Snapshot testweise aktivieren

[Anderer]

Hallo zusammen,

nach dem Update der externen IP, konnte ich zwar ein neues LE Zertifikat ausstellen, aber der (dazu neu angelegte) Token wurde lt. deSEC angeblich NIE benutzt und ich komme von extern nicht mehr auf *.SUBDOMAIN.dedyn.io. Gestern, vor meiner Nextcloudinstallatioin funktionierte das von intern und extern problemlos und das Zertifikat hatte A+.

Jetzt würde ich gerne auf den Stand von gestern zurückgehen, aber ich verstehe die angezeigte Größe nicht. Die Doku und im Forum habe ich dazu bereits gelesen, aber es trotzdem nicht verstanden. Sorry!

System: Snapshots

Code Select Expand

Name Aktiv Einh. Größe Erstellt
202509240733-default - - 1.82G 2025-09-24 07:33
20250924221958-FW-Rule-Global-Internet-funktioniert - - 720K 2025-09-24 22:20
20251004120232-Ping-nur-mit-floating-Rule - - 7.22M 2025-10-04 12:03
20251005154515-Ping-nur-mit-floating-Rule-vor-Reset - - 2.20M 2025-10-05 15:45
20251005191526-CLEAN-25.7.4-DHCP-192.168.50.0 - - 8K 2025-10-05 19:16
Default NR / 2.17G 2025-10-05 19:18
202510052015-default - - 3.84M 2025-10-05 20:18
20251006103613-CLEAN-DHCP-PING-DNS-LE-Certificate - - 2.67M 2025-10-06 10:36
20251007164857-nach-NC-Installation-messed-up - - 8K 2025-10-07 16:49
Ich habe verstanden:

• "Default" ist Aktiv N=Now und nach R=Restart
• Einhängepunkt = Mountpoint: / (Stammverzeichnis bzw. oberstes Verzeichnis des gesamten Dateisystems)
• K=Kilobyte, M=Megabyte, G=Gigabyte
• Snapshots sind inkrementell ab dem 1. Snapshot

Nicht verstanden habe ich, die Größe:

• 8K für den ganz aktuellen Snapshot (OK, ziemlich klein, macht Sinn, da wenig Veränderung seit "Clean...").
• 2.6M bzw. 3.84M gestern / vorgestern Abend, als alles lief (auch noch OK, etwas größer = mehr Veränderungen seit dem)
• 2.17G auch vorgestern Abend (völlig unklar, 19:18 und 20:20 sollten eigentlich fast gleich sein, da hat sich quasi nichts verändert)
• 8K "CLEAN" Vorgestern Abend (damit gäbe es quasi keine Veränderungen zum ganz frisch installierten System)

FRAGEN:

• Was sagen diese Größen der Snapshots aus?
• Wenn ich (vor "CLEAN...") auf Werkseinstellungen zurückgesetzt und dann den "Default" Snapshot erstellt habe, könnte ich dann überhaupt noch auf die älteren Snapshots zurück oder sind diese sowieso verloren?
• Kann ich jetzt auf "CLEAN..." und danach wieder auf a) "Default" oder auch b) "nach-NC-Installation..."

Dankeschön

[Anderer]

Die Fragen waren wohl berechtigt. Falls jemand Hinweise hat, wäre ich dankbar.

Ich habe nun auf "CLEAN..." zurückgesetzt und weiß 100% dass HAProxy konfiguriert war, dass dnyDNS von extern und von intern funktionierte, dass der Port von OPNsense geändert wurde und dass ein LE Zertifikat mit A+ erstellt wurde. Das HAProxy Tutorial war komplett durchgearbeitet und alles funktionierte. Definitiv.

Jetzt ist HAProxy deaktiviert und es gibt keine einzige Einstellung, weder Server, noch Backends, Condition, Rule, Map File etc. und OPNsense hat wieder den Standard-Port. Seltsamerweise gibt es im ACME Client jedoch ein LE Zertifikat auf die dynDNS, welches mit OK angezeigt wird und auch die DNS-01 Challenge ist da. Ich vermute, dass sich das Zertifikat nicht ohne Weiteres aktualisieren lässt, da sich der Token geändert hat. DynDNS funktioniert weder von intern noch von extern. Auch die Overrides aus Part 6 sind verschwunden.

System: Snapshots

Code Select Expand

Name Aktiv Einh. Größe Erstellt
202509240733-default - - 1.82G 2025-09-24 07:33
20250924221958-FW-Rule-Global-Internet-funktioniert - - 720K 2025-09-24 22:20
20251004120232-Ping-nur-mit-floating-Rule - - 7.22M 2025-10-04 12:03
20251005154515-Ping-nur-mit-floating-Rule-vor-Reset - - 2.20M 2025-10-05 15:45
20251005191526-CLEAN-25.7.4-DHCP-192.168.50.0 - - 8K 2025-10-05 19:16
Default - - 16.6M 2025-10-05 19:18
202510052015-default - - 3.84M 2025-10-05 20:18
20251006103613-CLEAN-DHCP-PING-DNS-LE-Certificate NR / 2.16G 2025-10-06 10:36
20251007164857-nach-NC-Installation-messed-up - - 2.56M 2025-10-07 16:49
Ich werde jetzt versuchen, zum Snapshot "nach-NC..." zurückzugehen, befürchte jedoch, dass auch das nicht klappen wird. Andernfalls probiere ich zurück zu "Clean-25.7.4..." oder muss nochmals alles auf Werkseinstellungen zurücksetzen. Für die Sicherung nach Einrichtung des HAProxy hat der Snapshot jedenfalls nicht funktioniert.

[Anderer]

Ich habe nun auch versucht, verschiedene Backup über die xml-Dateien einzuspielen, aber nichts hat funktioniert.

Obwohl ich mit Backup und Snapshot - mehrfach - nach Neuinstallation und im Einrichtungsverlauf gesichert hatte, komme ich auf keinen sinnvollen Stand zurück. Meistens fehlen die kompletten Einstellungen von HAProxy oder es fehlen komplett alle Einstellungen. Es ist nur möglich, auf den letzten Stand von heute Abend zurückzukommen, aber damit funktioniert weder das LE Zertifikat noch dynDNS von extern - weshalb auch immer.

Also werde ich jetzt nochmals ein Werksreset machen und alles neu einstellen. Das ist nicht ganz sooo schlimm, da außer HAProxy noch nichts installiert war. Trotzdem, für die Zukunft:

Hat jemand Erfahrungen mit Backup UND AUCH Rollback?

• Was muss ich denn beim nächsten Mal bitte machen, wenn ich einen Zustand habe, den ich (für "immer") *sicher* sichern möchte - auch wenn z. B. die SSD nach einigen Monaten kaputt gehen sollte oder ein Update fehlschlägt oder Einstellungen für einen neuen Service (Wireguard etc.) alles zerschießen sollten o. ä.

Ich würde gerne das nächste Mal sicherstellen, dass ich immer wieder auf den Stand zurück kann, wenn IPs eingestellt sind, Reverse Proxy und LE Zertifikat funktionieren usw. Dankeschön :-)

[Monviech (Cedrik)]

Das beste Tool um einen Zustand zu sichern (auch auf externe festplatte zum ablegen) und ihn 1:1 wiederherstellen zu können ist dd. Damit kann man einen Klon der Festplatte anlegen und wiederherstellen. Man kann auch scp + gzip + dd verbinden um ein backup remote zu übertragen :)

https://man.freebsd.org/cgi/man.cgi?query=dd&manpath=FreeBSD+5.3-RELEASE+and+Ports

Ansonsten reicht die config.xml die man in Backups runterladen kann. Die auf einem neuen System einzuspielen sollte alle einstellungen wiederherstellen nachdem man die plugins nachinstalliert hat.

Snapshots sind auch gut, aber wenn man zurück geht darf man halt nicht vergessen die config.xml vorher zu sichern wenn man schon Änderungen gemacht hat die man in der Vergangenheit nicht hat.

Ich persönlich benutze nur die config.xml. Nach einer neuinstallation ist alles sauber da. Snapshots sind nur für kurze Zeiträume geeignet. (rollback nach update oder change)

[Patrick M. Hausen]

Snapshots stellen die Software-Version wieder her und man macht sie am besten vor jedem Update.

Konfigurations-Backups stellen die Konfiguration wieder her.

[viragomann]

Und weil wir hier gerade bei Nextcloud sind, seit einiger Zeit habe ich das Nextcloud Backup (Plugin) eingerichtet. Damit macht OPNsense nach jeder Konfigurationsänderung ein Backup der Konfig auf die Nextcloud. So habe ich immer ein Backup auch außerhalb der OPNsense, mit dem ich ggf. auch eine Neuinstallation wieder herstellen könnte.

Ein wöchentliches Backup via ssh habe ich zudem, seit ich OPNsense produktiv verwende.

[Anderer]

Ich persönlich benutze nur die config.xml. Nach einer neuinstallation ist alles sauber da.

OK, ich habe OPNsense auf Werkseinstellungen zurückgesetzt und die IP wieder geändert. Die 3 Plugins für HAProxy sind installiert.

Jetzt habe ich folgendes Backup:
config-OPNsense.internal-20251006131220-CLEAN-DHCP-PING-dynDNS-LE-Certificate-A+.xml

Was muss ich bitte einstellen, wenn ich genau den Zusand zum Zeitpunkt der Sicherung wiederherstellen möchte?

• Reboot after a successful reestore: Yes
• Exclude console settings from import Y/N ?
• Flush /full) local configuration histor: Y/N ?

Ich habe dazu auch den (eigentlich) passenden Snapshot, habe aber den Unterschied noch nicht verstanden.

Fakt ist, das gestern abend LE Zertifikat A+ sowie dynDNS von extern und intern funktionierten und jetzt geht nichts mehr - selbst Ping für dynDNS geht nicht.

[Anderer]

Snapshots stellen die Software-Version wieder her und man macht sie am besten vor jedem Update.

ich habe schon danach gesucht, aber ich verstehe den Unterschied nicht.

• System: Configuration: Backups: Backup Count: habe ich jetzt auf 1000 gesetzt, da 20 nur 2 Stunden (zu wenig) waren..
  => Das kann ich wohl in "History" vergleichen und wiederherstellen.
  => Hat bei mir nicht funktioniert, da ich nicht bis gestern zurückkam.
  
• System: Configuration: Backups: Download
  => Hier habe ich nach jedem guten Stand ein Download gemacht und "Do not backup RRD data" deaktiviert.
  
• System: Configuration: Backups: Restore
  => Hier habe ich die .xml Dateien hochgeladen, aber die beiden mittleren Optionen verstehe ich nicht und finde keine Erklärung:
  - Exclude console settings from import Y/N ?
  - Flush (full) local configuration history: Y/N ?

Hauptfrage:

• System: Configuration: Wizard
  => Was enthalten die Snapshots, wenn die Konfiguration (nur) separat gesichert wird?

Wie ich es auch probiert habe, konnte ich den Stand von gestern Abend - trotz mehrer Snapshots und xml-Sicherungen - bisher nicht wiederherstellen.

[Anderer]

Und weil wir hier gerade bei Nextcloud sind, seit einiger Zeit habe ich das Nextcloud Backup (Plugin) eingerichtet. Damit macht OPNsense nach jeder Konfigurationsänderung ein Backup der Konfig auf die Nextcloud. So habe ich immer ein Backup auch außerhalb der OPNsense, mit dem ich ggf. auch eine Neuinstallation wieder herstellen könnte.

DAS ist, was ich eigentlich möchte, wenn ich es dann mal schaffen würde, Nextcloud zu installieren.

[Patrick M. Hausen]

System: Configuration: Backups: Backup Count: habe ich jetzt auf 1000 gesetzt, da 20 nur 2 Stunden (zu wenig) waren..
=> Das kann ich wohl in "History" vergleichen und wiederherstellen.
=> Hat bei mir nicht funktioniert, da ich nicht bis gestern zurückkam.

Sorry, noch nie benutzt. Speichert aber wohl lokale Kopien der XML-Konfiguration.

System: Configuration: Backups: Download
=> Hier habe ich nach jedem guten Stand ein Download gemacht und "Do not backup RRD data" deaktiviert.

Das solltest du m.E. nach jedem erfolgreichen Schritt tun. Die kannst du wieder hochladen und damit einen Konfigurations-Stand komplett wiederherstellen. Die RRD-Daten würde ich dabei ausschließen, also den Haken drin lassen. Das sind die bunten Graphen, sonst nix.

System: Configuration: Backups: Restore
=> Hier habe ich die .xml Dateien hochgeladen, aber die beiden mittleren Optionen verstehe ich nicht und finde keine Erklärung:
- Exclude console settings from import Y/N ?
- Flush (full) local configuration history: Y/N ?

Wenn man das Backup auf eine andere Firewall einspielt, und die hat einen anderen Konsol-Typ, also z.B. VGA und die, von der das Backup kommt, seriell, dann kann man sagen "lass die Konsole wie sie ist".
Die zweite Option schmeißt die lokalen Konfigurations-Backups (siehe erste Frage) weg. Evtl. weil man eben ein Restore von einer Maschine auf eine andere macht und die Historie sowieso nicht mehr passt.

System: Configuration: Wizard
=> Was enthalten die Snapshots, wenn die Konfiguration (nur) separat gesichert wird?

Du meinst System > Snapshots? Die gesamte installierte Software. Also wenn du ein Update, z.B. morgen von 25.7.4 auf 25.7.5 machst, und das macht irgendwas kaputt, dann kannst du mit dem Snapshot auf 25.7.4 zurück rollen.

M.E. sollte dabei auch die Konfiguration auf den Stand zu dem Zeitpunkt als der Snapshot erstellt wurde, zurückgesetzt werden. Keine Ahnung, weshalb das bei dir nicht klappt.

Aber andererseits brauchst du nur das exportierte Konfigurations-Backup.

Und zu deiner Frage von der Größe der Snapshots: die ist immer die Differenz zum gerade aktiven System. Du machst einen Snapshot, dann hat der eine Größe von 0, weil du am System noch nichts geändert hast. Wenn du nun 100 MB "irgendwas" löschst, dann hat der Snapshot 100 MB Größe, weil die gelöschten Daten da noch drin sind.

Das sind ZFS-Clones in Form von FreeBSD Boot-Environments:

https://klarasystems.com/articles/managing-boot-environments/


Gruß, Patrick

[Anderer]

kann ich bitte noch einen Hinweis bekommen?

Ich habe jetzt die Konfiguration über das xml File hochgeladen und das scheint zu stimmen. Es sind ja die gleiche Version und Plugins, von daher sollte ich keinen Snapshot brauchen. Ich haber noch nicht verstanden, was im Snapshot enthalten ist - alleine hat er nicht ausgereicht.

Alles sieht in OPNsense - für mich - wieder gut aus, ABER

• dynDNS funktioniert weder intern noch extern
• ein Zertifikat konnte ausgestellt und installiert werden, ABER
  - Token wurde nicht benutzt
  - es gibt keinen A oder AAAA Record bei deSEC oder https://dnschecker.org
  - https://www.ssllabs.com/ssltest zeigt Unable to resolve domain name

Also ich denke, dass die Verbindung nach extern bzw. zu deSEC gestört ist.

• LAN = igc0, 192.168.50.1/24, IPv4 gateway rules: Disabled
• WAN = igc1

Wo müsste ich bitte nach Fehlern suchen, ohne nochmals alles von Werkseinstellungen neu zu installieren?

Falls das jemand relativ einfach sieht, wäre ich dankbar, nicht nochmals von vorne beginnen zu müssen. Merci

[viragomann]

dynDNS funktioniert weder intern noch extern

Hast du auch versucht, es manuell auszulösen?
Auch könntest du das Update von einem Host hinter der OPNsense mittels Browser testen.

Wo müsste ich bitte nach Fehlern suchen, ohne nochmals alles von Werkseinstellungen neu zu installieren?

Am besten in den Logs.

[Patrick M. Hausen]

Ich habe noch nicht verstanden, was im Snapshot enthalten ist.

Die gesamte aktuell installierte Software.

Du bist im Moment auf 25.7.4 nehme ich an. Du legst einen Snapshot an. Heute erscheint 25.7.5. Du spielst das Update ein und irgendwas geht kaputt. Wenn du den Snapshot wieder aktivierts, bist du wieder auf 25.7.4.