PXE UEFI boot funktioniert nicht

Scorcher · Beitrag von **Scorcher** » 19 Mai 2020, 14:46

Guten Tag.

Ich habe immer den PXE boot im BIOS Legacy Modus verwendet. Jetzt muss ich leider auf SecureBoot im UEFI Modus wechseln. Leider funktioniert das nicht. Die alte Methode (welche per DHCP folgenden Pfad übermittelt bekommt: linux/pxelinux.0) funktioniert weiterhin unverändert.

Folgender Fehler wird beim Booten angezeigt:

>>Start PXE over IPv4.
Station IP address is xxx.xx.xx.xxx

Server IP address is xxx.xx.xx.yyy
NBP filename is linux/pxelinux.cfg/shimx64.efi.signed
NBP filesize is 0 Bytes
PXE-E18: Server Response timeout.

Im syslog steht folgende Fehlermeldung:

tftpd:oack:operation not permitted

DHCP ist auf einem Windows Server. Dort hat der Testclient eine Adressreservierung erhalten und die Optionen 66 und 67 wurden entsprechend konfiguriert.
Berechtigungen wurden mit OPSI-Setup --setrights und opsi-set-rights gesetzt. Sehen Augenscheinlich auch alle vernünftig aus.
Die Modules Datei ist auch richtig implementiert und wird im config Editor mit allen benötigten Modulen angezeigt.

Hat evtl. jemand eine Idee zur Lösungsfindung. So langsam gehen mir hier die Ideen aus.

Beitrag von **m.radtke** » 19 Mai 2020, 14:58

Hi

was steht denn im syslog auf dem Server wenn der Client sich am TFTP meldet?
Welche Version des opsi-linux-bootimage hast Du installiert?

Gruß
Mathias

Scorcher · Beitrag von **Scorcher** » 19 Mai 2020, 15:25

Im Syslog finde ich unter anderem folgende Einträge:

Code: Alles auswählen

May 19 14:06:05 OPSI in.tftpd[6127]: RRQ from xxx.xx.xx.yyy filename linux/pxelinux.cfg/shimx64.efi.signed
May 19 14:06:05 OPSI in.tftpd[6127]: tftpd: oack: Operation not permitted
May 19 14:06:05 OPSI kernel: [ 5279.890662] IN= OUT=bond0 SRC=xxx.xx.xx.xx DST=xxx.xx.xx.yyy LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=30292 PROTO=UDP SPT=55786 DPT=1822 LEN=37 
May 19 14:06:09 OPSI in.tftpd[6135]: RRQ from xxx.xx.xx.yyy filename linux/pxelinux.cfg/shimx64.efi.signed
May 19 14:06:09 OPSI in.tftpd[6135]: tftpd: oack: Operation not permitted
May 19 14:06:09 OPSI kernel: [ 5283.929684] IN= OUT=bond0 SRC=xxx.xx.xx.xx DST=xxx.xx.xx.yyy LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=30429 PROTO=UDP SPT=33940 DPT=1822 LEN=37 
May 19 14:06:13 OPSI in.tftpd[6139]: RRQ from xxx.xx.xx.yyy filename linux/pxelinux.cfg/shimx64.efi.signed
May 19 14:06:13 OPSI in.tftpd[6139]: tftpd: oack: Operation not permitted

Das opsi-linux-bootimage Version 20191219 ist installiert.

Beitrag von **m.radtke** » 19 Mai 2020, 15:34

Hi

habt ihr ne Firewall im Unternehmen? Wahrscheinlich blockt diese den Zugriff auf die shimx64.efi.signed
Welches Betriebssystem ist auf dem opsi Server installiert? Ist SE Linux geschaltet?

Gruß
Mathias

Scorcher · Beitrag von **Scorcher** » 19 Mai 2020, 15:40

iptables ist aktiv. Port 69 UDP ist erlaubt für tftp.

Ubuntu 18.04.04 ist installiert.

SE Linux ist nicht aktiv. AppArmor ist aktiviert.

uncle_scrooge · Beitrag von **uncle_scrooge** » 19 Mai 2020, 15:59

Wenn die Maschine nicht gerade im WLAN vom Kölner Bahnhofsklo hängt, nimm iptables mal temporär down.
Und probier den PXE-Boot noch einmal.
Wenn Dir die Firewall in die Suppe spuckt, hast Du zumindest einen Ansatzpunkt.

Scorcher · Beitrag von **Scorcher** » 19 Mai 2020, 16:06

Danke für den Tipp.

Mit der Öffnung der iptables für den IPv4 Bereich hat Download des NBP file funktioniert. Welcher Port wird von OPSI dafür benötigt und könnte dafür verantwortlich sein?

uncle_scrooge · Beitrag von **uncle_scrooge** » 19 Mai 2020, 16:26

Nicht OPSI, sondern TFTP.
Und TFTP ist ein altes und störrisches Biest.
Die Steuerung der Verbindung läuft über 67/68/69, aber der eigentliche Dateitransfer über beliebig ausgewürfelte high ports.

ip_conntrack_tftp und (ggfs.) ip_nat_tftp sind geladen?
Wenn ja, hilft nur, die config von iptables zu flöhen. Und natürlich die Logs.
Im schlimmsten Fall einen packet trace aufsetzen.

SisterOfMercy · Beitrag von **SisterOfMercy** » 19 Mai 2020, 21:34

Scorcher hat geschrieben:Mit der Öffnung der iptables für den IPv4 Bereich hat Download des NBP file funktioniert. Welcher Port wird von OPSI dafür benötigt und könnte dafür verantwortlich sein?

Look here:
https://download.uib.de/opsi4.1/documen ... nfig-ports

My /etc/sysconfig/iptables file on my opsi-server (CentOS 7):

Code: Alles auswählen


# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 69 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1688 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 4447 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

forum.opsi.org

PXE UEFI boot funktioniert nicht

PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht

Re: PXE UEFI boot funktioniert nicht