--- 以下 CopilotとGeminiのコメントを合体・編集 --->
OPNsenseの原状復帰に関して、OPNsense自身のインストーラに「既存設定を自動検出して引き継ぐ」機能は、通常期待しない方がよいです。
VPS上の個人利用なら、
更新前に設定バックアップ取得
OPNsense更新
問題発生時はVPSプロバイダのコンソール利用
最悪はOPNsense再インストール
保存しておいた config.xml を復元
という手順になります。
更新前に最低限やっておくと安心
GUIから
System
→ Configuration
→ Backups
で設定ファイルをダウンロード。
※ 通常は以下の場所に保存されています。
/conf/config.xml
数MB程度の1ファイルに
Firewall Rules, NAT, OpenVPN, WireGuard, Unbound DNS, DHCP, VLAN, Gateway, Routing
などほぼ全ての設定が入っています。
過去世代は次のように保存されています。
/conf/backup/config-1748500000.xml
/conf/backup/config-1748600000.xml
貴方の現在の用途なら
①config.xml バックアップ ②VPSスナップショット
の2つを取ってから更新が実用的です。1人利用のVPNサーバなら、これだけでかなり安心して OpenVPN のセキュリティアップデートを追いかけられると思います。
私が前回書いた
「カスタム証明書ファイルは config.xml に含まれない場合がある」
は、OPNsense標準機能だけを使っている場合には、やや慎重すぎる表現でした。
実は OPNsenseのCA・証明書・秘密鍵の多くは config.xml に格納されています。
OpenVPNの場合
例えば
System
→ Trust
→ Authorities
→ Certificates
で管理している
CA証明書
サーバ証明書
クライアント証明書
対応する秘密鍵
は、通常は config.xml に保存されます。
したがって、
<ca>
...
</ca>
<cert>
...
</cert>
といった形でバックアップされます。
このため、
config.xml保存
同じ版数のOPNsense再インストール
config.xml復元
でOpenVPNが再開するケースは非常に多いです。
WireGuardの場合
WireGuardの
も通常は設定データとして保存されています。
したがって、
VPN
→ WireGuard
で作成した設定も、通常は config.xml 復元対象です。
私がより心配するもの
実は証明書よりも、
プラグイン
例えば
os-wireguard
os-ddclient
os-acme-client
os-crowdsec
などです。
config.xmlは復元されても、
プラグインが未インストールだと設定を活用できません。
ACME証明書
Let's Encryptを使う場合、
は復元できることが多いですが、
再発行した方が早いケースもあります。
手作業で配置したファイル
例えばSSHで
/usr/local/etc/
などに
を置いた場合、
config.xmlとは別管理です。
これは別途バックアップが必要です。
貴方の「漏れなく救出できるか」という観点
SSHで確認できます。
例えば
grep -i "<private>" /conf/config.xml
や
grep -i "<cert>" /conf/config.xml
を実行すると、
Base64文字列が大量に見えるはずです。
それが証明書や鍵です。
実務的なおすすめ
VPS更新前なら私は次の3点を取ります。
① config.xml
cp /conf/config.xml /root/config.xml.backup
pkg info > /root/pkg-info.txt
この3つがあれば、
OpenVPN証明書
WireGuard鍵
Firewallルール
NAT
DNS
DHCP
まで含めて、かなり高い確率で元に戻せます。
むしろ貴方のシナリオで最大のリスクは、
「config.xmlを取らずに再インストールすること」ではなく、「新しいOPNsenseでプラグイン構成を忘れること」
だと思います。
ですので、今のうちに一度SSHで
pkg info
を実行し、結果を保存しておくと安心です。これは昔のSolarisでいう「インストール済みパッケージ一覧の退避」に相当します。