the.other
Goto Top

Pfsense Update auf 2.4.5 - schon Erfahrungswerte?

Moinsen,
für die bekannte Firewall Application pfSense ist ja seit kurzem (so wird es zumindest angezeigt im Dashboard) eine neue Version 2.4.5 verfügbar.
Ich selber habe noch nicht aktualisiert...(Feigling!)

Gibt es hier schon mutigere Zeitgenossen, die auf die neuen Version aktualisiert haben und ihre ertsen Erfahrungen teilen mögen?
Gabe es Probleme bei euch?
Einstellungen alle noch da?
Tips?

Bleibt alle schön gesund (und daheim)...

Grüßle
th30ther

Content-ID: 561105

Url: https://administrator.de/contentid/561105

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

Spirit-of-Eli
Lösung Spirit-of-Eli 26.03.2020 aktualisiert um 19:51:47 Uhr
Goto Top
Moin,

ich habe die RC Builds installiert gehabt und eben auf die stable aktualisiert. Scheint das letzte build seit knapp einer Woche zu sein. Ich habe keine Fehler mehr feststellen können.

(Natürlich habe ich nicht sämtliche Konfiguration am laufen)

In Blick in die Release Notes schadet aber nicht.

Gruß
Spirit
magicteddy
Lösung magicteddy 26.03.2020 aktualisiert um 21:10:02 Uhr
Goto Top
Moin,

2 von 3 Systemen sind sauber durchgelaufen, VPN Tunnel steht wieder, keine Nacharbeiten nötig.
Beim 3 System überlege ich noch ob ich es wage ...

-teddy

Nachtrag: Da ich morgen eh zur 3 Kiste fahren muss habe ich es auch hier gewagt. Update auch hier problemlos.
aqui
Lösung aqui 26.03.2020, aktualisiert am 27.03.2020 um 09:24:23 Uhr
Goto Top
2 Updates hier im laufenden Betrieb ebenso fehlerfrei ohne irgendwelche Probleme.
Alle VPNs (Site 2 Site und Dialin) laufen problemlos.
the-buccaneer
Lösung the-buccaneer 27.03.2020 um 07:04:09 Uhr
Goto Top
Ich machs vorerst nicht, da ich immer in irgendwelche Probleme renne... Will meine VPN-Tunnel nicht riskieren.

Bei mehr als 50% meiner Upgrades wäre ich mit ner Neuinstallation besser bedient gewesen. face-wink

Ausserdem garantiert uns keiner, dass wir morgen noch vor Ort Fehler beheben können...

"Warning

Proceed with caution when upgrading pfSense software while COVID-19 travel restrictions are in effect.

During this time of travel limitations, remote upgrades of pfSense software should be carefully considered, and avoided where possible. Travel restrictions may complicate any repair of any issue, including hardware-related issues that render the system unreachable. Should these issues require onsite physical access to remedy, repair of the issue may not be possible while travel restrictions related to COVID-19 are in effect."



Was mich nur wundert ist dass ein Update auf eine höhere FreeBSD Version nicht zu 2.5.x führt. War das in der Vergangenheit nicht anders?

Was ich aber schön finde:
"Ensured that kern.cam.boot_delay is set for new installations and upgrades so that USB devices are properly initialized in time for configuration restore in the installer and ECL to function #9533" "

Nach gefühlt 100 Jahren... USB-CD-Installation ohne diesen Wert anpassen zu müssen. *Freu*

Gehabt euch wohl und bleibt gesund!
Buc
the.other
the.other 27.03.2020 um 16:45:48 Uhr
Goto Top
Moinsen,
naja, hier läuft es ja auch nur im Heimbetrieb (aber was mein Sohn mit mir macht, wenn ich das Internet genau JETZT töte, will ich mir nicht vorstellen)...
Dank eurer Meldungen hab ich es jetzt auch gewagt und bin mal wieder von der pfsense beeindruckt: alles reibungslos, alle Einstellungen am Start, VPN noch ok...läuft.

Allen ein schönes gesundes Wochenende!

Grüßle
th30ther
panguu
panguu 11.11.2020 um 11:25:00 Uhr
Goto Top
Ich klink mich mal in diesen Fred ein, obwohl mein Versionsstand deutlich älter ist. Meine pfSense ist noch 2.2-RELEASE und ich hatte mich damals gegen ein Upgrade entschieden weil ich vermehrt Fehlerberichte und über kritische Probleme in dem pfSense Forum las. Das ist jetzt natürlich schon ewig her und seit dem hatte ich das Thema schleifen lassen, ganz dem Motto treu "never touch a running system".

Aber ich denke ich sollte wirklich so langsam upgraden. Wenn ich unter System nachsehe, dann wird mir angezeigt:

A new version is now available

Current version: 2.2-RELEASE
Built On: Thu, Jan 22 14:03:54 CST 2015
New version: 2.3.5-RELEASE

Update source: https://updates.pfsense.org/_updaters/amd64

Meine Fragen hierzu:

1) wieso bekomme ich nur 2.3.5-RELEASE als aktuellste Version angezeigt, hingegen ihr von der 2.4.5-RELEASE spricht ? muss ich evtl. vorher ein Zwischenupgrade auf 2.3.5 machen, um überhaupt auf 2.4.5 anschließend aktualisieren zu können?

2) wie lange dauert in der Regel ein Update, mit welcher off-time sollte ich kalkulieren?

3) gibt es besondere How-Tos oder Tips neben dem Netgate Upgrade Guide die ihr empfehlen könnt, wie man Schritt-für-Schritt vorgehen sollte? Macht es Sinn die komplette Speicherkarte meiner pfSense 1:1 auf einem getrennten Linux-OS via dd zu klonen, bevor ich den Upgrade durchführe oder genügt es wenn ich mir einfach durch die pfSense WebGUI ein Vollbackup (=gesamte pfSense config inkl. Nutzer-Logdaten) mache und diese Datei gesondert aufbewahre?

Ich muss hinzufügen dass meine config einen Dutzen VLANS beinhaltet, transparenter HTTP proxy, zwei WAN Leitungen, IPsec tunnel, OpenVPN server, DHCP server, DNS server, NTP server, PortForwards, NAT 1:1 und automatische outbout NAT Regeln aber ohne NPt.

Bin für jeden Tip sehr dankbar. Will Fehler und downtime vermeiden.
aqui
aqui 11.11.2020 aktualisiert um 12:09:20 Uhr
Goto Top
Aber ich denke ich sollte wirklich so langsam upgraden.
Kannst du bedenkenlos machen. Das 2.4.5 Release rennt seit langem fehlerlos. Die Tatsache das es in letzter Zeit sehr wenig Patches gibt spricht dafür !
wieso bekomme ich nur 2.3.5-RELEASE als aktuellste Version angezeigt
Du hast vermutlich eine i386 also 32 Bit Version, kann das sein ? Die neueren Versionen (m.W. ab 2.4.0) gibt es nur noch als 64Bit und es gibt keine nanoBSD Images mehr, was eigentlich auch Sinn macht. Die 32Bit 2.3er Versionen zeigen die 2.4er 64Bit Versionen verständlicherweise nicht mehr an.
Wenn du also eine 32Bit Version einsetzt werden dir die aktuellen 64Bit Versionen nicht mehr angezeigt.
Die 32Bit Version wird nicht mehr weiterentwickelt, deshalb solltest du also wirklich upgraden.
wie lange dauert in der Regel ein Update
Der Upgrade geht immer online und ohne Unterbrechung und wenn du den automatischen Reboot aktivierst (Default) dauert die Offtime solange wie ein normaler Boot Prozess dauert face-wink (ca. 2-3 Minuten)
In deinem Falle musst du aber vorher ein neues OS (64 Bit) installieren sofern deine Platform das zulässt. Bei PCengines Hardware z.B. alle APU Boards. (Alix ist rein 32Bit)
Deshalb dauert deine Offtime "etwas" länger.
Ideal wäre natürlich wenn du eine Spare Part Firewall hast. In die steckst du dann eine m2 SSD rein und flashst das neue Image und spielst gleichzeitig die Konfig deiner FW ein. Rennt alles musst du nur das m2 SATA Kärtchen tauschen und gut iss.
gibt es besondere How-Tos oder Tips
Eigentlich nicht da der Upgrade Prozess an sich ja sehr simpel ist ! Normal einfach ein Klick im GUI wie bei der FritzBox.
Da du aber einen Major Upgrade machst der einen OS Wechsel erfordert solltest du das ohne Spare vorher wasserdicht testen z.B. auf einer VM.
Also Konfig ziehen und auf einem neuen 2.4.5er System einspielen. Klappt das fehlerlos (was es sollte) dann go for it....!
panguu
panguu 11.11.2020 aktualisiert um 12:23:02 Uhr
Goto Top
eigentlich nicht, sollte 64bit sein. Ich schau mal schnell ...
also SysInfo in der pfSense WebUI meint:
Version 2.2-RELEASE (amd64)
built on Thu Jan 22 14:03:54 CST 2015
FreeBSD 10.1-RELEASE-p4

Update available. Click Here to view update.

OS meint:

uname -a
FreeBSD myhost.na.me 10.1-RELEASE-p4 FreeBSD 10.1-RELEASE-p4 36d7dec(releng/10.1)-dirty: Thu Jan 22 15:12:35 CST 2015 root@pfsense-22-amd64-builder:/usr/obj.amd64/usr/pfSensesrc/src/sys/pfSense_SMP.10 amd64

uname -m oder uname -p
amd64

sysctl -a hw.model
hw.model: Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz

Nunja, auf einer VM testen hilft mir da nicht wirklich weiter weil meine pfSense auf bare-metal läuft und natürlich andere hardware underlying. Das einzige was mir in den Sinn kam war ebenfalls der Weg über eine parallel aufgebaute identische Maschine. Bedeutet aber viel Aufwand und Zeit, da ich die Komponenten erst mal beschaffen müsste. Werde mir überlegen, welchen Weg ich gehe. Ich denke aber ich werde den einfacheren Weg gehen und meine 8 GB SSD-Platte auf einem anderen Linux-System einfach mit "dd" 1:1 klonen und falls was schief läuft einfach das Backup wieder auf die SSD der pfSense zurückrestoren. Sollte doch eigentlich ebenso gehen, oder?

Weisst du ad-hoc wo die Einstellung zu finden ist bzgl. dem "default automatic reboot after upgrade" ?
Spirit-of-Eli
Spirit-of-Eli 11.11.2020 um 12:36:58 Uhr
Goto Top
Moin,

ich würde an deiner Stelle ein Backup der PfSense Konfig machen und die nächst vorgeschlagene Version händisch installieren.
Dann das Backup zurück spielen. Oder du machst über ein Installationsmedium direkt ein Upgrade.

Gruß
Spirit
aqui
aqui 11.11.2020 aktualisiert um 12:45:30 Uhr
Goto Top
Nunja, auf einer VM testen hilft mir da nicht wirklich weiter
Eigentlich schon ! Es geht ja lediglich darum sicherzustellen das dein 2.2er Konfig File auch sauber auf eine 2.4.5er Maschine übertragen wird. Und genau DAS kann man dann sicherstellen was das eigentliche Upgrade dann zu einem Kinderspiel macht. face-wink
Kollege @Spirit-of-Eli hat ja die erforderliche Prozedur oben schon genannt....
panguu
panguu 11.11.2020 um 16:15:02 Uhr
Goto Top
achso, ihr meint also ich solle nicht auf der running-machine über WebUI das Update starten sondern das 2.4.5er image runterziehen, damit booten und einen fresh install durchführen und dann anschließend mein 2.2er config file laden?
Spirit-of-Eli
Spirit-of-Eli 11.11.2020 um 16:16:54 Uhr
Goto Top
Eigentlich ist das gehopst wie gesprungen.
So lange wie du ein Backup hast, kannst du alles testen.

Es spricht auch nichts gegen den Update Prozess über das Webinterface.
aqui
aqui 11.11.2020 um 16:22:38 Uhr
Goto Top
Richtig, es ist eigentlich egal. Mit dem Test vorher hast du zum Gürtel nur noch den Hosenträger ! face-wink
the-buccaneer
the-buccaneer 13.11.2020 um 00:47:09 Uhr
Goto Top
Häng mich auch nochmal kurz rein...

Also ich würde versuchen herauszufinden, warum die 2.2 nur ein Upgrade auf die 2.3.5 anbietet. Normal ist das nicht und es könnte einen (schlecht dokumentierten) Grund geben.

Auf JEDEN FALL DEINE Konfig in einer VM testen wenn du auf die 2.4.x upgradest. Hardware hin oder her. Da ändert sich die Software relevant.

Interessant wäre ja auch ob die 2.3.5 dann ein Upgrade auf die 2.4 anbietet.


Zitat von @panguu:

achso, ihr meint also ich solle nicht auf der running-machine über WebUI das Update starten sondern das 2.4.5er image runterziehen, damit booten und einen fresh install durchführen und dann anschließend mein 2.2er config file laden?

Ich meine, du solltest die Konfig sichern, per Webinterface auf die 2.3.5 upgraden, und dann schauen. Wenn ich mich recht entsinne kommst du um Anpassungen nicht rum.

Leider sind meine Erfahrungen mit Versionsupgrades durch die Bank wenig positiv obwohl ich die PfSense wirklich mag.
Kann gut passieren, dass nix mehr bootet und man dann ohne Anpassungen auch die alte Konfig nicht einspielen kann. Alles erlebt.

Ich behaupte: Man kann eine PfSense nicht upgraden ohne vor Ort zu sein und 1-2 Stunden downtime zu riskieren. face-wink Am Ende istdas aber immer lösbar.

Nur mein Senf. Bittere Erfahrung. Leider.

Buc
aqui
aqui 13.11.2020 um 10:11:55 Uhr
Goto Top
Ich behaupte: Man kann eine PfSense nicht upgraden ohne vor Ort zu sein
Na ja, hier sollte man auf dem Teppich bleiben und die Kirche im Dorf lassen. Es so zu dramatisieren ist auch übertrieben, denn remote Updates laufen zu 99,99% fehlerfrei.
Na klar sollte man sich als Admin immer genau überlegen es bei einer hochwichtigen FW zu machen von der man als Supporter 1000km entfernt ist und nicht innerhalb 24 Std. vor Ort sein kann. Keine Frage....