Vous devez :
1. Faire un full-backup de votre serveur rester en 2.1.5 (si conf identique au premier)
2. Installer pfSense 2.1.5 sur le serveur que vous avez migré en 2.2.0
3. Importer le full-backup sur ce serveurhttps://doc.pfsense.org/index.php/Upgrade_Guide#Downgrading_to_a_previous_release
-
Merci,
je vais attendre une MAJ qui corrige car je ne peux reinstaller mon pfsense.
Mon problème de base étant indiqué dans la note du firmware 2.2 et vu les problèmes actuels, je ne préfère pas migrer l'ensemble de mes pfsense en 2.2 pour passer en ipsec ikev2 :
Problems with rekeying with multiple phase 2 entries on a single phase 1 in some cases with IKEv1 – while many circumstances with multiple P2s on a single P1 work fine, there is an outstanding rekeying problem in some circumstances. Especially where you have several P2s on a single P1, we advise caution on upgrading at this time. Where both endpoints support IKEv2, changing from IKEv1 to IKEv2 will prevent this from being an issue. We have an open bug on this which we expect to have addressed in a future 2.2.1 release.
-
D'une façon générale les restore doivent être fait à partir de backup de même version.
-
D'une façon générale les restore doivent être fait à partir de backup de même version.
oui normal,
A l'origine je me posais simplement la question de savoir si en faisant un full backup d'un pfsense identique matériellement mais de version firmware différente (2.1.5 en l’occurrence) , je pouvais l'importer dans pfsense 2.2.0 et l'utiliser pour downgrade de version ( car je ne peux le réinstaller présentement).
Les personnes qui downgrade de version utilise bien le fullbackup ou il réinstalle a chaque fois ?!
-
Un downgrade c'est d'abord l'installation (ou réinstallation) de la version cible (ex 2.1.5) puis restore du backup provenant d'un 2.1.5 dans cet exemple si il n'y a pas de FullBackup.
https://doc.pfsense.org/index.php/Full_Backup
Le downgrade depuis un fullbackup reste aussi quelque chose à tester. -
merci pour tes précisions.
Me reste plus qu'a attendre la MAJ corrective :)