unable to retrieve package information pfsense что делать
pfsense ошибка обновления
Добрый день. Есть сервак с pfsense. Заниместя он маршрутизацией виртуальных сетей и VPN. Стал как тог странно он себя вести, начал подвисать, решил обновить, но при обновлении получил ошибку
Не знаю, есть ли там такая возможность, но я бы попробовал сменить зеркало.
Да, уже сделал. Но так как у меня стояла ветка тестинга. Но на стабильной и обновлять то нечего еще, не доросла. 🙂
pfSense — дистрибутив для создания межсетевого экрана/маршрутизатора, основанный на FreeBSD
у меня только один вопрос. накой? накой сетевому маршрутизатору тестинг?
Есть в этом то то нездоровое, пытаться урвать от программ всё самое новое/мегафиастое
Да как не странно, сервер виртуальный и все интерфйсы тоже на нем виртуальные, по нормальному openvpn захотел работать только не ветке тестинга в свое время. Я даже и не скажу почему именно так. Но факт. На стабильной не работало, стоило перейти на тестинг, все запустилось.
Никто не гнался за самыми новыми пакетами.
по нормальному openvpn захотел работать только не ветке тестинга в свое время. Я даже и не скажу почему именно так.
Посмею предположить что все было так: Скопипастили первую попавшуюся инструкцию которая подходит к версии ovpn >=N. Она не заработала потому что у вас была версия =N и внезапно все заработало.
Да не совсем так. У нас все на KVM крутиться. Если использовать стандартные виртуальные интерфейсы, то почему то маршрутизация вообще не работает. Пришлось с бубном и методом научного тыка ставить NAL Libvirt а WAN эмулировать интерфейс vmware.
Только так мы смогли хоть маршрутизацию запустить. А то между двумя Libvirt вообще ничего не маршрутизировалсь. Далее начались танцы с бубном по маршрутизации openvpn.
До этого мы уже с десяток pfsense развернули, но там были физические железки и проблем не было. А тут все виртуальное. На форумах pfsense была целая тема по поводу виртуальных интерфейсов. Там и в правду не очень все хорошо работало. Сейчас уже есть сборки для виртуалок, а мы этот сервер года 3 назад делали,тогда еще не было этих сборок, поэтому пришлось делать все по наитию.
Unable to retrieve package information pfsense что делать
2.3-RELEASE (amd64)
built on Mon Apr 11 18:10:34 CDT 2016
FreeBSD 10.3-RELEASE
pfSense перестал получать список установленных/досупных пакетов и определять доступное обновление для pfSense.
При этом nslookup как на самом шлюзе (через вєб-интерфейс и консоль), так и на машинах клиентах работает корректно. 
В настройках dns-forwarding ничего не менял 
Предлагают отключить IPv6
«I’ve seen where turning off IPv6, even if temporarily, fixes that.»
У меня, вроде бы, отключен 
Что у вас в System-Update-Update Settings? 
попробую завтра включить ему основной канал, может у него что-то в мозгах застряло и он начнет резолвится.
Обновление обічно приводят к новым косякам, да и версия опенвпн поменяется, а на удаленной стороне также придется обновлять, слишком много проблем сразу возникает.
подумайте над моей идеей.
Сервер PF был заблокирован Роскомнадзором. У меня так заблочен редмайн, хожу через прокси
@derwin дело в том, что это резервный сервер (оновной с такой же версией pfSense и выделенными ip провайдера, т.е он полностью идентичный, но выведен из работы до случая замены основного) работает на ура.
Думаю буду сравнивать файлы между этими серверами относящиеся к данной проблеме, нашел статью
https://forum.netgate.com/topic/98274/unable-to-retrieve-package-information-after-2-3-updgrade/19
В общем ситуация такая:
Еще сравнил содержмое папки /usr/local/share/pfSense/pkg/repos
можно ли как-то обойтись без обновления?
пытался проделать замену пакета pkg на более старую версию,
скачал версию, которая была на рабочем сервере
http://files01.netgate.com/pfSense_v2_3_0_amd64-pfSense_v2_3_0/All/pkg-1.9.4_1
но при установке из локальной папки пишет: 
если конечно это как-то поможет
но мне никак нельзя обновлять pfSense
Вы хотите просто видеть список обновлений пакетов\pfSense?
@pigbrother да, т.к хотел бы в последствии установить парочку из них (suricata например)
просто непонятно почему так произошло, обе системы идентичны, одна работала постоянно, вторая была в offline. После этого включил ее, довносил изменения за год (элиасы и т.д), и добавил пакет Lightsquid и возможно он и понул рекурсивно изменения Версии pkg и в последстии недоступность репозитария (но это гипотеза)
@pigbrother можно попробовать Ваш вариант за не имением других, но получится, судя по такой же проблеме в разное время в том числе и в англоязычных ветках для разных версий pfSense, которые я успел найти, так никто и не докопался или не хотел до первопричины проблемы с недоступностью списка программ и firmware.
У меня также есть конфиг до всех изменений, на котором все работало, но насколько я помню (делал в прошлый раз) если pfSense делать через меню Restore Backup из файла, то он все версии установленных пакетов обновляет и к старым уже вернуться нельзя
если pfSense делать через меню Restore Backup из файла, то он все версии установленных пакетов обновляет и к старым уже вернуться нельзя
Может я неправильно понимаю, но если я импортирую конфиг (ранее экспортированый) без пакетов, в эту же систему, то откуда pfSense будет знать про настройки уже установленных пакетов (того же сквида), если ему грубо говоря заменили файл, где ранее были они прописаны, на файл в котором нет упоминаний о пакетах вообще. т.е в любом случае ему нужно импортировать файл с пакетами, а это потяне их обновление с новыми косяками в этих пакетах. А лучшее как известно враг хоршего 🙂
Наверно ситуацию оставлю как есть (обновляться не буду), т.к пока все работает и без пакетов, а выяснить сбой и докопаться не удалось ввиду неопытности в этом деле
Всетаки не успокоился я пока свое предположение не «добил»
удалось мне установить pkg-1.9.4.txz
Репозитарий так и не появился, но появилисись проблемы с базой установленных пакетов, теперь не обновляется даже из консоли 
кто-то из знающих может подсказать как это исправить (кроме как снести все и установить заново)?
не проще ли переустановить и влить конф?
@derwin так и сделаю, просто как я уже говорил «влить конфиг» потянет за собой обновление пакетов, а как мне показывает мой опыт с pfSense это всегда новые траблы, которых не было в предыдущих версиях и как вы успели заметить даунгрейд невозможен. Проблему с неполучением списка пакетов я смотрел по форуму обсуждают уже несколько лет (2 года назад так точно видел) и в итоге просят обновить систему. У меня такая гипотеза, что репозитарий спецом блокируется, чтобы люди не засиживались на старых сборках, а постоянно участвовали в тестировании новых (тем самым сообщая о траблах), это понятно и логично для разработчиков, но невсегда для пользователей: если все работало, зачем мне обновляться. тут есть уникальная возможность имея два одинаковых компа (один рабочий, второй нет) всетаки общими услилиями разобраться раз и навсегда и вывесить решение в шапку, хотя бы для будущих аналогичных траблов у людей, а они как я уже говорил возникают в каждой версии на протяжении долгого времени, но увы.
Проблема в неполучением обновлений и списка пакетов в общем делится на 3 категории:
» Ничего личного, просто бизнес.» (с)
ИМХО: редко обращаюсь, но в прошлые годы как-то люди с сообщества больше участвовали в решении, чем теперь. все течет все меняется к сожалению..
Проблему с базой sql решил командами:
теперь информация из базы выводится без ошибки о устаревшей версии:
@oleg1969 Спасибо, да я устанавливал speedtest-cli но уверяю вас, невозможность получения списка пакетов не работало до него, а до него я стороннего не ставил.
Если это как-то натолкнет на мысль людям, которые разбираются, то я вручную синхронизировал изменения с рабочего шлюза за год на находящийся в offline режиме второй шлюз, а это в основном:
Unable to retrieve package information pfsense что делать
I recently updated from 2.2.6 to 2.3 today. At first I had no internet connection, and couldn’t load any of the pfsense pages. Eventually I had to log in with putty and reset to factory defaults. Then at least the server and its downstream clients had internet access.
Then it said that the system was busy upgrading packages in background. After a lot of time, running the commands here, and a number of reboots, now it just says «Unable to check for updates» on the dashboard and «Unable to retrieve package information.» on the packages page.
How can I either get to a working pfsense 2.3 or go back to the prev version (I chose the «full backup» option before installing 2.3)?
Thanks,
Ari
Check here: https://forum.pfsense.org/index.php?topic=109690.0
I just expanded/added a bit in the section section, which may apply to your issue.
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Do not Chat/PM for help!
Thank you, unfortunately no joy. Here’s the output:
What should I try next?
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Do not Chat/PM for help!
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Do not Chat/PM for help!
Had already tried that – thanks. (tried again just now anyway) Same error.
Does /usr/local/etc/pkg/repos/pfSense.conf exist? If so, where does it point?
Does /usr/local/etc/pkg/repos/ exist?
What does this file contain?
If all else fails, you can create /usr/local/etc/pkg/repos/pfSense.conf with the contents shown above (The FreeBSD line and below).
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Do not Chat/PM for help!
Before going that far, try this now:
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Do not Chat/PM for help!
I have this problem, after installing the xen-guest-utilities because the activated freeBSD repo install the new pkg version.
Second section, last part, it mentions how to reinstall pkg to downgrade.
Remember: Upvote with the 👍 button for any user/post you find to be helpful, informative, or deserving of recognition!
Do not Chat/PM for help!
Thanks always for the great support. Too late for my machine, perhaps, as I’ve already reverted to 2.2.6, but I had performed those commands early on after I discovered the problem.
R/
Ari
Thought that I hosed my box in the 2.3 upgrade because the web-gui wasn’t acting properly. For example; When I entered the package managers menu it would throw me an error that it was «unable to retrieve package information.» The dashboard would also display «checking for updates» but never actually resolve whether or not the system was up to date.
After following some of Jimp’s suggestions I was still unable to resolve both of these issues.
I did a fresh install of 2.3 to my local HDD and was still having the same issues. After turning off IPv6 configuration type on my WAN interface the «update status» was able to determine that my «system is on the latest version» and I was then able to navigate the package manager menus. Also, successfully installed Cron and Snort.
Hope this helps anyone else that was having issues after the upgrade.
Thanks BrendanRC,
disable IPv6 did the trick.
After this I can update my packages.
Настройка шлюза на базе Pfsense. Часть 1
Что всегда заметит каждый пользователь? Правильно, отсутствие интернета. Но как? «Вконтакте» не грузится — значит, интернета нет. Но ведь бывает, что директор или бравые богатыри из отдела ИБ хотят что-то запретить, что-то собрать, где-то проконтролировать. И тут администратор начинает танцевать вокруг шлюза в интернет. Если в компании много денег, то танцы могут быть длительными и с галантными кавалерами (мар Checkpoint, мистер PaloAlto, господин SonicWall). А вот что делать, если денег только на железо, функционала хотят много, а делать надо быстро? Бежать. На помощь приходит Mr Proper Pfsense, активно поддерживаемый сообществом бесплатный, гибкий и несложный в настройке межсетевой экран на базе FreeBSD.
В первой части рассмотрим классику жанра — межсетевой экран с прокси (аутентификация по учетным данным Active Directory) и фильтрацией контента, а также какой-никакой антивирусной проверкой трафика налету. Отдельно рассмотрим вопрос настройки удаленного доступа пользователей к сети предприятия.
Если будет интерес, могу написать вторую часть инструкции по развертыванию, где рассмотрю вопросы балансировки между несколькими провайдерами, создания и одновременной работы двух шлюзов, а также добавления фич безопасности типа IPS/IDS, фильтр спама, более кошерной фильтрации средствами Dansguardian, сниффинга IM и HTTPS контента и много чего еще интересного.
Для уменьшения возможного холивара: «Да, это можно сделать на %yourdistrname%» и «Да, все можно настроить из командной строки». Так, все формальности соблюдены — можно начинать.
Установку сделаем с флешки. Для этого используем образ pfSense-memstick-2.2.2-RELEASE-i386.img.gz, скачанный с одного из зеркал, указанных на официальном сайте. Очень удобно, что сначала мы выбираем архитектуру, функционал, а потом уже нам предлагают список зеркал. Процесс установки детально расписывать не буду, там все элементарно, никаких дополнительных настроек не нужно. По окончанию установки вам предложат назначить VLAN и определить интерфейсы, а также их назначение. Выглядит это примерно так:
После настройки интерфейсов мы попадаем в меню с ограниченным числом пунктов, однако есть возможность выйти в шелл. На мой взгляд, самым полезным пуктом меню является возможность сброса пароля на веб-морду. Разработчики pfsense настоятельно рекомендуют проводить всю настройку только через графический интерфейс. А выглядит он достаточно симпатично, набор виджетов широк, можно кастомизировать их набор под себя.
Первым делом создаем свой внутренний CA на pfsense или используем уже имеющийся. Для этого в меню System выбираем Cert Manager и в разделе CA проводим необходимые настройки: нужно указать длину ключа, алгоритм хэширования, время жизни и полное имя CA. Настроенный CA будет нам нужен для создания OpenVPN-сервера и для работы по LDAPS.
Теперь интегрируем наш шлюз с Active Directory. В разделе Servers блока User Manager из меню System были проведены настройки на использование контроллера домена. Все до безобразия просто — указал адрес, транспорт, область поиска, контейнеры с учетками, креды для создания привязки и шаблон для заполнения Microsoft AD — можно выпускать кракена пользователей в интернет.
Перейдем к настройке правил фильтрации трафика. Во-первых, если требуется любая группировка адресов, портов, URL, тогда добро пожаловать на вкладку Aliases. Во-вторых, вы можете настроить временные промежутки, которые можно использовать для работы правил. По умолчанию создано правило «всем везде все можно», а также правило, которое не дает заблочить доступ к веб-морде. Создание правил выглядит довольно буднично:
Однако есть ряд дополнительных возможностей, например, разрешенные ОС, какие могут быть выставлены TCP-флаги, график работы правила, а также инспектор протоколов прикладного уровня.
Настройка удаленного доступа OpenVPN с аутентификацией по паролю в локальной базе и сертификату можно посмотреть тут — www.youtube.com/watch?v=VdAHVSTl1ys. Выбор протоколов удаленного доступа невелик — IPSec, L2TP, PPTP и OpenVPN. При выборе PPTP сам pfsense напишет Вам, что протокол небезопасен и лучше выбрать другой.
Аутентификация в локальной базе была выбрана с целью сохранения возможности удаленного подключения в случае каких-либо неполадок с серверами каталогов.
Для экспорта настроек OpenVPN для устройств на разных платформах нужно установить пакет OpenVPN Client Export Utility, который есть в списке доступных для установки пакетов. Теперь возвращаемся к истокам – во вкладку Cert Manager, там создаем сертификат для сервера VPN и каждого клиента. Разница только в типе сертификата.
Переходим к настройке сервера OpenVPN. Выбираем режим работы сервера – в моем случае «Remote Access (SSL/TLS + User Auth)», сервер аутентификации, протокол, порт, нужный сертификат сервера VPN и выставляем нужные параметры шифрования. То, что предлагается по умолчанию — не лучший выбор.
Дальше настраиваем VPN-сеть и выставляем настройки для клиентов. Тут мы можем определить, стоит ли выдавать клиенту DNS-сервера, весь ли трафик клиента гнать в туннель и т.д. После этого сохраняемся и отправляемся на вкладку client export. Отсюда мы экспортируем нужные для подключения настройки и сертификат пользователя.
Кстати, при настройке сервера можно было воспользоваться Wizardом, который провел бы Вас через все “печали и невзгоды” настройки OpenVPN. Некий аналог кнопки “Сделать хорошо”.
Конечно, если у вас многим пользователям нужен удаленный доступ, то работа по выдаче и отзову сертификатов, экспорту настроек, заведению пользователей в локальную базу превратиться в очень скучное, но ответственное задание. Считаю, что при подобных требованиях к масштабированию необходимо наличие отдельного CA с CRL и единой базы аутентификации, типа Active Directory. Но если пользователей мало, то предложенный выше вариант вполне работоспособен.
Нам осталось настроить прокси, фильтрацию контента и антивирусную проверку. Устанавливаем HAVP-пакет – это прокси с ClamAV сканером. Для настройки указываем режим работы ClamAV и прокси, порт, интерфейс, настройки проверки проходящего трафика. Поскольку планируется использование squid, то наш режим работы — «Parent for Squid». Отдельно настраиваем параметры обновления антивирусной базы и ее зеркала.
Переходим к настройке Squid. После установки пакета выбираем режим работы прокси и порт, затем на вкладке «Auth Settings» указываем используемый метод аутентификации. Поскольку у нас стоит задача использования Active Directory в качестве базы пользователей, то используем протокол LDAP. Настройки для интеграции с контроллером домена представлены ниже.
При необходимости настраиваем параметры вышестоящего прокси, управления кэшем и трафиком, а также ACL. Я, например, в whitelist вносил *microsoft.com/* для нормальной работы обновлений и активации ОС, и то не сканало. Но об этом чуть ниже.
Теперь фильтрация – настраиваем squidGuardian. По подходам к фильтрации в принципе есть хорошая статья – «To-do: Фильтруем вся и всё». После установки squidGuardian через пункт «Proxy filter» меню «Services» переходим к его настройке. На вкладке «Blacklist» указываем откуда качать сами блэклисты в формате tar или tar.gz, а также на вкладке «General settings» ставим галочку для включения использования блэклистов. Я использовал бесплатные блэклисты отсюда. В случае необходимости работы контентного фильтра по времени, промежутки можно задать на вкладке Times. Дальше уже настраиваете общие или групповые ACL, главное не забыть поставить галочку напротив запрета использования IP-адресов в URL. Для настройки правил фильтрации нужно нажать «Target Rules List» и выбрать действия для нужных категорий, а также действие по умолчанию.
Если у вас есть необходимость в создании собственных категорий, то можно воспользоваться страничкой «Target Categories». После сохранения ваша категория появится в общем перечне правил. Я создавал свою категорию для разрешения доступа к ресурсам по IP-адресам, у которых нет DNS-имени.
А теперь ложка дегтя. Вполне допускаю, что проблемы вызваны собственной кривизной рук, но все же. Если кто-то из сообщества сможет подсказать какие-то решения, то я буду крайне признателен.
1. Разработчики давно обещают, но пока так и не сделали поддержку L2TP over IPSec.
2. Проблемы при попытке срастить pfsense для использования сертификатов AD CS. Я читал обсуждение отсюда, но так и не смог победить мелкомягкого дракона.
3. Проблемы работы клиент-банков в случае, если у вас есть балансировка между провайдерами.
4. Если у вас указана аутентификация пользователей через AD, а контроллер домена недоступен, то ваш встроенный(. ) админ pfsense также откажется работать. Есть обсуждение на форуме, люди пишут скрипты на php для решения вопроса, но это не является рекомендуемым решением.
5. Видимо тут мои личные проблемы с кириллицей. Во-первых, не работает аутентификация в случае использования пароля в кириллической раскладке. Во-вторых, проблемы в отображении имен контейнеров AD на кириллице.
6. Несмотря на все усилия, время от времени возникают проблемы с сервисами от Microsoft. Чаще всего не работает активация ОС. Думаю, тут все же необходимо будет поправить конфиг squid вручную.
В заключении хотел бы отметить, что данный дистрибутив импонирует мне широким функционалом и гибкостью, очень легко клонировать настройки на несколько шлюзов, есть возможность сделать embedded решения. Конечно, полная настройка через веб ИМХО не есть хорошо, но может именно таким образом разработчики огораживают начинающих админов от болезненных ударов граблей разной высоты.