Opnsense Datenträger Backup / Clone

[phneutral]

Hallo,

Ich möchte von meiner OPNsense am liebsten vollautomatisierte Datenträger Backups machen um sicher zu stellen das bei einer Wiederherstellung auch Addons, die nicht aus der OPNsense repo stammen, wie z.b. Adguard, inkl. vollständiger Konfiguration wiederhergestellt werden.

Ich habe dazu einen Beitrag entdeckt, bei dem das ganze mit CloneZilla umgesetzt wird. Hier mal ein kurzer Ausschnitt aus dem
Beitrag:

Das Klonen eines Datenträgers hat natürlich nichts mit der OPNsense an sich zu tun und eignet sich grundsätzlich für eine ,,Bare-Metal-Sicherung" die ich auch immer wieder an anderen Systemen durchführe. Entweder klone ich direkt auf einen anderen Datenträger, oder wie im Fall meiner OPNsense, in ein Image auf das NAS. Selbstredend führt dies eine gewisse Downtime der Firewall mit sich, da das System für die Sicherung heruntergefahren werden muss und anschließend vom USB Stick in (in meinem Fall) CloneZilla gebootet werden kann.

Dort wird beschrieben das das System dafür herunter gefahren werden muss. So eine Downtime ist eigentlich inakzeptabel.
Das einzige Programm mit dem ich bisher Backups gemacht habe ist Macrium Reflect Home. Dies benutze ich für meine 2 Windows Systeme. Dort wird ein Full-Backup während des Betriebes im Hintergrund erstellt und die Wiederherstellung inkl. aller Partitionen funktioniert reibungslos.
So etwas muss es doch eigentlich auch geben um ein Datenträger Backup zu machen ohne OPNsense in einer VM auf Proxmox laufen zu lassen.

Weiß jemand mehr über dieses Thema?

Danke schon mal für eure Antworten!


Gruß Ph

[heiligst]

Änderst du regelmäßig so viel an deiner Firewall - abgesehen von den Updates?

CloneZilla funktioniert ohne Probleme.

Einfach periodisch (z.B. jedes halbes Jahr) runterfahren; Datenträger via CloneZilla auf einen Reservedatenträger klonen - fertig, oder ein "Image" erstellen und dieses ablegen/sichern.

[Patrick M. Hausen]

ZFS snapshots und send/receive?

Zettarepl z.B. sollte man installieren können. https://github.com/truenas/zettarepl

Mir persönlich reicht es, dass die Konfiguration täglich in die Nextcloud gesichert wird.

[Tuxtom007]

Mir persönlich reicht es, das die Konfiguration täglich in die Nextcloud gesichert wird.

Genaus mache ich es auch, Konfig wird automatisch auf die NAS gesichert und in der Schublade liegt ein USB-Stick mit dem aktuelle Image für eine evtl. Neuinstallation

[tiermutter]

Ich sichere die config täglich nach google drive, wollte ich schon lange abschaffen, vielleicht mache ich das jetzt mal...
Ansonsten lokale Snapshots vor jedem minor Update und aufs NAS exportierte Snapshots vor jedem Major Update. Früher hatte ich vor jedem Major Update auch mit Clonezilla als Image aufs NAS geklont, aber seit ZFS und Patricks guter Anleitung zu 'bectl' (lokal) verbunden mit 'bemanager' hat sich der Aufwand erübrigt  :)

Mit 'cron' und 'bemanager' allein könnten vollautomatische images auf ein Storage also durchaus geschrieben werden... Dieses 'zettarepl' würde ich (ich) mir aber auch mal genauer anschauen...

[heiligst]

Konfig auf Nextcloud mache ich auch; boot environments mache ich auch – beides hilft halt nicht, wenn der Datenträger ,,eingeht", bzw. werden gewisse ,,Dinge" (z.B. AdguardHome) mit der Konfig auch nicht gesichert – oder hat sich das in der Zwischenzeit mal geändert?

[Patrick M. Hausen]

Konfig auf Nextcloud mache ich auch; boot environments mache ich auch – beides hilft halt nicht, wenn der Datenträger ,,eingeht", bzw. werden gewisse ,,Dinge" (z.B. AdguardHome) mit der Konfig auch nicht gesichert – oder hat sich das in der Zwischenzeit mal geändert?

Nein. Offizielle Plugins werden mitgesichert, Community-Plugins nicht. Ich hab in der Richtung nur AGH am Start, das ist schnell wieder aufgesetzt. Ansonsten: /usr/local/AdGuardHome wegsichern ...

[Tuxtom007]

Konfig auf Nextcloud mache ich auch; boot environments mache ich auch – beides hilft halt nicht, wenn der Datenträger ,,eingeht", bzw. werden gewisse ,,Dinge" (z.B. AdguardHome) mit der Konfig auch nicht gesichert – oder hat sich das in der Zwischenzeit mal geändert?

Ich sicher mir einmal wöchentlich das Verzeichniss "/usr/local/AdGuardHome" als TAR-File in ein anderes Verzeichniss und nachts wird es auf die NAS geschoben.

Aufgesetzt ist AdGuard-Home zwar schnell, nervigt ist es aber die ganzen Filterliste wieder einzutragen, weil es keine vernüftige Importfunktion dafür gibt ( zumindest kenne ich keine )

Von einer "Außer-Haus-Sicherung" sehe ich bei der OPNSense komplett ab - was mache ich den, wenn meine OPNSense kaputt ist - die SSD z.b was ich schon hatte ? Dann funktioniert Internet nicht mehr und ich komme auch nicht an die Backups bei Google und Co ran - daher erst mal lokal.

[Patrick M. Hausen]

Von einer "Außer-Haus-Sicherung" sehe ich bei der OPNSense komplett ab - was mache ich den, wenn meine OPNSense kaputt ist - die SSD z.b was ich schon hatte ? Dann funktioniert Internet nicht mehr und ich komme auch nicht an die Backups bei Google und Co ran - daher erst mal lokal.

Ich sichere in meine private bzw. @work in meine Firmen-Nextcloud und synchronisiere diese Ordner mit dem Nextcloud-Client auf meinem Macbook. So habe ich die Konfiguration immer aktuell vorliegen, ohne daran denken zu müssen.

Ja, die Macbook-SSD ist verschlüsselt. Firmenrichtlinie ;)