[PROLOG]
Backups sind überall Pflicht, so natürlich auch bei Firewalls. Ich setze seit einigen Jahren OPNsense ein und da stellt sich natürlich die Frage, wie eine gute Backupstrategie aussehen kann. Im Folgenden möchte ich kurz erläutern, wie das bei mir im Fall der OPNsense aussieht.
[ALLGEMEIN]
Bevor es ins Detail geht eine kurze Zusammenfassung, welche Möglichkeiten einer Sicherung ich anwende, wie das im Einzelnen aussieht zeige ich später unter den entsprechenden Links.
OPNsense bietet von Haus aus die Möglichkeit die Konfiguration zu sichern. Dabei wird bei jeder Konfigurationsänderung eine Version des Backups angelegt, sodass man stets auf den Stand vor den letzten Änderungen zurückgehen kann. Die Konfiguration kann auch manuell gesichert werden oder automatisch an z.B. Google Drive, in beiden Fällen hat man die Möglichkeit die gesamte Konfiguration oder auch nur einzelne Abschnitte (z.B. Firewallregeln oder VPN Einstellungen) wiederherzustellen.
Durch die Sicherung der Konfiguration werden allerdings nicht etwaige installierte Plugins wiederhergestellt, diese müssen zuvor manuell installiert werden, dann wird (in den meisten Fällen) auch die Konfiguration wiederhergestellt.
Details dazu findet ihr hier: OPNsense - Backup Konfiguration.
Damit eine Wiederherstellung samt Plugins schnell erledigt ist muss also eine andere Methode herhalten. Hierzu erstelle ich mir regelmäßig immer vor den „großen“ Halbjahresupdates ein Image des Datenträgers mittels CloneZilla, welches ich direkt auf meinem NAS ablegen lasse und das ich auch direkt von hier wiederherstellen kann. In Kombination mit der Sicherung der Konfiguration kann die Firewall somit relativ zügig voll funktionsfähig mit der letzten Konfiguration aufgesetzt werden, lediglich die Versionen von OPNsense und den Plugins werden älter sein und müssen geupdated werden um wirklich auf den neuesten Stand zu kommen.
Eine ausführliche Anleitung dazu gibt es hier: OPNsense - Backup Datenträgerklon.
Spätestens seit OPNsense 22.1 kann man direkt bei der Installation auch ZFS als Dateisystem wählen, was einem weitere Möglichkeiten verschafft. Hier können Bootenvironments (BE) auf dem System selbst erstellt werden, sodass man -ähnlich wie bei Snapshots- jederzeit auf einen älteren Stand zurückkehren kann. Auch wenn dies nicht als vollwertiges Backup betrachtet werden kann, da ein BE ja im System selbst hinterlegt ist, eignet sich die Erstellung von BE insbesondere um sich vor Updateproblemen zu schützen. Vor jedem Update erstelle ich ein neues BE zu dem ich jederzeit zurückkehren kann, vorausgesetzt natürlich dass man in irgendeiner Weise noch Zugriff auf die Konsole hat, sei es via SSH oder direkt mit Bildschirm und Tastatur.
Wie das geht habe ich hier beschrieben: OPNsense - Backup Boot-Environment unter ZFS.
[EPILOG]
Irgendwas passiert ja immer, da tut es schon gut, wenn man so viele Möglichkeiten des Backups hat, die hoffentlich dafür sorgen, dass man schnell wieder produktiv werden kann. Ich habe für den Fall separate, baugleiche Hardware bereitstehen, die ich gelegentlich zum Testen verwende. Die Wiederherstellung auf diesem Gerät habe ich bereits mehrfach erprobt und ich kann nur sagen, dass dies wirklich schnell geht. Einziger Dorn der mir noch im Auge ist, ist die Tatsache dass die erstellten Images immer etwa ein halbes Jahr alt sind und somit zumindest die Einstellungen von z.B. dem AdGuardHome Plugin auch immer ein halbes Jahr alt sind, da diese nicht im Konfigurationsbackup vorhanden sind. Für dieses „Gap“ muss ich mir noch eine passende Lösung einfallen lassen, hier schwebt mir eine automatische Sicherung der AdGuard Konfigurationsdatei vor, mal sehen wie ich das komfortabel umsetzen kann. Ein vollumfängliches Backup für jeden erdenklichen Fall habe ich zum jetzigen Zeitpunkt also nicht, aber ich kann schon recht zufrieden sein denke ich.
---
Vielen Dank an den User tiermutter für diese Anleitung!