OpenSSL 1.1.0 - kann ich apache24 und OpenVPN damit bauen?
- Ersteller Freigeist
- Erstellt am
- Status
Freigeist
Well-Known Member
Ich hole mal etwas weiter aus. Auf einer ALIX-Kiste habe ich FreeBSD 11 installiert. War für mich als Neuling in Bezug auf FreeBSD eine Herausforderung.
OpenVPN ist drauf. Installiert mit pkg.
Aber OpenSSL ist nicht 1.1.0. Das möchte ich ändern. Auf der ALIX-Kiste ports zu nutzen scheint mir nicht sinnvoll.
Hier sind doch viele Profis am Werk. Was kann ich tun?
OpenVPN ist drauf. Installiert mit pkg.
Aber OpenSSL ist nicht 1.1.0. Das möchte ich ändern. Auf der ALIX-Kiste ports zu nutzen scheint mir nicht sinnvoll.
Hier sind doch viele Profis am Werk. Was kann ich tun?
Naja zuerst kannst du pkg und ports auch mischen. Also Apache/OpenVPN mit openssl-devel über die ports und den Rest mit pkg. Für pkg musst du dann die entsprechenden ports-Packages locken (pkg lock), damit bei pkg upgdates diese nicht überschrieben werden.
Alternativ kannst du auch Apache/OpenVPN/OpenSSL komplett am Packetmanagement vorbei händisch kompilieren.
Alternativ kannst du auch Apache/OpenVPN/OpenSSL komplett am Packetmanagement vorbei händisch kompilieren.
pit234a
Well-Known Member
wenn ich das richtig verstehe, geht es hier darum, dass neuere Versionen gebraucht werden, als sie mit den pkg eingespielt wurden?
Es gibt die (schwache) Möglichkeit, dass du aus den Latest-Repositries schon die neueren Versionen bekommen könntest. Du kannst die selbst durchgehen und nachsehen, die entsprechenden Seiten lassen sich browsen. Du findest die URL einfach in der Datei, in der du auch von quarterly auf latest umstellen könntest: /etc/pkg/FreeBSD.conf
Der Bau der Pakete in einer VM ist nicht sehr viel Arbeit, weil du ja nur ein minimales FreeBSD installieren musst, die Ports fetchen und dann nur das bauen, was du benötigst. Auch ein Alix würde damit klarkommen, ich habe das früher schon gemacht und vermutlich mit schwächerer HW. Die Frage ist, ob du den Platz dafür auf dem Alix bereitstellen möchtest, besonders, wenn dort von USB-Stick oder CF-Karte gebootet wird. Der Bau der Ports ist lahm auf dem Alix, aber sollte laufen und die Auswahl, die du hier nennst, ist nicht so gewaltig.
Du könntest speziell für diese Aufgabe ein externes Laufwerk oder einen Stick anbauen oder eine Netzwerkshare einbinden und Ports dorthin auslagern. Dann mountest du nur jeweils dann, wenn du etwas bauen/aktualisieren möchtest.
Es gibt die (schwache) Möglichkeit, dass du aus den Latest-Repositries schon die neueren Versionen bekommen könntest. Du kannst die selbst durchgehen und nachsehen, die entsprechenden Seiten lassen sich browsen. Du findest die URL einfach in der Datei, in der du auch von quarterly auf latest umstellen könntest: /etc/pkg/FreeBSD.conf
Der Bau der Pakete in einer VM ist nicht sehr viel Arbeit, weil du ja nur ein minimales FreeBSD installieren musst, die Ports fetchen und dann nur das bauen, was du benötigst. Auch ein Alix würde damit klarkommen, ich habe das früher schon gemacht und vermutlich mit schwächerer HW. Die Frage ist, ob du den Platz dafür auf dem Alix bereitstellen möchtest, besonders, wenn dort von USB-Stick oder CF-Karte gebootet wird. Der Bau der Ports ist lahm auf dem Alix, aber sollte laufen und die Auswahl, die du hier nennst, ist nicht so gewaltig.
Du könntest speziell für diese Aufgabe ein externes Laufwerk oder einen Stick anbauen oder eine Netzwerkshare einbinden und Ports dorthin auslagern. Dann mountest du nur jeweils dann, wenn du etwas bauen/aktualisieren möchtest.
Freigeist
Well-Known Member
Danke für die Hinweise.
Ich bleibe bei meiner Entscheidung. Auf der ALIX-Kiste wird es keine ports (weder auf CF noch woanders) geben.
Ich bin mal gespannt, wie lange FreeBSD und pfSense noch an OpenSSL 1.0.2 festhalten werden. Bei pfSense gibt es meiner Meinung nach gar keinen Grund den alten Zopf nicht abzuscheiden. Die wenigen Pakete, die OpenSSL brauchen, umzustellen sollte kein Problem sein. OPNsense ist aber darin auch nicht weiter als pfSense.
Ich kann also auf meinem PC OpenVPN 2.4.2 mit OpenSSL 1.1.0f bereits nutzen. Auf der Serverseite ist mit pfSense 2.4 BETA und ebenfalls OpenVPN 2.4.2 tote Hose.
Ich übe mich in Geduld.
Ich bleibe bei meiner Entscheidung. Auf der ALIX-Kiste wird es keine ports (weder auf CF noch woanders) geben.
Ich bin mal gespannt, wie lange FreeBSD und pfSense noch an OpenSSL 1.0.2 festhalten werden. Bei pfSense gibt es meiner Meinung nach gar keinen Grund den alten Zopf nicht abzuscheiden. Die wenigen Pakete, die OpenSSL brauchen, umzustellen sollte kein Problem sein. OPNsense ist aber darin auch nicht weiter als pfSense.
Code:
openvpn --version
OpenVPN 2.4.2 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
library versions: OpenSSL 1.1.0f 25 May 2017, LZO 2.10
Originally developed by James YonanIch kann also auf meinem PC OpenVPN 2.4.2 mit OpenSSL 1.1.0f bereits nutzen. Auf der Serverseite ist mit pfSense 2.4 BETA und ebenfalls OpenVPN 2.4.2 tote Hose.
Ich übe mich in Geduld.
foxit
Well-Known Member
Dann bau die Pakete mit poudriere auf einem anderen Rechner und binde das erstellte Repo auf der ALIX Maschine ein.
pit234a
Well-Known Member
ich möchte nochmal kurz darauf zurückkommen. Wir müssen über unterschiedliche Dinge reden und ich bin mir da nicht sicher, wie was zusammenhängt.
1. openssl aus /usr/src, das also mit dem Basis-System kommt, 1.0.2k...
2. openssl aus Ports oder Paketen, 102k...
3. openssl-devel aus Ports oder Paketen, 1.10...
Also, ich benutzte hier quarterly vom amd64 und bekomme da folgende Angaben mit pkg seacrh:
Wenn ich das richtig sehe, hat openssl-devel die von dir gewünschte Version da auch als Paket. Wie ich aber letztlich erst lernte, sind i386er Pakete oft anders, haben oft ungleiche Versionen. (Mit Alix bin ich nicht auf dem Laufenden, meiner war damals i386). Du solltest das vielleicht wenigstens mal nachsehen, es könnte dich vielleicht einer Lösung näher bringen.
Wie dann aber openssl aus dem System korrekt gegen das openssl-devel als Paket getauscht wird, weiß ich nicht. Womöglich wird einfach alles überschrieben und gut ist. In einem schlimmeren Falle müsste erst openssl sauber entfernt werden, bevor eine devel-Version aus den Paketen installiert wird oder es könnte sogar sein, dass zwei Versionen nebeneinander wohnen können. Keine Ahnung, wie man das erfährt. Ich würde es wahrscheinlich einfach probieren und lernen.
1. openssl aus /usr/src, das also mit dem Basis-System kommt, 1.0.2k...
2. openssl aus Ports oder Paketen, 102k...
3. openssl-devel aus Ports oder Paketen, 1.10...
Also, ich benutzte hier quarterly vom amd64 und bekomme da folgende Angaben mit pkg seacrh:
Code:
openssl-1.0.2k_1,1 SSL and crypto library
openssl-devel-1.1.0e SSL and crypto library (1.1.x)Wie dann aber openssl aus dem System korrekt gegen das openssl-devel als Paket getauscht wird, weiß ich nicht. Womöglich wird einfach alles überschrieben und gut ist. In einem schlimmeren Falle müsste erst openssl sauber entfernt werden, bevor eine devel-Version aus den Paketen installiert wird oder es könnte sogar sein, dass zwei Versionen nebeneinander wohnen können. Keine Ahnung, wie man das erfährt. Ich würde es wahrscheinlich einfach probieren und lernen.
FreeBSD den ganzen 11.x Zyklus hindurch. Zu 12.x muss man mal schauen. Der Vorschlag OpenSSL im Basissystem "private" zu machen und damit Drittanwendungen zwingen eine Version aus den Ports zu nehmen steht noch im Raum, aber entschieden ist da nichts.
Freigeist
Well-Known Member
Danke für diese Information. Damit wird wohl auch pfSense diesen Weg gehen. Finde ich nicht so toll.
OT:
pfSense hat neulich das Statement abgegeben, ab Version 2.5 nur noch Hardware mit AES-NI unterstützen zu wollen. Da kommen Fragen auf. Der Einfluss von Netgate ihre Geräte an den Mann zubringen?
Ab Version 2.4 wird 32-Bit Hardware nicht mehr unterstützt. NanoBSD auch nicht. Okay, mit dieser Entscheidung kann ich leben.
derOliver
Systemheld
https://www.netgate.com/blog/further-a-roadmap-for-pfsense.html
Das klang vor einiger Zeit noch ein bisschen anders :-)
Das klang vor einiger Zeit noch ein bisschen anders :-)
Freigeist
Well-Known Member
Nun, auf meiner ALIX-Kiste ist das Paket openssl gar nicht vorhanden obwohl OpenVPN ja OpenSSL braucht. Wenn ich mehr Ahnung vom Compilieren/Linken hätte, würde ich das verstehen.
Damit bleibt wohl nur der Weg über FreeBSD in einer VM um ans Ziel zu kommen. Momentan fehlt es am nötigen Druck zu diesem Schritt.
KobRheTilla
used register
OpenSSL aus den Ports/Paketen wird parallel zum System-OpenSSL installiert (unter /usr/local). Man kann dann beim Bauen eines Ports mitteilen, welches OpenSSL für die Applikation genutzt werden soll.
Siehe auch: https://wiki.freebsd.org/OpenSSL
Rob
Siehe auch: https://wiki.freebsd.org/OpenSSL
Rob
pit234a
Well-Known Member
in man pkg-install lese ich dies:
Weiter finde ich dazu aber keine spezielle Option, wie das gehen kann.
Es wird darüber geschrieben, dass auch lokale Dateien benutzt werden können und diese in einer Art lokalen Repositrie gehalten werden können, die entsprechende conf kann dafür angepasst werden, aber bei einem einzigen Paket, naja, ich würde es mal mit pkg install Pfad/zu/Paket probieren und wenn das nicht geht, eben über die conf, wie in der man beschrieben.
Die meisten Leute, die poudriere benutzen, bauen damit tatsächlich eine große Zahl von Paketen und hosten ihr privates Repositrie, das sie dann für einen oder mehrere Rechner bereit halten. Für ein einziges Paket zu viel Aufwand in meinen Augen. Es wird immer, bei jedem Bau, aus dem Port erst ein Paket erstellt und dieses dann installiert. Man kann das auch "wieder herstellen" lassen und als Paket erzeugen oder ausgeben. Den Befehl dazu habe ich vergessen, sollte in der pkg-gruppe sein.
Aber du hast ja dein Paket und willst vielleicht in Zukunft noch mehrere erstellen und auf die gleiche Weise nutzen, da wäre das Anlegen eines eigenen Repositries vielleicht keine schlechte Idee und dann die pkg.conf entsprechend darauf ansetzen.
Code:
DESCRIPTION
pkg install is used for installation of packages from package
repositories or local archives.Es wird darüber geschrieben, dass auch lokale Dateien benutzt werden können und diese in einer Art lokalen Repositrie gehalten werden können, die entsprechende conf kann dafür angepasst werden, aber bei einem einzigen Paket, naja, ich würde es mal mit pkg install Pfad/zu/Paket probieren und wenn das nicht geht, eben über die conf, wie in der man beschrieben.
Die meisten Leute, die poudriere benutzen, bauen damit tatsächlich eine große Zahl von Paketen und hosten ihr privates Repositrie, das sie dann für einen oder mehrere Rechner bereit halten. Für ein einziges Paket zu viel Aufwand in meinen Augen. Es wird immer, bei jedem Bau, aus dem Port erst ein Paket erstellt und dieses dann installiert. Man kann das auch "wieder herstellen" lassen und als Paket erzeugen oder ausgeben. Den Befehl dazu habe ich vergessen, sollte in der pkg-gruppe sein.
Aber du hast ja dein Paket und willst vielleicht in Zukunft noch mehrere erstellen und auf die gleiche Weise nutzen, da wäre das Anlegen eines eigenen Repositries vielleicht keine schlechte Idee und dann die pkg.conf entsprechend darauf ansetzen.
derOliver
Systemheld
4.6.2. Configuring pkg Clients to Use a Poudriere Repository
Du kannst das Repo auch auf USB Stick oder per NFS mounten, wenn du keinen HTTP Server dafür installieren willst.
Du kannst das Repo auch auf USB Stick oder per NFS mounten, wenn du keinen HTTP Server dafür installieren willst.
Freigeist
Well-Known Member
Habe die VM für FreeBSD wegen zu kleiner Festplattengrösse noch mal installiert.
An Ende konnte ich openvpn nicht bauen.
Zuvor wurde openssl-devel fehlerfrei gebaut. Auch die anderen ports liefen durch.
Jetzt steh ich da wie Atze.
An Ende konnte ich openvpn nicht bauen.
Code:
/usr/local/include/openssl/ossl_typ.h:90:16: note: forward declaration of 'struct evp_cipher_ctx_st'
typedef struct evp_cipher_ctx_st EVP_CIPHER_CTX;
^
crypto.c:879:9: error: invalid application of 'sizeof' to an incomplete type 'hmac_ctx_t' (aka 'struct hmac_ctx_st')
ALLOC_OBJ(ctx->hmac, hmac_ctx_t);Zuvor wurde openssl-devel fehlerfrei gebaut. Auch die anderen ports liefen durch.
Jetzt steh ich da wie Atze.
Freigeist
Well-Known Member
Erfolg für stunnel.
Misserfolg für apache24, wegen devel/apr (apr-1.5.2.1.5.4_2).
Was für ein steiniger Weg.
Misserfolg für apache24, wegen devel/apr (apr-1.5.2.1.5.4_2).
Code:
configure: error: Crypto was requested but no crypto library could be enabled; specify the location of a crypto library using --with-openssl, --with-nss, etc.
*** Error code 1Was für ein steiniger Weg.
- Status