Pfsense Update auf 2.4.5 - schon Erfahrungswerte?

Moin,

2 von 3 Systemen sind sauber durchgelaufen, VPN Tunnel steht wieder, keine Nacharbeiten nötig.
Beim 3 System überlege ich noch ob ich es wage ...

-teddy

Nachtrag: Da ich morgen eh zur 3 Kiste fahren muss habe ich es auch hier gewagt. Update auch hier problemlos.

2 Updates hier im laufenden Betrieb ebenso fehlerfrei ohne irgendwelche Probleme.
Alle VPNs (Site 2 Site und Dialin) laufen problemlos.

Ich machs vorerst nicht, da ich immer in irgendwelche Probleme renne... Will meine VPN-Tunnel nicht riskieren.

Bei mehr als 50% meiner Upgrades wäre ich mit ner Neuinstallation besser bedient gewesen.

Ausserdem garantiert uns keiner, dass wir morgen noch vor Ort Fehler beheben können...

"Warning

Proceed with caution when upgrading pfSense software while COVID-19 travel restrictions are in effect.

During this time of travel limitations, remote upgrades of pfSense software should be carefully considered, and avoided where possible. Travel restrictions may complicate any repair of any issue, including hardware-related issues that render the system unreachable. Should these issues require onsite physical access to remedy, repair of the issue may not be possible while travel restrictions related to COVID-19 are in effect."


Was mich nur wundert ist dass ein Update auf eine höhere FreeBSD Version nicht zu 2.5.x führt. War das in der Vergangenheit nicht anders?

Was ich aber schön finde:
"Ensured that kern.cam.boot_delay is set for new installations and upgrades so that USB devices are properly initialized in time for configuration restore in the installer and ECL to function #9533" "

Nach gefühlt 100 Jahren... USB-CD-Installation ohne diesen Wert anpassen zu müssen. *Freu*

Gehabt euch wohl und bleibt gesund!
Buc

Ich klink mich mal in diesen Fred ein, obwohl mein Versionsstand deutlich älter ist. Meine pfSense ist noch 2.2-RELEASE und ich hatte mich damals gegen ein Upgrade entschieden weil ich vermehrt Fehlerberichte und über kritische Probleme in dem pfSense Forum las. Das ist jetzt natürlich schon ewig her und seit dem hatte ich das Thema schleifen lassen, ganz dem Motto treu "never touch a running system".

Aber ich denke ich sollte wirklich so langsam upgraden. Wenn ich unter System nachsehe, dann wird mir angezeigt:


Meine Fragen hierzu:

1) wieso bekomme ich nur 2.3.5-RELEASE als aktuellste Version angezeigt, hingegen ihr von der 2.4.5-RELEASE spricht ? muss ich evtl. vorher ein Zwischenupgrade auf 2.3.5 machen, um überhaupt auf 2.4.5 anschließend aktualisieren zu können?

2) wie lange dauert in der Regel ein Update, mit welcher off-time sollte ich kalkulieren?

3) gibt es besondere How-Tos oder Tips neben dem Netgate Upgrade Guide die ihr empfehlen könnt, wie man Schritt-für-Schritt vorgehen sollte? Macht es Sinn die komplette Speicherkarte meiner pfSense 1:1 auf einem getrennten Linux-OS via dd zu klonen, bevor ich den Upgrade durchführe oder genügt es wenn ich mir einfach durch die pfSense WebGUI ein Vollbackup (=gesamte pfSense config inkl. Nutzer-Logdaten) mache und diese Datei gesondert aufbewahre?

Ich muss hinzufügen dass meine config einen Dutzen VLANS beinhaltet, transparenter HTTP proxy, zwei WAN Leitungen, IPsec tunnel, OpenVPN server, DHCP server, DNS server, NTP server, PortForwards, NAT 1:1 und automatische outbout NAT Regeln aber ohne NPt.

Bin für jeden Tip sehr dankbar. Will Fehler und downtime vermeiden.

Kannst du bedenkenlos machen. Das 2.4.5 Release rennt seit langem fehlerlos. Die Tatsache das es in letzter Zeit sehr wenig Patches gibt spricht dafür !
Du hast vermutlich eine i386 also 32 Bit Version, kann das sein ? Die neueren Versionen (m.W. ab 2.4.0) gibt es nur noch als 64Bit und es gibt keine nanoBSD Images mehr, was eigentlich auch Sinn macht. Die 32Bit 2.3er Versionen zeigen die 2.4er 64Bit Versionen verständlicherweise nicht mehr an.
Wenn du also eine 32Bit Version einsetzt werden dir die aktuellen 64Bit Versionen nicht mehr angezeigt.
Die 32Bit Version wird nicht mehr weiterentwickelt, deshalb solltest du also wirklich upgraden.
Der Upgrade geht immer online und ohne Unterbrechung und wenn du den automatischen Reboot aktivierst (Default) dauert die Offtime solange wie ein normaler Boot Prozess dauert (ca. 2-3 Minuten)
In deinem Falle musst du aber vorher ein neues OS (64 Bit) installieren sofern deine Platform das zulässt. Bei PCengines Hardware z.B. alle APU Boards. (Alix ist rein 32Bit)
Deshalb dauert deine Offtime "etwas" länger.
Ideal wäre natürlich wenn du eine Spare Part Firewall hast. In die steckst du dann eine m2 SSD rein und flashst das neue Image und spielst gleichzeitig die Konfig deiner FW ein. Rennt alles musst du nur das m2 SATA Kärtchen tauschen und gut iss.
Eigentlich nicht da der Upgrade Prozess an sich ja sehr simpel ist ! Normal einfach ein Klick im GUI wie bei der FritzBox.
Da du aber einen Major Upgrade machst der einen OS Wechsel erfordert solltest du das ohne Spare vorher wasserdicht testen z.B. auf einer VM.
Also Konfig ziehen und auf einem neuen 2.4.5er System einspielen. Klappt das fehlerlos (was es sollte) dann go for it....!

eigentlich nicht, sollte 64bit sein. Ich schau mal schnell ...
also SysInfo in der pfSense WebUI meint:

OS meint:

uname -a

uname -m oder uname -p

sysctl -a hw.model

Nunja, auf einer VM testen hilft mir da nicht wirklich weiter weil meine pfSense auf bare-metal läuft und natürlich andere hardware underlying. Das einzige was mir in den Sinn kam war ebenfalls der Weg über eine parallel aufgebaute identische Maschine. Bedeutet aber viel Aufwand und Zeit, da ich die Komponenten erst mal beschaffen müsste. Werde mir überlegen, welchen Weg ich gehe. Ich denke aber ich werde den einfacheren Weg gehen und meine 8 GB SSD-Platte auf einem anderen Linux-System einfach mit "dd" 1:1 klonen und falls was schief läuft einfach das Backup wieder auf die SSD der pfSense zurückrestoren. Sollte doch eigentlich ebenso gehen, oder?

Weisst du ad-hoc wo die Einstellung zu finden ist bzgl. dem "default automatic reboot after upgrade" ?

Moin,

ich würde an deiner Stelle ein Backup der PfSense Konfig machen und die nächst vorgeschlagene Version händisch installieren.
Dann das Backup zurück spielen. Oder du machst über ein Installationsmedium direkt ein Upgrade.

Gruß
Spirit

Eigentlich schon ! Es geht ja lediglich darum sicherzustellen das dein 2.2er Konfig File auch sauber auf eine 2.4.5er Maschine übertragen wird. Und genau DAS kann man dann sicherstellen was das eigentliche Upgrade dann zu einem Kinderspiel macht.
Kollege @Spirit-of-Eli hat ja die erforderliche Prozedur oben schon genannt....

achso, ihr meint also ich solle nicht auf der running-machine über WebUI das Update starten sondern das 2.4.5er image runterziehen, damit booten und einen fresh install durchführen und dann anschließend mein 2.2er config file laden?

Eigentlich ist das gehopst wie gesprungen.
So lange wie du ein Backup hast, kannst du alles testen.

Es spricht auch nichts gegen den Update Prozess über das Webinterface.

Richtig, es ist eigentlich egal. Mit dem Test vorher hast du zum Gürtel nur noch den Hosenträger !

Häng mich auch nochmal kurz rein...

Also ich würde versuchen herauszufinden, warum die 2.2 nur ein Upgrade auf die 2.3.5 anbietet. Normal ist das nicht und es könnte einen (schlecht dokumentierten) Grund geben.

Auf JEDEN FALL DEINE Konfig in einer VM testen wenn du auf die 2.4.x upgradest. Hardware hin oder her. Da ändert sich die Software relevant.

Interessant wäre ja auch ob die 2.3.5 dann ein Upgrade auf die 2.4 anbietet.



Ich meine, du solltest die Konfig sichern, per Webinterface auf die 2.3.5 upgraden, und dann schauen. Wenn ich mich recht entsinne kommst du um Anpassungen nicht rum.

Leider sind meine Erfahrungen mit Versionsupgrades durch die Bank wenig positiv obwohl ich die PfSense wirklich mag.
Kann gut passieren, dass nix mehr bootet und man dann ohne Anpassungen auch die alte Konfig nicht einspielen kann. Alles erlebt.

Ich behaupte: Man kann eine PfSense nicht upgraden ohne vor Ort zu sein und 1-2 Stunden downtime zu riskieren. Am Ende istdas aber immer lösbar.

Nur mein Senf. Bittere Erfahrung. Leider.

Buc