Migrace TOS3 na TOS5 aneb jak to ne/proslo

Tohle je spis feedback nez nejake stezovani ci zadost o pomoc.

Tak jsem minuly tyden kolem pulnoci zjistil, ze se spustila migrace na TOS5 (ikdyz jsem ji neschvalil). Fakt me to trosku nastvalo, protoze, jsem se chystal si vse pripravit a spustit migraci sam.

Bohuzel. Zkusil jsem narychlo rollback, ale to nevyslo (asi to i nekde bylo zminovano,ze to neprojde kdyz dojde k post snapshotu). Ve finale jsem se tedy vratil na snapshot po migraci a zacal resit problemy. Musel jsem odebrat “zip” a “wget” balicek, nasledne vetsinu veci z LUCI co jsem nechtel (minidlna, upnp, jstreamer a tak), az pak se pkgupdate umoudril a migrace nejak dobehla. Jeden lxc kontejner z nejakeho duvodu zmizel z prehledu a nejde mi nahodit (ale to asi stejne udelam nanovo, takze to uplne nevadi). Musel jsem projit nastaveni lighttpd a umazat zalozni konfigy a v modulech odstranit duplicity (simply_vhost konkretne). Az pak naskocila uvodni stranka a mohl jsem konecne vlezt do reforis/foris/luci …

Musel jsem sahnout do nastaveni samby (narychlo nahozene, musim to pak jeste jednou zkontrolovat novej konfig co se zmenilo …). Musel jsem umazat par “-opkg” konfigu v regulernich lokacich a i v “etc”. DNSSEC pri testu z Reforisu hlasi, ze neni aktivni (jeste nevim proc, ale asi to bude nejaka kravina). Storage se presunul z “sdc” na “sdb” (jeste ze mountuju pres UUID a ne pres device). Jeste musim sahnout do “ngircd” (rozpadaj se spoje mezi server instancema, kdy jedna je v lxc). Prekonfigurovat “eggdrop” a “znc”. Zkontrolovat “openvpn”.

No a to jeste nevim co se mi hromadi v messages za hlasky, takze tipuju, ze si jeste s nastavovanim uziju dosytosti.

Kazdopadne jsem rad, ze to tak nejak proslo. Cekal jsem, ze se to u me nepovede, kvuli mejm zasahum do systemu. Muj router jeste nepoznal medikit ani factory reset (ikdyz by to asi nebylo od veci to liznout nanovo).

2 Likes

Zjistuji, ze syslog-ng neloguje do messages. Zjistuji ze udhcp hazi “no lease, failing”. Kresd,Transmission,Samba,dbus sluzby jsou zakazany ( v ramci start-upu ).
Protoze jsem behem migrace upravil “user.lua” po migraci jsem par veci (wol, minidlna,upnp,jstreamer …) znova vratil (uninstall). Po rebootu zacal syslog logovat, ale hromada dalsich veci prestala fungovat, musel jsem provest rollback. Ikdyz to vypadalo, ze sluzby byly odebrany, luci bohuzel stale delalo, ze tyto jsou aktivni. “Storage” slozka “/srv” nema uplne vsechny slozky co tam pred migraci byly (coz fakt nechapu, na to ten migracni proces nemel vubec sahat, natoz je smazat … napriklad zalohy configu ci zalohy webovejch stranek proste zmizely …jeste ze to mam na dvou mistech… ).

LXC configy jsem musel rucne upravit (nektere direktivy holt maji novou notaci…), takze treti lxc kontejner s PiHole uz bezi po uprave configu.

DNSSEC nefunguje at se snazim jak se snazim. “dnsmasg” bezi na port:0, “kresd” bezi na port53 a proste to porad hlasi ze dnssec neni v poradku (pritom pres dig mi prijde ze to facha).

Samba4 s podivem stacilo jen povolit, nemusel jsem nic menit.

Transmission bylo zakazane, ale po kontrole a nahozeni vse okej.

Sber logu z firewallu nefacha.

V ramci openvpn se objevil dalsi interfejs (ikdyz jsem mel v configu svuj vlastni, vcetne vsech pravidel), musel jsem ho natvrdo odebrat. To ze mi migrace sahne do nastaveni intefejsu a firewallu mi prijde prinejmensim nevhodne.

Nikola nefacha, nevim proc (nemam “messages” tak fakt netusim co je spatne)

Openvpn facha, nemusel jsem na nic sahat (jen tedy povolit sluzbu po kontrole uci configu).

Transmission facha, stacilo povolit.


s vetsinou veci jsem v pohode, nejak si to asi opravim, ale DNSSEC proste ted netusim co kde mam vypnout/zapnout co kde prenastavit… fakt by zrovna k tomuhle mohlo bejt vic informaci v navodu jak to resit. (minimalne nejake info co proc se jak zmenilo a jak to resit…). Hledat pres google a tady na foru proc dnsmasq/kresd nefunguji a resit, zda-li navod lze pouzit i v mem pripade je prinejmensim frustrujici. Fakt bych ocenil nejake reseni, abych zas nemusel hledat po vsech certech co je kde spatne (zvlast kdyz nemam “messages” tak se to dost tezko debuguje …)

“package list” tady bych cekal, ze kdyz nejakou sadu balicku nechci, ze to proste bude odinstalovano a ne ze to zustane na pul cesty (ze se odinstaluje binarka, ale uz ne balicky co k tomu patri – kdyz je pak odeberu, system mi rekne, ze mi je brzo stejne vrati …protoze mam ten seznam balicku zaskrtnutej, tak to odskrtnu ze to nechci uplne a stejne pulku veci necha …). Fakt me tahle rucni prace s opkg celkem irituje.

no nic , dalsi seance v putty zitra …

Taky jsem nemel messages - stacilo pouzit default syslog-ng.conf ( syslog-ng.conf-opkg ) misto meho kde byly nejake upravy - novy syslog 3.33 na tom starem configu havaruje. A postupne si tam zacit zkouset pridavat svoje upravy …

2 Likes

Díky za užitečnou zpětnou vazbu z migrace!

Proč? Tyto balíčky jsou i v novější verzi OpenWrt. Ty balíčky tam mohli zůstat. Spíš jste používal nějaký balíček, který se na nejnovější verzi už nenachází.

Máme to popsané v dokumentaci:

Za tohle nemůžeme a myslím si, že není úplně vhodné zasahovat systematicky do uživatelsky upravovaných souborů, protože by to nedopadlo dobře. Za tohle si zodpovídá administrátor routeru.

Nikola se na nejnovějších verzích Turris OS nenachází a bylo to nahrazeno fwlogs, které nevypisuje zprávy do syslogu.

Používáte standardní nebo vlastní cestu v lxc.lxcpath v souboru /etc/lxc/lxc.conf?

Tak v tom případě asi necháme příště síť rozbitou. Stejně nás menší migrace nastavení sítě čeká znovu s Turris OS 6.0. A ano, tato změna byla nutná z přechodu na DSA. Je to zmíněné v dokumentaci.

Pokud si pamatuju, tak router máte velmi uživatelsky nakonfigurován a není v našich silách testovat každou unikátní konfiguraci routeru. Žádné další změny se v migraci neplánují, neboť migrace byla spuštěna pro všechny routery a verze Turris OS 3.x prohlášena za End-of-Life ve většině případů. Výjimku jedině tvoří ještě modré routery pod smlovou.

On je ten config pro LXC v TOS5 jiný a pro změnu v TOS6 je zase LXC config opět jiný je to dáno vyšší verzi LXC, uvádím příklad svého z TOS5, snad Vám to pomůže, klíčový pro funkčnost LXC na TOS5 je myslím poslední řádek

lxc.uts.name = debian lxc.rootfs.path = /srv/lxc/debian/rootfs lxc.start.auto=1 lxc.start.order=10 lxc.start.delay=60

lxc.mount.auto = proc:mixed sys:ro cgroup:mixed

Apparently, cgroup for /dev/snd

lxc.cgroup.devices.allow = c 116:* rwm
lxc.cgroup.devices.allow = c 118:* rwm
lxc.cgroup.devices.allow = c 212:* rwm
lxc.cgroup.devices.allow = c 189:* rwm

lxc.mount.entry= proc /proc proc nodev,noexec,nosuid 0 0
lxc.mount.entry= tmpfs dev/shm tmpfs rw,nosuid,nodev,create=dir 0 0
lxc.mount.entry= devpts /dev/pts devpts rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000
lxc.mount.entry= /dev/snd dev/snd none bind,optional,create=dir
lxc.mount.entry= /dev/net dev/net none bind,optional,create=dir
lxc.mount.entry= /dev/bus/usb/001 dev/bus/usb/001 none bind,optional,create=dir
lxc.mount.entry= /dev/bus/usb/002 dev/bus/usb/002 none bind,optional,create=dir
lxc.mount.entry= /dev/ttyUSB0 dev/ttyUSB0 none bind,optional,create=file 0 0
lxc.mount.entry= /dev/bus/usb dev/bus/usb none bind,optional,create=dir 0 0
lxc.mount.entry= /data data none rw,bind,create=dir 0 0
lxc.mount.entry= /mnt/flash mnt/flash none rw,bind,create=dir 0 0
lxc.mount.entry= /lib/modules lib/modules none rw,bind,create=dir 0 0
lxc.pty.max=1024
lxc.apparmor.allow_incomplete = 1
#lxc.apparmor.profile = generated

Set up /dev/ for systemd

lxc.autodev=1

networking

lxc.net.0.type = veth
lxc.net.0.flags = up
lxc.net.0.link = br-lan
lxc.net.0.hwaddr = 00:XX:XX:XX:XX:XX
lxc.net.0.ipv4.address = 192.168.Y.X/24
lxc.net.0.ipv4.gateway = 192.168.Y.1
lxc.seccomp.profile =

lxc.init.cmd = /sbin/init systemd.unified_cgroup_hierarchy=1

1 Like

neivm proste pkgupdate se na nich seknul a nechtel nic delat, kdyz jsem urpavit opkg-auto.lua a vymazal pro tyto zaznamy uz to proslo. A takovych bylo vic…

tak urcite , ale napriklad pokud tam jednou TOS posle (napriklad) 30-fcgi.load a pak tam dalsi update prijde 40-fcgi.load tak to neni az toliko vec administratora. A toto se nestalo poprve, ze se do module.d nacpal nejakej novej fajl, ale nebral se ohled na stary …, (ale chapu je to v /etc tak je to na rootovi at si to spravi … coz delam a vim ze se to deje

tedy mam pustit nejaky ten “fix-nikola” (ve finale mam vubec nejaky ten fix- … balicek instalovat?)

… ano pouzivam vlastni cestu.

… jo ja do toho saham dost, proto jsem si to chtel poresit sam (pripravit se na tu migraci), to ze mi to nahle samo (aniz bych to schvalil) spustilo migraci v jednu rano a namisto spanku jsem u toho sedel asi do tri a nadaval jak spacek … :smiley: (neberte to osobne, nebo jako hazeni spiny na vasi praci…tu ja ocenuju a jen jsem asi v afektu napsal neco co bych rano napsal asi jinak …)

Jen teda co me asi ted trapi nejvic je DNSSEC, ktere se mi nedari zprovoznit a netusim co kde mam ci nemam zkontrolovat/zmenit.

Ohledne DNSSEC …

  • musel jsem odebrat na WAN interfejsu (pres Luci) seznam vlastnich DNS serveru a nechat to na ISP
  • az pak mi zabralo zapnuti dnssec v reForisu

Nejspíše něco s těmi servery. Jinak v reForisu si lze DNS (ne)forwardování nakonfigurovat a přijde mi to jako lepší přístup: předvybrané cíle s TLS, vlastní IP adresy s TLS i bez.

1 Like

No zkousel jsem to pres reForis nekolikrat. Pak v kombu s luci a i rucne jsem hledal co kde muze bejt spatne. Pouzil jsem pritom dnska od nic.cz, google, cloudf a i vlastni a nezabralo nic. Kdyz jsem upravil wan interfejs (pres Luci) aby nemel mnou vybrane dns servery (ktere pritom byly nic.cz/google a jeden muj vlastni) tak zacalo dnssec fachat (s forwardovanim a vyuzitim dns od isp → jeste dneska zkusim bez).

Tak tohle bych řekl, že to je dost zjednodušeně řečeno. Chtělo by to výstup. Pokud ten balíček chybí, tak aktualizace neprojde. A rozhodně se to netýká balíčku zip, wget.

Proč? Nic takového jsem nenapsal a není potřeba nic instalovat. Fix balíček se sám nainstaluje v případě potřeby a pak následně odinstaluje.

Tak v tom případě se jedná o tento problém, kde je uvedené i řešení.

Migraci jsme ohlašovali dostatečně s předstihem včas a několikrát. Nemůžeme nechat routery běžet na staré, neaktuální verzi OpenWrt, která začíná být zranitelná. Je nutné brát v potaz, že kvůli pár pokročilým routerům nemůžeme vyšperkovat migrační proces natolik a ještě o to ho déle zdržovat vůči majoritě routerů, které jsou nastaveny víceméně jen v základu.

Ohledně k té rozbitosti sítě a migraci nastavení. Mohli jsme to udělat jak OpenWrt. Nabídnout pouze jedinou možnost aktualizace a to je nastavit si kompletně síť od začátku. :slight_smile:

Ona i verze 19.07 není úplně nejnovější. Tvůrci OpenWrt s ní chtějí skončit už v březnu a pak to začne být podobné. O 15.05 ani nemluvě!

To souhlasím a máte pravdu, ale ještě je to stále podporované a chystá se další release 19.07.x Chybí už nám pár drobností, abychom mohli přejít na 21.02.x, ale brzdí nás opět zásah do síťové konfigurace z důvodu možnosti nastavení vrstev L2, L3. :frowning:

Aby toho nebylo málo, tak OpenWrt nedávno ve větvi master přešlo z iptables na nftables, tak nás čeká taky menší přepis. Co se týče Turris OS, tak již v každé větvi máme odlišnou verzi OpenWrt.

1 Like

vystup uz nedodam, kdyz uz jsem se posunul po te migraci o kus dal. zrovna tohle byl ten nejmensi problem (upravit si opkg-auto.lua / user.lua ci odebrat dany balicek pres opkg).

jen jsem se zeptal/ujistoval. nebylo mi jasne zda-li to jsou balicky pro manualni instalaci a nebo nikoliv. diky za info.

I bez navodu se to dalo poresit , zas takovej problem to nebyl. Ale diky mrknu treba jeste budu muset neco doeditovat :slight_smile:

No jak to rict, mel jsem nastavene aktualizace az po potvrzeni tak bych cekal, ze budu notifikaci pozadan o potvrzeni a az pak se to spusti, ne ze se to spusti samo aniz bych o tom vedel. Chtel jsem se proste na to pripravit a pustit si to sam. V danou chvili bych radsi tos3 s dirama, nez tos5 kterej je ve stavu, ze nefunguje kde co a ja musim hledat po forech po wiki strankach co kde a jak se ma ci nema zmenit.
To bych cekal, ze na ofiko navodu pro migraci bude vice informaci ke znamejm chybam a jak to resit (klidne i jen link na forum a konkretni vlakno)…ale hledat po foru a cist mnoho vlaken a hledat, ktery problem (a navod) se vztahuje i na moji situaci bylo vskutku frustrujici. Zvlaste kdyz navod nepomohl a ja nevedel jak dal. (ale rozumim, ze za hodne veci muzou moje zasahy do systemu).

Rozhodne jsem necekal, ze migracni proces bude vysperkovan pro vsechny. To ani nejde. Proto jsem vyckaval, az bude vic uzivatelu po migraci a bude vice informaci co a jak resit. Hromadu veci si poresim sam (ikdyz mi to dost casto trva).

Ono v mem pripade by asi bylo nejlepsi udelat factory reset a nahodit cistou verzi TOS5. Jenze se desim kolik casu budu muset stravit v puttyne. :slight_smile: Ta moje Omnie jeste meditik ani f.reset nemusela zazit (jeste ze ten schnapps je dycky posledni zachrana …)

Kazdopadne, opravdu to neberte jako stezovani na praci vyvojaru/testeru. Od zacatku Turrisu fandim. Jsem rad, za to co delate (obecne jako cz.nic a i pro turris/openwrt). Uprimne jsem ani necekal, ze nekdo bude odpovidat a reagovat na ten muj frustrujici vylev :smiley:

4 Likes

Já jsem také čekal skoro až do konce a chtěl jsem získat aktualizaci na TOS 5 v rámci běžných aktualizací (i kvůli zpětné vazbě), ale nakonec jsem aktualizoval chvíli předtím, než se tak stalo.

Protože jsem chtěl vidět, jak všechno probíhá, spustil jsem ji přes příkazovou řádku, a protože jsem měl také odložené aktualizace a potvrzování, i zde jsem musel provést některé akce ručně, resp. dané takto posunout.

Možná byla motivace právě taková, aby se to uživatelům s obdobným nastavením nestalo, ale zcela chápu a souhlasím, že jste měl mít možnost to ovlivnit.

Na TOS 3 jsem i já zůstával dlouho hlavně proto, že mi všechno dobře fungovalo, ale TOS 5 nakonec plní stejný účel (a TOS 3 jsem také nenastavil ze dne na den).

1 Like

Nějaké problémy se čekat daly, ale ten můj mě zaskočil.
Mám Omnii z původní kampaně a nepoužívám žádné zásadní zvláštnosti.
Prostě gateway domácí LAN, pár port forwardů dovnitř, AP na 5GHz wifi. Zapnutý HaaS, NetMetr, Suricata/Pakon, openVPN (jeden klient). Žádné guest wifi, LXC, apod., dokonce i DNS a DHCP řeším na jiném stroji.
Jediná “nestandartnost” byl mwan3 na WAN portu a klientu na 2,4GHz. Prostě když padl ethernet, zapnul jsem na mobilu hotspot a pokračoval v práci…
Z TOS3 jsem přešel podle návodu, konkrétně na verzi 5.3.2. A komplet se rozbil WAN port (žádné DHCP, žádný traffic ani přes statickou IP), samozřejmě mwan3 šel do kopru celý, a z reForisu zmizely obě wifi. Ty jsem viděl jen v Luci, ale nikdy se nerozjely, ani s alternativními ovladači. Factory reset nepomohl. Medkit nepomohl. Ani medkit na TOS3, pak na TOS5.
Jediná možnost byla medkitovat zpátky na TOS3. Tam se vše zase rozjelo, včetně wifi klienta a mwanu. Po factory resetu a medkitu na TOS3 (opravdu oboje, aby nic nikde nezůstalo) a auto update čisté Omnie na 5.3.2 byly wifi zase mrtvé.
Tak jsem Omnii odložil k ledu a pár týdnů jel na Moxu. Když jsem se k ní konečně dostal, postup medkit na TOS3 > auto update na 5.3.4 skončil úspěchem. Vysvětlení nemám.

A nemůže to být opravami ve verzi 5.2.3, resp. 5.2.4 vůči verzi 5.2.2?

Me se ted deje to, ze kdykoliv sahnu na nastaveni wifi, tak se odporouci wifina(y). A pak proste nejdou nahodit (tedy samotne radio0/1, tak i wlan0/1). Ukazuji se jako “unassociated/not active device” (ale nevim jak je priradit). Navic poklesl vykon a sitovy prutok (asi tak na polovinu). Nepomaha wifi reset v reforisu. Nepomaha foris ani luci (tam me novejsi gui lehce zmatlo), ani rucni config (velmi konzervativni) nepomuze. Jedine co pomuze je rollback o snapshot zpet a nesahat na to. Z logu jsem moc moudrej nebyl. Mam ted vypnute aktualizace (neb ta posledni me prave donutila namisto oprav udelat rollback).