--- 以下 CopilotとGeminiのコメントを合体・編集 --->
OPNsenseの原状復帰に関して、OPNsense自身のイ
その代わり、OPNsenseでは 設定バックアップ (
config.xml) を保存し、再インストール後に復元する のが正式な運用です。 [docs.opnsense.org]VPS上の個人利用なら、
- 更新前に設定バックアップ取得
- OPNsense更新
- 問題発生時はVPSプロバイダのコンソール利用
- 最悪はOPNsense再インストール
- 保存しておいた
config.xmlを復元
という手順になります。
更新前に最低限やっておくと安心
GUIから
System → Configuration → Backups
で設定ファイルをダウンロード。
※ 通常は以下の場所に保存されています。
/conf/config.xml
数MB程度の1ファイルに
Firewall Rules, NAT, OpenVPN, WireGuard, Unbound DNS, DHCP, VLAN, Gateway, Routing
などほぼ全ての設定が入っています。
過去世代は次のように保存されています。
/conf/backup/config- 1748500000.xml
/conf/backup/config- 1748600000.xml
貴方の現在の用途なら
①config.xml バックアップ ②VPSスナップショットの2つを取ってから更新が実用的です。
1人利用のVPNサーバなら、これだけでかなり安心して OpenVPN のセキュリティアップデートを追いかけられると思います。
私が前回書いた
「カスタム証明書ファイルは config.xml に含まれない場合がある」
は、OPNsense標準機能だけを使っている場合には、
実は OPNsenseのCA・証明書・秘密鍵の多くは config.xml に格納されています。
OpenVPNの場合
例えば
System → Trust → Authorities → Certificates
で管理している
- CA証明書
- サーバ証明書
- クライアント証明書
- 対応する秘密鍵
は、通常は config.xml に保存されます。
したがって、
<ca>
...
</ca>
<cert>
...
</cert>
といった形でバックアップされます。
このため、
- config.xml保存
- 同じ版数のOPNsense再インストール
- config.xml復元
でOpenVPNが再開するケースは非常に多いです。
WireGuardの場合
WireGuardの
- サーバ秘密鍵
- サーバ公開鍵
- Peer設定
も通常は設定データとして保存されています。
したがって、
VPN → WireGuard
で作成した設定も、通常は config.xml 復元対象です。
私がより心配するもの
実は証明書よりも、
プラグイン
例えば
os-wireguard os-ddclient os-acme-client os-crowdsec
などです。
config.xmlは復元されても、
プラグインが未インストールだと設定を活用できません。
ACME証明書
Let's Encryptを使う場合、
- ACMEプラグイン設定
- 発行済み証明書
は復元できることが多いですが、
再発行した方が早いケースもあります。
手作業で配置したファイル
例えばSSHで
/usr/local/etc/
などに
- 独自スクリプト
- 独自証明書
- 独自鍵
を置いた場合、
config.xmlとは別管理です。
これは別途バックアップが必要です。
貴方の「漏れなく救出できるか」という観点
SSHで確認できます。
例えば
grep -i "<private>" /conf/config.xml
や
や
grep -i "<cert>" /conf/config.xml
を実行すると、
を実行すると、
Base64文字列が大量に見えるはずです。
それが証明書や鍵です。
実務的なおすすめ
VPS更新前なら私は次の3点を取ります。
① config.xml
cp /conf/config.xml /root/config.xml.backup
② プラグイン一覧
pkg info > /root/pkg-info.txt
③ VPSスナップショット
VPS業者機能
この3つがあれば、
- OpenVPN証明書
- WireGuard鍵
- Firewallルール
- NAT
- DNS
- DHCP
まで含めて、かなり高い確率で元に戻せます。
むしろ貴方のシナリオで最大のリスクは、
「config.xmlを取らずに再インストールすること」 ではなく、「 新しいOPNsenseでプラグイン構成を忘れること」
だと思います。
ですので、今のうちに一度SSHで
pkg info
を実行し、結果を保存しておくと安心です。 これは昔のSolarisでいう「 インストール済みパッケージ一覧の退避」に相当します。
No comments:
Post a Comment