OPNsense Forum
International Forums => German - Deutsch => Topic started by: Nephiria on July 12, 2020, 07:28:20 pm
-
Hallo zusammen,
ich suche für die Opensense eine Möglichkeit das ich meine Config regelmässig auf einem "cifs-share" ablegen kann.
Leider habe ich nur die Funktion gefunden es über Nexcloud oder Google Drive abzulegen.
Weis jemand ob es für diesen Verwendungszweck auch ein Plugin gibt?
Oder muss mir selbst ein Script auf der Konsole schreiben?
Danke für die Info.
Viele Grüsse
-
Es gibt kein CIFS plugin. Ich denke dafür brauchst du SAMBA und das kannst du ggf. aus den Ports bauen.
PS: was ist falsch mit den bestehenden Möglichkeiten? Nextcloud kannst du dir ohne viel Aufwand als Docker Container deployen?
-
> PS: was ist falsch mit den bestehenden Möglichkeiten? Nextcloud kannst du dir ohne viel Aufwand als Docker Container deployen?
Vielleicht darf ich da was zu sagen: Was ist falsch? Nichts. Die vorhandenen Möglichkeiten sind ja schön. Google Drive scheidet für einige aus Privacy Sicht aus. Nextcloud hat nicht jeder. Und nen Docker Container mit einem Komplexen Konstrukt wie Nextcloud einfach so hochziehen nur um ein Backup zu haben von einem XML File ist eben vielfach mehrfacher Overkill.
Datenablage per CIFS finde ich jetzt persönlich auch nicht soo prickeln unbedingt (weil das zig Samba etc. Dependencies auf der Firewall heißt die eigentlich unnötig sind), aber ein bspw. einfacher und simpler Weg in der UI direkt ein zyklisches Backup via Bordmitteln z.B. mit SFTP - oder noch schöner mit GIT (was eh installiert ist) - wäre eben für ganz viele Einsatzzwecke die einfachere/schönere Variante. Momentan machen wir das bei einigen Kunden genau so. Selbstgebastelter Cron mit SFTP / SCP Command. Schöner wärs natürlich als Plugin oder im Core konfigurierbar, dass bspw. immer dann wenn auch intern eine config Kopie angelegt wird, das extern via SCP/SFTP auch rausgeschrieben wird. Oder eben per Git direkten Checkin in ein konfigurierbares Repo mit autopush auf Origin/Master, Kommentar und User dann wie in UI bei jedem Change. Dann hat man extern ein Repo mit Konfig in dem man den kompletten Audit Trail hat. Haben wir auch schon händisch gebaut. Leider fehlt für Umsetzung als Plugin momentan Zeit und Plan wie das am Besten mit Plugin/Package Methoden zu realisieren ist.
Sorry wenns ein wenig lang ist, aber passte gerade so gut :)
-
SFTP wäre sinnvoll, da stimme ich zu - versionierung ggf. auch. Für SFTP hat sogar mal wer versucht ein plugin zu schreiben aber das hat dann irgendwie nicht geklappt.
-
Hi,
ich stand auch vor deinem Problem, als ich von Ipfire umgestiegen bin.
Hab es hier aber nicht geschafft, die interne Backupfunktion zu nutzen.
Hatte jedoch aber sowieso eine Nextcloud, nach anfänglichen Schwierigkeiten funktioniert es super.
Nur leider löscht er nicht automatich nach X Backups... Das muss manuell erfolgen.
-
SFTP wäre sinnvoll, da stimme ich zu - versionierung ggf. auch. Für SFTP hat sogar mal wer versucht ein plugin zu schreiben aber das hat dann irgendwie nicht geklappt.
Irgendwie beruhigt mich das, dass es nicht nur mir so geht :D (außerdem - Zeitmangel) :)
-
Nur leider löscht er nicht automatich nach X Backups... Das muss manuell erfolgen.
Dasa macht bei uns ein cronjob welcher alle Daten komplett auf der Nextcloud nach 30 Tagen löscht. Wir benutzen wohlgesagt unsere NC auch nur als Transferserver und nicht als Datengrab.
-
Die Nextcloud kann das selber, das braucht OPNsense nicht zu tun. Dazu gibt es das file retention plugin das Dateien mit einem Flag automatisch nach x Tagen löscht und das Flag lässt sich auch automatisch hinzufügen mit den boardmitteln soweit ich weiß.
-
Hi,
Nextcloud und Google scheidet für mich aus weil ich mag es einfach nicht Daten nach außen zu tragen wenn nicht unbedingt sein muss.
Euren Einwand gegen CIFs kann ich nachvollziehen und wäre über eine SFTP Lösung auch dankbar.
Gibt es den solch eine Lösung bereits oder heist es hier warten bis jemand das Plugin dafür baut?
Viele Dank für die Antworten.
-
> Gibt es den solch eine Lösung bereits oder heist es hier warten bis jemand das Plugin dafür baut?
SFTP/SCP kannst du recht einfach mit Bordmitteln jetzt schon erreichen. Brauchst nur eine SSH-fähige Gegenstelle wo du die Konfig hinschiebst. Alles andere ist mit einem Cron schnell erledigt :)
-
Ok heist das Ihr das über ein Bash Script etc. gelöst habt gut dann werde ich das auch mal schreiben dachte nur es gäbe dafür vielleicht eine GUI Lösung.
Danke Dir.
-
> Ok heist das Ihr das über ein Bash Script etc. gelöst habt gut dann werde ich das auch mal schreiben dachte nur es gäbe dafür vielleicht eine GUI Lösung.
Es ist eigentlich ein Einzeiler in der Crontab, muss man nicht mal großartig zum Skript aufblasen ;)
scp /conf/config.xml <targetIP/DNS>:/<path>/<to>/<backupdir>/
außer man möchte noch gleich das aktuelle Datum fancy mit einfließen lassen, dann kann man das vorher noch skriptonisch zusammenbauen und einfach als Target-Filename nutzen (also bspw. config-20200720.xml).
Nachteil davon: wenn man das Ganze per Cron einfach nur als config.xml irgendwohin schiebt (bspw. täglich oder 2x/4x täglich o.ä.) dann müllt man sich das Zielverzeichnis zu und muss dort manuell was tun, um die Daten zu bereinigen. Kopiert man einfach nur config.xml ans Ziel kann man auch schlicht (auf einem Linux bspw.) ein Logrotate.d Skript hinwerfen, was dann automatisches Logrotate macht und damit ordentlich aufräumt und haushaltet ohne dass man was machen muss (außer noch was zu stricken um zu überprüfen, dass das Backup auch ordentlich lief).
Einzig "umständlich" ist, dass man in OPNsense keine custom Cronjobs definieren kann in der UI, sondern hier nur die vorausgewählten Punkte hat. Da fehlt mir immer noch ein "custom command" mit freiem Textfeld (und Warnung dahinter, but I know what I'm doing ;) )
-
Hi,
Nextcloud und Google scheidet für mich aus weil ich mag es einfach nicht Daten nach außen zu tragen wenn nicht unbedingt sein muss.
Mankönnte ja auch einfach eine interne NextCloud Instanz hosten ::)
-
ich habe gerade die dockerized Instance von NextCloud/x86 nicht am laufen, glaube mich aber zu erinnern, dass 512MB bis 1GB verbraucht werden - ohne die üblichen AddOns (allerdings mit postreSQL bei mir). Wenn man diese nicht gerade für den sonstigen Gebrauch (auch dank COVID-19 und Kid's Schul-Cloud) zu laufen hat, finde ich das Overkill.
Mit den custom CRON jobs ist natürlich schade zu lesen ...
-
Naja 1 GB RAM finde ich schon Overkill für ne Nextcloud mit dem Zweck die Config zu sichern...
Aber ich würde da eher an nen RasPi oder ähnliches denken der das macht...
Anderst herum gefragt.. Was sind heutzutage noch 1 GB RAM?
Vorallem Wenn die durch Virtualisierung "shared" genutzt wird...
Gesendet von meinem LG-H815 mit Tapatalk
-
Es geht doch nicht nur um "hier mal 1GB RAM" oder "da mal ein Docker oder sonstwas", sondern dass man - und da bin ich voll bei @Nephiria und @ole - nicht wegen jedem Kram gleich irgendwas komplett neu hochzieht und eine eigene Instanz von XY betreibt nur weil das eben gerade die einzig unterstützte Variante ist. Gerade eine Nextcloud mit all dem ganzen Krempel der installiert und betrieben wird oder werden kann finde ich einfach kompletten Overkill. Man will ggf. ein einziges File ordentlich sichern. Und dann um es schön zu machen vllt. noch eine Art Versionierung oder Logrotate. Und dann wollt ihr wirklich diskutieren, dass man sich dafür jetzt irgendwo intern einfach mal eben schnell ne Nextcloud hochzieht ;) Ganz ehrlich obwohl ichs problemlos könnte würde ichs nicht machen. Weil ich es nicht leiden kann dann irgendwo ein System zu haben, das ich aktuell halten, konfigurieren, einrichten, updaten muss nur um ein bisschen Backup zu machen. Und wenn ich ansonsten für nichts bspw. eine Nextcloud brauche ist das einfach quark. Da bin ich schon froh, dass meine Syno als NAS Gott sei Dank ja auf Linux läuft und damit einfach eben mal nen SSH Zugang bereitstellen kann. Aber wenn ich da an die Installation bei meinem Bruder oder meinen Eltern denke, da steht sonst nix. Und solls auch nicht, weil je weniger Gerätschaft umso weniger kann schief gehen. :)
Nur mal als Gedankengang :)
BTW wenn wir über nen Raspi reden - dann brauch ich auch keinen Kram wie ne Nextcloud mehr, dann hab ich mit dem Raspi eh meist ein Linux oder RaspiOS oder wasauchimmer und damit SSH Möglichkeit und ggf. logrotate. Das würde mir vollauf genügen. Auch wenn der "Storage" des Raspi jetzt auf SD Karte auch nicht so irre sicher ist ;)
-
In so einem Fall lädst das file zum Beispiel mit scp/SFTP/HTTPS regelmäßig mit nem cron job runter. Das geht problemlos mit einem SSH public key bzw API token.
-
Nur für die Sicherung von Configs finde ich auch Nextcloud für internen Zweck wie schon mehrfach erwähnt wurde einfach nur Overkill.
Da gibt es sicherlich bessere Lösungsansätze die man nutzen könnte.
Auch in meinen Fall geht es nicht darum ob die Maschine nun 1 oder 5 GB oder wie viel sie auch braucht.
Es geht mir auch um die Zweckmäßigkeit weil wenn ich eine solche Maschine aufsetzte müsste ich noch ein Backup anfertigen von der VM was wieder noch mehr Overhead produziert und noch mehr speicher verbraucht und dafür lohnt sich der Aufwand auf keinen Fall.
Ich würde mir nur wünschen in Zukunft vielleicht einen solchen Task über SFTP das man den vielleicht einfach direkt über Interface konfigurieren kann.
Siehe z.b das Attchment hier ist schön abgebildet wie man sowas machen könnte. Es stammt von meinem vCenter.
-
Hallo Nephiria,
Ein Gedanke hierzu:
Warum holst du dir die config.xml nicht von deinem Zielserver ?
Das hätte den Vorteil, dass die opnSense gar nicht verbogen werden muss.
(winscp z.B. kann gescriptet werden)
Für etwas größere Umgebungen: Kennt ihr Rancid ? (https://shrubbery.net/rancid/)
Das holt via ssh die configs aus den NW-Komponenten und versioniert diese auch gleich.
Hier müsste auch eine opnSense Script gebaut werden. Hab's so leider nicht am laufen sonst
könntest du es haben ;-)
Diese Funktionalität lässt sich aber auch unter Windows nachbauen.
Grüßle
-
Ich hab bei mir das Plugin "os-api-backup" aktiviert und ein Cron-Job (kleines Bash Script) läd einmal am Tag die Konfig und schreibt diese in ein git-Repo. Damit habe ich auch gleich eine Versionierung.
Für das Script hab ich einfach einen User angelegt, der nur das Recht hat, diesen Download aus zu führen.