Pfsense Update auf 2.4.5 - schon Erfahrungswerte?
Moinsen,
für die bekannte Firewall Application pfSense ist ja seit kurzem (so wird es zumindest angezeigt im Dashboard) eine neue Version 2.4.5 verfügbar.
Ich selber habe noch nicht aktualisiert...(Feigling!)
Gibt es hier schon mutigere Zeitgenossen, die auf die neuen Version aktualisiert haben und ihre ertsen Erfahrungen teilen mögen?
Gabe es Probleme bei euch?
Einstellungen alle noch da?
Tips?
Bleibt alle schön gesund (und daheim)...
Grüßle
th30ther
für die bekannte Firewall Application pfSense ist ja seit kurzem (so wird es zumindest angezeigt im Dashboard) eine neue Version 2.4.5 verfügbar.
Ich selber habe noch nicht aktualisiert...(Feigling!)
Gibt es hier schon mutigere Zeitgenossen, die auf die neuen Version aktualisiert haben und ihre ertsen Erfahrungen teilen mögen?
Gabe es Probleme bei euch?
Einstellungen alle noch da?
Tips?
Bleibt alle schön gesund (und daheim)...
Grüßle
th30ther
Please also mark the comments that contributed to the solution of the article
Content-ID: 561105
Url: https://administrator.de/contentid/561105
Printed on: December 4, 2024 at 00:12 o'clock
15 Comments
Latest comment
Moin,
ich habe die RC Builds installiert gehabt und eben auf die stable aktualisiert. Scheint das letzte build seit knapp einer Woche zu sein. Ich habe keine Fehler mehr feststellen können.
(Natürlich habe ich nicht sämtliche Konfiguration am laufen)
In Blick in die Release Notes schadet aber nicht.
Gruß
Spirit
ich habe die RC Builds installiert gehabt und eben auf die stable aktualisiert. Scheint das letzte build seit knapp einer Woche zu sein. Ich habe keine Fehler mehr feststellen können.
(Natürlich habe ich nicht sämtliche Konfiguration am laufen)
In Blick in die Release Notes schadet aber nicht.
Gruß
Spirit
Ich machs vorerst nicht, da ich immer in irgendwelche Probleme renne... Will meine VPN-Tunnel nicht riskieren.
Bei mehr als 50% meiner Upgrades wäre ich mit ner Neuinstallation besser bedient gewesen.
Ausserdem garantiert uns keiner, dass wir morgen noch vor Ort Fehler beheben können...
"Warning
Proceed with caution when upgrading pfSense software while COVID-19 travel restrictions are in effect.
During this time of travel limitations, remote upgrades of pfSense software should be carefully considered, and avoided where possible. Travel restrictions may complicate any repair of any issue, including hardware-related issues that render the system unreachable. Should these issues require onsite physical access to remedy, repair of the issue may not be possible while travel restrictions related to COVID-19 are in effect."
Was mich nur wundert ist dass ein Update auf eine höhere FreeBSD Version nicht zu 2.5.x führt. War das in der Vergangenheit nicht anders?
Was ich aber schön finde:
"Ensured that kern.cam.boot_delay is set for new installations and upgrades so that USB devices are properly initialized in time for configuration restore in the installer and ECL to function #9533" "
Nach gefühlt 100 Jahren... USB-CD-Installation ohne diesen Wert anpassen zu müssen. *Freu*
Gehabt euch wohl und bleibt gesund!
Buc
Bei mehr als 50% meiner Upgrades wäre ich mit ner Neuinstallation besser bedient gewesen.
Ausserdem garantiert uns keiner, dass wir morgen noch vor Ort Fehler beheben können...
"Warning
Proceed with caution when upgrading pfSense software while COVID-19 travel restrictions are in effect.
During this time of travel limitations, remote upgrades of pfSense software should be carefully considered, and avoided where possible. Travel restrictions may complicate any repair of any issue, including hardware-related issues that render the system unreachable. Should these issues require onsite physical access to remedy, repair of the issue may not be possible while travel restrictions related to COVID-19 are in effect."
Was mich nur wundert ist dass ein Update auf eine höhere FreeBSD Version nicht zu 2.5.x führt. War das in der Vergangenheit nicht anders?
Was ich aber schön finde:
"Ensured that kern.cam.boot_delay is set for new installations and upgrades so that USB devices are properly initialized in time for configuration restore in the installer and ECL to function #9533" "
Nach gefühlt 100 Jahren... USB-CD-Installation ohne diesen Wert anpassen zu müssen. *Freu*
Gehabt euch wohl und bleibt gesund!
Buc
Ich klink mich mal in diesen Fred ein, obwohl mein Versionsstand deutlich älter ist. Meine pfSense ist noch 2.2-RELEASE und ich hatte mich damals gegen ein Upgrade entschieden weil ich vermehrt Fehlerberichte und über kritische Probleme in dem pfSense Forum las. Das ist jetzt natürlich schon ewig her und seit dem hatte ich das Thema schleifen lassen, ganz dem Motto treu "never touch a running system".
Aber ich denke ich sollte wirklich so langsam upgraden. Wenn ich unter System nachsehe, dann wird mir angezeigt:
Meine Fragen hierzu:
1) wieso bekomme ich nur 2.3.5-RELEASE als aktuellste Version angezeigt, hingegen ihr von der 2.4.5-RELEASE spricht ? muss ich evtl. vorher ein Zwischenupgrade auf 2.3.5 machen, um überhaupt auf 2.4.5 anschließend aktualisieren zu können?
2) wie lange dauert in der Regel ein Update, mit welcher off-time sollte ich kalkulieren?
3) gibt es besondere How-Tos oder Tips neben dem Netgate Upgrade Guide die ihr empfehlen könnt, wie man Schritt-für-Schritt vorgehen sollte? Macht es Sinn die komplette Speicherkarte meiner pfSense 1:1 auf einem getrennten Linux-OS via dd zu klonen, bevor ich den Upgrade durchführe oder genügt es wenn ich mir einfach durch die pfSense WebGUI ein Vollbackup (=gesamte pfSense config inkl. Nutzer-Logdaten) mache und diese Datei gesondert aufbewahre?
Ich muss hinzufügen dass meine config einen Dutzen VLANS beinhaltet, transparenter HTTP proxy, zwei WAN Leitungen, IPsec tunnel, OpenVPN server, DHCP server, DNS server, NTP server, PortForwards, NAT 1:1 und automatische outbout NAT Regeln aber ohne NPt.
Bin für jeden Tip sehr dankbar. Will Fehler und downtime vermeiden.
Aber ich denke ich sollte wirklich so langsam upgraden. Wenn ich unter System nachsehe, dann wird mir angezeigt:
A new version is now available
Current version: 2.2-RELEASE
Built On: Thu, Jan 22 14:03:54 CST 2015
New version: 2.3.5-RELEASE
Update source: https://updates.pfsense.org/_updaters/amd64
Current version: 2.2-RELEASE
Built On: Thu, Jan 22 14:03:54 CST 2015
New version: 2.3.5-RELEASE
Update source: https://updates.pfsense.org/_updaters/amd64
Meine Fragen hierzu:
1) wieso bekomme ich nur 2.3.5-RELEASE als aktuellste Version angezeigt, hingegen ihr von der 2.4.5-RELEASE spricht ? muss ich evtl. vorher ein Zwischenupgrade auf 2.3.5 machen, um überhaupt auf 2.4.5 anschließend aktualisieren zu können?
2) wie lange dauert in der Regel ein Update, mit welcher off-time sollte ich kalkulieren?
3) gibt es besondere How-Tos oder Tips neben dem Netgate Upgrade Guide die ihr empfehlen könnt, wie man Schritt-für-Schritt vorgehen sollte? Macht es Sinn die komplette Speicherkarte meiner pfSense 1:1 auf einem getrennten Linux-OS via dd zu klonen, bevor ich den Upgrade durchführe oder genügt es wenn ich mir einfach durch die pfSense WebGUI ein Vollbackup (=gesamte pfSense config inkl. Nutzer-Logdaten) mache und diese Datei gesondert aufbewahre?
Ich muss hinzufügen dass meine config einen Dutzen VLANS beinhaltet, transparenter HTTP proxy, zwei WAN Leitungen, IPsec tunnel, OpenVPN server, DHCP server, DNS server, NTP server, PortForwards, NAT 1:1 und automatische outbout NAT Regeln aber ohne NPt.
Bin für jeden Tip sehr dankbar. Will Fehler und downtime vermeiden.
Aber ich denke ich sollte wirklich so langsam upgraden.
Kannst du bedenkenlos machen. Das 2.4.5 Release rennt seit langem fehlerlos. Die Tatsache das es in letzter Zeit sehr wenig Patches gibt spricht dafür !wieso bekomme ich nur 2.3.5-RELEASE als aktuellste Version angezeigt
Du hast vermutlich eine i386 also 32 Bit Version, kann das sein ? Die neueren Versionen (m.W. ab 2.4.0) gibt es nur noch als 64Bit und es gibt keine nanoBSD Images mehr, was eigentlich auch Sinn macht. Die 32Bit 2.3er Versionen zeigen die 2.4er 64Bit Versionen verständlicherweise nicht mehr an.Wenn du also eine 32Bit Version einsetzt werden dir die aktuellen 64Bit Versionen nicht mehr angezeigt.
Die 32Bit Version wird nicht mehr weiterentwickelt, deshalb solltest du also wirklich upgraden.
wie lange dauert in der Regel ein Update
Der Upgrade geht immer online und ohne Unterbrechung und wenn du den automatischen Reboot aktivierst (Default) dauert die Offtime solange wie ein normaler Boot Prozess dauert (ca. 2-3 Minuten)In deinem Falle musst du aber vorher ein neues OS (64 Bit) installieren sofern deine Platform das zulässt. Bei PCengines Hardware z.B. alle APU Boards. (Alix ist rein 32Bit)
Deshalb dauert deine Offtime "etwas" länger.
Ideal wäre natürlich wenn du eine Spare Part Firewall hast. In die steckst du dann eine m2 SSD rein und flashst das neue Image und spielst gleichzeitig die Konfig deiner FW ein. Rennt alles musst du nur das m2 SATA Kärtchen tauschen und gut iss.
gibt es besondere How-Tos oder Tips
Eigentlich nicht da der Upgrade Prozess an sich ja sehr simpel ist ! Normal einfach ein Klick im GUI wie bei der FritzBox.Da du aber einen Major Upgrade machst der einen OS Wechsel erfordert solltest du das ohne Spare vorher wasserdicht testen z.B. auf einer VM.
Also Konfig ziehen und auf einem neuen 2.4.5er System einspielen. Klappt das fehlerlos (was es sollte) dann go for it....!
eigentlich nicht, sollte 64bit sein. Ich schau mal schnell ...
also SysInfo in der pfSense WebUI meint:
OS meint:
uname -a
uname -m oder uname -p
sysctl -a hw.model
Nunja, auf einer VM testen hilft mir da nicht wirklich weiter weil meine pfSense auf bare-metal läuft und natürlich andere hardware underlying. Das einzige was mir in den Sinn kam war ebenfalls der Weg über eine parallel aufgebaute identische Maschine. Bedeutet aber viel Aufwand und Zeit, da ich die Komponenten erst mal beschaffen müsste. Werde mir überlegen, welchen Weg ich gehe. Ich denke aber ich werde den einfacheren Weg gehen und meine 8 GB SSD-Platte auf einem anderen Linux-System einfach mit "dd" 1:1 klonen und falls was schief läuft einfach das Backup wieder auf die SSD der pfSense zurückrestoren. Sollte doch eigentlich ebenso gehen, oder?
Weisst du ad-hoc wo die Einstellung zu finden ist bzgl. dem "default automatic reboot after upgrade" ?
also SysInfo in der pfSense WebUI meint:
Version 2.2-RELEASE (amd64)
built on Thu Jan 22 14:03:54 CST 2015
FreeBSD 10.1-RELEASE-p4
Update available. Click Here to view update.
built on Thu Jan 22 14:03:54 CST 2015
FreeBSD 10.1-RELEASE-p4
Update available. Click Here to view update.
OS meint:
uname -a
FreeBSD myhost.na.me 10.1-RELEASE-p4 FreeBSD 10.1-RELEASE-p4 36d7dec(releng/10.1)-dirty: Thu Jan 22 15:12:35 CST 2015 root@pfsense-22-amd64-builder:/usr/obj.amd64/usr/pfSensesrc/src/sys/pfSense_SMP.10 amd64
uname -m oder uname -p
amd64
sysctl -a hw.model
hw.model: Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
Nunja, auf einer VM testen hilft mir da nicht wirklich weiter weil meine pfSense auf bare-metal läuft und natürlich andere hardware underlying. Das einzige was mir in den Sinn kam war ebenfalls der Weg über eine parallel aufgebaute identische Maschine. Bedeutet aber viel Aufwand und Zeit, da ich die Komponenten erst mal beschaffen müsste. Werde mir überlegen, welchen Weg ich gehe. Ich denke aber ich werde den einfacheren Weg gehen und meine 8 GB SSD-Platte auf einem anderen Linux-System einfach mit "dd" 1:1 klonen und falls was schief läuft einfach das Backup wieder auf die SSD der pfSense zurückrestoren. Sollte doch eigentlich ebenso gehen, oder?
Weisst du ad-hoc wo die Einstellung zu finden ist bzgl. dem "default automatic reboot after upgrade" ?
Nunja, auf einer VM testen hilft mir da nicht wirklich weiter
Eigentlich schon ! Es geht ja lediglich darum sicherzustellen das dein 2.2er Konfig File auch sauber auf eine 2.4.5er Maschine übertragen wird. Und genau DAS kann man dann sicherstellen was das eigentliche Upgrade dann zu einem Kinderspiel macht. Kollege @Spirit-of-Eli hat ja die erforderliche Prozedur oben schon genannt....
Häng mich auch nochmal kurz rein...
Also ich würde versuchen herauszufinden, warum die 2.2 nur ein Upgrade auf die 2.3.5 anbietet. Normal ist das nicht und es könnte einen (schlecht dokumentierten) Grund geben.
Auf JEDEN FALL DEINE Konfig in einer VM testen wenn du auf die 2.4.x upgradest. Hardware hin oder her. Da ändert sich die Software relevant.
Interessant wäre ja auch ob die 2.3.5 dann ein Upgrade auf die 2.4 anbietet.
Ich meine, du solltest die Konfig sichern, per Webinterface auf die 2.3.5 upgraden, und dann schauen. Wenn ich mich recht entsinne kommst du um Anpassungen nicht rum.
Leider sind meine Erfahrungen mit Versionsupgrades durch die Bank wenig positiv obwohl ich die PfSense wirklich mag.
Kann gut passieren, dass nix mehr bootet und man dann ohne Anpassungen auch die alte Konfig nicht einspielen kann. Alles erlebt.
Ich behaupte: Man kann eine PfSense nicht upgraden ohne vor Ort zu sein und 1-2 Stunden downtime zu riskieren. Am Ende istdas aber immer lösbar.
Nur mein Senf. Bittere Erfahrung. Leider.
Buc
Also ich würde versuchen herauszufinden, warum die 2.2 nur ein Upgrade auf die 2.3.5 anbietet. Normal ist das nicht und es könnte einen (schlecht dokumentierten) Grund geben.
Auf JEDEN FALL DEINE Konfig in einer VM testen wenn du auf die 2.4.x upgradest. Hardware hin oder her. Da ändert sich die Software relevant.
Interessant wäre ja auch ob die 2.3.5 dann ein Upgrade auf die 2.4 anbietet.
Zitat von @panguu:
achso, ihr meint also ich solle nicht auf der running-machine über WebUI das Update starten sondern das 2.4.5er image runterziehen, damit booten und einen fresh install durchführen und dann anschließend mein 2.2er config file laden?
achso, ihr meint also ich solle nicht auf der running-machine über WebUI das Update starten sondern das 2.4.5er image runterziehen, damit booten und einen fresh install durchführen und dann anschließend mein 2.2er config file laden?
Ich meine, du solltest die Konfig sichern, per Webinterface auf die 2.3.5 upgraden, und dann schauen. Wenn ich mich recht entsinne kommst du um Anpassungen nicht rum.
Leider sind meine Erfahrungen mit Versionsupgrades durch die Bank wenig positiv obwohl ich die PfSense wirklich mag.
Kann gut passieren, dass nix mehr bootet und man dann ohne Anpassungen auch die alte Konfig nicht einspielen kann. Alles erlebt.
Ich behaupte: Man kann eine PfSense nicht upgraden ohne vor Ort zu sein und 1-2 Stunden downtime zu riskieren. Am Ende istdas aber immer lösbar.
Nur mein Senf. Bittere Erfahrung. Leider.
Buc
Ich behaupte: Man kann eine PfSense nicht upgraden ohne vor Ort zu sein
Na ja, hier sollte man auf dem Teppich bleiben und die Kirche im Dorf lassen. Es so zu dramatisieren ist auch übertrieben, denn remote Updates laufen zu 99,99% fehlerfrei.Na klar sollte man sich als Admin immer genau überlegen es bei einer hochwichtigen FW zu machen von der man als Supporter 1000km entfernt ist und nicht innerhalb 24 Std. vor Ort sein kann. Keine Frage....