OPNsense USB Stick mit MacOS erstellen

USB Stick

Die OPNsense Firewall installieren viele über einen bootbaren USB Stick. Doch wie kann man einen solchen OPNsense USB Stick unter MacOS erstellen? Ich musste etwas suchen, bevor ich das rausgefunden hatte. Deshalb halte ich die notwenigen Schritte mal in diesem Blogbeitrag fest.

Das richtige Image

Das jeweilige aktuelle Image findet man auf der Webseite des Projektes unter: https://opnsense.org/download/. Es gibt Images für verchiedene Anwendungsfälle und verschiedene Prozessorachitekturen. Ich habe in meinem Fall das den Imagetyp “vga” für amd64 verwendet. Bevor das Image auf den USB Stick kppiert werden kann, muss es ausgepackt werden.

Erstellung des USB Sticks

Nachdem man den USB-Stick mit dem MacOS verbunden hat, wird dieser in der Regel auch gleich gemountet. Um das Image zu kopieren, muss man diesen Mount entfernen. Dazu muss man zunächst die Disk identifizieren.

diskutil list

Danach kann man diese Disk unmounten. Wenn der USB-Stick z.B. /dev/disk2 ist. Macht man dies mit dem folgenden Befehl.

diskutil unmountDisk /dev/disk2

Danach kann das Image auf den USB Stick kopiert werden. Bei mir funktionierte das nicht solange das Image im Ordner “Download” lag. Vermutlich eine Sicherheitsfunktion von MacOS. Nachdem ich das Image in einen andern Ordner verschoben hatte (z.B. /tmp ), funktionierte es ohne Probleme. Das eigentliche kopieren macht man mit dem folgenden Befehl, innerhalb des Ordners mit dem Image. Zudem muss bei “if” logischer weise der aktuelle Image-Name und bei “of” die richtige Disk verwendet werden.

sudo dd  if=OPNsense-##.#.##-[Type]-[A

Bis das Image komplett geschireben wirde dauert es etwas. Sobald der Cursor auf der Komandozeile wieder kommt, ist der Schreibvorgang abgeschlossen und man kann den USB Stick verwenden.

Endlich eine Siebträger-Espressomaschine

Siebträger-Espressomaschine Barista Express SES875 von Sage

Ich bin begeisterter Kaffeetrinker und Clara teilt diese Leidenschaft mit mir. Deshalb war es schon lange unser Wunsch eine Siebträger-Espressomaschine anzuschaffen. Da diese in der letzten Zeit erschwinglich geworden sind, haben wir uns jetzt eine Barista Express SES875 von Sage bestellt. Diese gibt es aktuell schon für unter 500 € zu kaufen und sie ist in vielen Tests als gute und günstige Maschine für den Einstig bewertet worden.

Unser erster Eindruck von der Barista Express ist durchweg positiv. Sie ist solide verarbeitet, schnell aufzubauen und leicht zu bedienen. Wir haben keine 30 Minuten gebraucht, bevor wir des ersten Kaffee probieren konnten (siehe unser Unboxing Video auf YouTube).

Für die ersten Tests haben wir uns im Internet ein paar Kaffee Probiersets bestellt. Zudem werden wir die nächsten Tage mal die Kaffeeröstereien in der Umgebung erkunden. Mal sehen, bei welchen Kaffeesorten wir in der Zukunft dann bleiben. Sofern der eine oder andere Interesse an einem Kauf hat, hier die Amazon-Link zu der Barista Express SES875 von Sage und einigen Kaffee Probiersets. Der Listenpreis der Maschine liegt zwar bei 729,- €. Man bekommt diese aber auch oft für unter 500,- €. Ich empfehle deshalb ein Sonderangebot zu suchen und nicht den vollen Listenpreis zu zahlen.

Nähere Informationen zu der Barista Express SES875 von Sage findet man auch auf der Sage Webseite.

Massive Probleme beim Microsoft Januar Patchday

Diese Woche hatte ich massive Probleme nach dem Microsoft Januar Patchday am 11.01.2022. Die ausgelieferten Sicherheitsupdates haben auf den von mir betreuten Windowsservern einen Katastrophalen Schaden angerichtet. Dies scheint auch nicht nur mir so gegangen zu sein. Es gibt im Netz zahlreiche Berichte von anderen betroffenen und Günter Born hat einen Artikel bei Heise dazu geschrieben: Sicherheitsupdates vom Januar 2022 mit massiven Kollateralschäden in Windows. Gerade Installationen auf der Basis von Windows 2012R2 sind umfänglich betroffen.

Insbesondere von der Installation des Update KB5009624 auf Domain Controllern sollte man aktuell absehen. Es hat alle von mir betreuten Domain Controller in einee Boot-Loop (Boot-Schleife) geschickt und damit das gesamte Windowsnetzwerk lahmgelegt. Grund scheint ein Fehler im Modul lsass.exe zu sein. Auch darüber findet man weitere Details im Blog von Günter Born im Artikel Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife.

Nach der Deinstallation des Update KB5009624 auf den Domain Controllern funktionierten diese prinzipiell wieder, allerdings war einer der Domain Controller so beschädigt, dass er nicht mehr richtig funktionierte und sich auch standhaft weigerte mit den anderen zu replizieren. Alle Versuche diesen wieder zu reparieren blieben erfolglos. Erst als dieser von Hand gelöscht und komplett neu aufgesetzt wurde, nahm er wieder fehlerfrei seine Arbeit auf.

Nachdem alle Domain Controllern wieder einwandfrei arbeiteten, lief das Windowsnetzwerk prinzipiell wieder. Es gab aber haufenweise weitere Probleme im Windowsnetzwerk. Das gesamte IT Team war zwei Tage lang damit beschäftigt die Folgeprobelme und andere Fehlfunktionen des Microsoft Patchday zu lösen. Neben dem Boot-Loop auf Domain Controller traten bei uns auch noch folgenden Kollateralschäden durch den Microsoft Januar Patchday auf:

  • Nach dem Einspielen von KB5009624 und KB5009595 startete Hyper-V auf Windows 2012R2 nicht mehr. Informationen dazu findet man bei Microsoft im Artikel Virtual machines (VMs) in Hyper-V might fail to start
  • Nach dem ein Einspielen von KB5009624 auf den Windows 2012R2 Exchange Servern funktioniert ReFS nicht mehr. Sobald das Update deinstalliert wurde funktioniert dies zwar wieder. Mit Pech kann die Exchangeinstallation aber so beschädigt sein, dass man die Datensicherung zurückspielen muss.
  • Nach dem Einspielen der Updates funktionierte ein Cluster mit Windows 2012R2 Terminalservern nicht mehr. Selbst eine Deinstallation aller Updates und die anschließend komplette Neueinrichtung der Rollen konnte den Cluster nicht wieder richtig reparieren. Es gab andauernde nicht zu erklärende Fehlfunktionen. Deshalb wurde der Cluster von uns aufgegeben und die User auf einen neuen Cluster mit Windows 2019 Terminalservern migriert.

Ich habe Verständnis dafür, dass Hersteller wie Microsoft heute Sicherheitslücken sehr schnell schließen müssen, um die daraus resultierenden Gefahren für die Kunden schnell abzustellen. Ich finde die Informationspolitik zu den durch das Update verursachten Problemen von Microsoft jedoch völlig unzureichend. Warum gibt es nach wie vor keine offizielle Stellungnahme mit einer Auflistung der Probleme? Warum wurde auch drei Tage nach dem Erscheinen der Updates und den vielen Berichten über die Probleme die Update bis jetzt nur halbherzig zurückgezogen? Diese werden zwar aktuell nicht mehr automatisch ausgeliefert. Sie lassen sich im aber immer noch finden und ohne Warnung installieren. Siehe auch hier die Zusammenfassung von Günter Born Microsoft Patchday-Probleme Jan. 2022: Bugs bestätigt, Updates zurückgezogen?

Bis jetzt scheint es nur im Blog von Günter Born vernünftige Erklärungen, Zusammenfassungen und den aktuellsten Stand zu den massiven Problemen mit den Sicherheitsupdates des Microsoft Patchday vom 11.02.2022 zu geben. Vielen Dank von meiner Seite für diese gute Arbeit! Und der Weltkonzern Microsoft sollte sich fragen, warum das eigene Security Team so etwas nicht geschafft hat.