Backup für Dummies gesucht

Started by cottec, August 25, 2025, 08:22:35 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 25, 2025, 08:22:35 PM
Nabend :)

Könnt ihr mir Tipps geben, wie ich meine Box am besten sicher?
Da ich sie ohne extra Festplatte nur im eMMC Speicher meines Protectli V1410 betreibe habe ich mich bei der Installation damals für UFS entschieden.

Mir schwebt ein (wöchtenliches?!) rsync script vor, das ich auf meinem Unraid Server laufen lasse, welches sich einfach alle relevanten Dateien (ggfls. mit eigenem User auf der OPNsense) pullt, so dass von der OPNsense kein Schreibzugriff auf meinen Server möglich ist und dass auch der Backup User auf der OPNsense nur lesen kann und so ein kein Sicherheitsrisiko darstellt.

Welche Orte müsste ich sichern, dass die erstellten config backups von OPNsense und die configs von z.B. Adguard sicher sind?
Hat ein nur lesender User die nötigen Rechte um wirklich alles zu kopieren?

Danke für eure Tipps/Einschätzungen
August 25, 2025, 08:51:24 PM #1 Last Edit: August 25, 2025, 09:02:21 PM by cottec
Ich meine ich habe keine anderen Plugins laufen...
Muss ich dann nur /usr/local/AdGuardHome/ sichern?


Unbound, Wireguard und sowas ist alles in dem config backup drin?
Oder lohnt es vielleicht noch irgendwelche Logs oder so zu sichern?

Wird das rclone config mitgesichert?



Das nutze ich bisher für ein Custom Command bei den Cronjobs, damit ich auf meinen kostenlosen Bitrix24 Speicher komme:

rclone mit webdav url konfiguriert

Dann das skript erstellt:
Code Select
#!/bin/sh
# OPNsense Config Backup nach Bitrix24 via rclone

BACKUPFILE="/conf/config.xml"
DEST="bitrix24:OPNsense-Backups/config-$(date +%F).xml"

# Upload mit rclone
/usr/local/bin/rclone --config /root/.config/rclone/rclone.conf copy /conf/config.xml bitrix24:OPNsense-Backups/config-$(date +%F).xml


Ich glaube das war die Lösung, wie man das ganze als Command bei den Cronjobs hinterlegt:
Code Select
Skript als ausführbaren ,,Service" anlegen:

vi /usr/local/etc/rc.d/rclone_backup


Inhalt:

#!/bin/sh
# PROVIDE: rclone_backup
# REQUIRE: LOGIN
# KEYWORD: shutdown

. /etc/rc.subr

name="rclone_backup"
rcvar="rclone_backup_enable"

command="/usr/local/etc/opnsense-rclone-backup.sh"
pidfile="/var/run/${name}.pid"

load_rc_config $name
: ${rclone_backup_enable:="NO"}

run_rc_command "$1"


Rechte setzen:

chmod +x /usr/local/etc/rc.d/rclone_backup


Service starten/stoppen:

Aktivieren:

sysrc rclone_backup_enable="YES"


Starten:

service rclone_backup start


Stoppen:

service rclone_backup stop


Jetzt könnte ich das Skript entsprechend erweitern, dass auch die anderen Orte gesichert werden und ich kann mir das gepackte Archiv auch auf Unraid ziehen.


Einverstanden so weit oder hab ich hier nen groben Schnitzer drin?


August 27, 2025, 02:42:38 PM #2
Quote from: cottec on August 25, 2025, 08:51:24 PMUnbound, Wireguard und sowas ist alles in dem config backup drin?
Ja.
Jedoch sind da sämtliche Plugin-Konfigurationen (bspw. Adguard) unter zusammengefasst und können somit nur gemeinsam wiederhergestellt werden, jedenfalls soweit ich weiß.

Quote from: cottec on August 25, 2025, 08:51:24 PMOder lohnt es vielleicht noch irgendwelche Logs oder so zu sichern?
Das kommt drauf an, was dir die Logs wert sind.
Im geschäftlichen Umfeld müssen einige davon gesichert werden.

Quote from: cottec on August 25, 2025, 08:51:24 PMrclone mit webdav url konfiguriert
Und rclone hast du auf OPNsense installiert?
Du könntest es auch auf dem Server ausführen und OPNsense ebenfalls als Remote einrichten.
Auch könntest du die das Konfig-File mit scp bzw. mit ssh temporär auf den Server sichern und von da in die Cloud.

OPNsense hat auch Cloud-Backup bereits integriert. Weitere lassen sich meines Wissens mittels Plugins hinzufügen.
Ich nutze seit kurzem das Nextcloud Backup mit Verschlüsselung. Funktioniert bisher tadellos.
October 13, 2025, 01:00:47 PM #3
sorry, hab deine antwort total übersehen...


Quote from: viragomann on August 27, 2025, 02:42:38 PMJa.
Jedoch sind da sämtliche Plugin-Konfigurationen (bspw. Adguard) unter zusammengefasst und können somit nur gemeinsam wiederhergestellt werden, jedenfalls soweit ich weiß.
das ist nicht schlimm, will nur gegen Ausfall des eMMC Speichers oder der ganzen Protecli Box sichern.

Wenn die Interfaces gleich gemappt sind, dann kann ich ja theoretisch sogar auf anderer hardware wiederherstellen, oder?

Quote from: viragomann on August 27, 2025, 02:42:38 PMDas kommt drauf an, was dir die Logs wert sind.
Im geschäftlichen Umfeld müssen einige davon gesichert werden
Ist nur privat und ich hab jetzt nichts was ich vermissen würde, aber vielleicht gibts ja noch allgemeine system logs oder so, die vielleicht zeigen was da passiert ist beim Ausfall


Quote from: viragomann on August 27, 2025, 02:42:38 PMUnd rclone hast du auf OPNsense installiert?
jo, ist auch nur für den testweise upload in irgendeine cloud gewesen.
wenn ichs auf meinem server habe ist das mit der cloud ja auch eher unnötig (ich hab noch ein separates remote backup woanders hin)

Quote from: viragomann on August 27, 2025, 02:42:38 PMDu könntest es auch auf dem Server ausführen und OPNsense ebenfalls als Remote einrichten.
Auch könntest du die das Konfig-File mit scp bzw. mit ssh temporär auf den Server sichern und von da in die Cloud.
Ja so der plan, ich wollte nur wissen, welche Dateipfade ich noch mit in das Backup schmeißen muss und ob ich die Daten alle mit nem leseneden User kriege oder ob mir da irgendwelche geschützten Systemdatein reingrätschen.


Quote from: viragomann on August 27, 2025, 02:42:38 PMOPNsense hat auch Cloud-Backup bereits integriert. Weitere lassen sich meines Wissens mittels Plugins hinzufügen.
Ich nutze seit kurzem das Nextcloud Backup mit Verschlüsselung. Funktioniert bisher tadellos.

Genau das tu ich ja aktuell, nur halt auf ein custom ziel, das nicht per default schon vorkonfiguriert ist --> webdav

October 13, 2025, 05:41:57 PM #4
Quote from: cottec on October 13, 2025, 01:00:47 PMWenn die Interfaces gleich gemappt sind, dann kann ich ja theoretisch sogar auf anderer hardware wiederherstellen, oder?
Ja.
Falls man eine Konfig mit anderer Netzwerk-Hardware wiederherstellt, erfragt OPNsense auch die neu Zuordnung.
Andernfalls sollte man auch die Adapterzuweisung auch in der GUI machen können, wenn man reinkommt. Eine andere Möglichkeit ist die config.xml (Backup) entsprechend anzupassen, bevor sie importiert wird.

Quote from: cottec on October 13, 2025, 01:00:47 PMaber vielleicht gibts ja noch allgemeine system logs oder so, die vielleicht zeigen was da passiert ist beim Ausfall
Fürs Wiederherstellen sind die Logs nicht erforderlich, lediglich fürs Troubleshooting.
Das Wesentliche steht im System Log. Du kannst ja mal einen Blick in /var/log machen, was es alles gibt.

Quote from: cottec on October 13, 2025, 01:00:47 PMich wollte nur wissen, welche Dateipfade ich noch mit in das Backup schmeißen muss und ob ich die Daten alle mit nem leseneden User kriege oder ob mir da irgendwelche geschützten Systemdatein reingrätschen.
Ich denke nicht, dass man irgendeinem User Lesezugriff auf die Konfig geben kann. Die enthält viele Details, die nur für root bestimmt sind.
Auch viele Log-Files sind ausschließlich für root lesbar.

Die SSH-Authentifizierung sollte via Key erfolgen. Den kann man entsprechend schützen via Passwort oder Zugriffsbeschränkung.
Print
Go Up Pages1
User actions