Jul 10, 2026

OPNsense バックアップ

 --- 以下 CopilotとGeminiのコメントを合体・編集 --->

OPNsenseの原状復帰に関して、OPNsense自身のインストーラに「既存設定を自動検出して引き継ぐ」機能は、通常期待しない方がよいです。

その代わり、OPNsenseでは 設定バックアップ (config.xml) を保存し、再インストール後に復元する のが正式な運用です。 [docs.opnsense.org]
VPS上の個人利用なら、
  1. 更新前に設定バックアップ取得
  2. OPNsense更新
  3. 問題発生時はVPSプロバイダのコンソール利用
  4. 最悪はOPNsense再インストール
  5. 保存しておいた config.xml を復元
という手順になります。

更新前に最低限やっておくと安心

GUIから
System  → Configuration      → Backups
で設定ファイルをダウンロード。
※ 通常は以下の場所に保存されています。
/conf/config.xml
数MB程度の1ファイルに
Firewall Rules, NAT, OpenVPN, WireGuard, Unbound DNS, DHCP, VLAN, Gateway, Routing
などほぼ全ての設定が入っています。

過去世代は次のように保存されています。
  /conf/backup/config-1748500000.xml
  /conf/backup/config-1748600000.xml


貴方の現在の用途なら


①config.xml
バックアップ  ②VPSスナップショット
の2つを取ってから更新が実用的です。
1人利用のVPNサーバなら、これだけでかなり安心して OpenVPN のセキュリティアップデートを追いかけられると思います。

私が前回書いた

「カスタム証明書ファイルは config.xml に含まれない場合がある」

は、OPNsense標準機能だけを使っている場合には、やや慎重すぎる表現でした。

実は OPNsenseのCA・証明書・秘密鍵の多くは config.xml に格納されています。

OpenVPNの場合

例えば
System → Trust   → Authorities   → Certificates
で管理している
  • CA証明書
  • サーバ証明書
  • クライアント証明書
  • 対応する秘密鍵
は、通常は config.xml に保存されます。
したがって、
<ca>
...
</ca>

<cert>
...
</cert>
といった形でバックアップされます。
このため、
  1. config.xml保存  
  2. 同じ版数のOPNsense再インストール  
  3. config.xml復元
でOpenVPNが再開するケースは非常に多いです。

WireGuardの場合

WireGuardの
  • サーバ秘密鍵  
  • サーバ公開鍵  
  • Peer設定
も通常は設定データとして保存されています。
したがって、
VPN → WireGuard
で作成した設定も、通常は config.xml 復元対象です。

私がより心配するもの

実は証明書よりも、
プラグイン
例えば
os-wireguard os-ddclient os-acme-client os-crowdsec
などです。
config.xmlは復元されても、
プラグインが未インストールだと設定を活用できません。

ACME証明書

Let's Encryptを使う場合、
  • ACMEプラグイン設定
  • 発行済み証明書
は復元できることが多いですが、
再発行した方が早いケースもあります。

手作業で配置したファイル

例えばSSHで
/usr/local/etc/
などに
  • 独自スクリプト
  • 独自証明書
  • 独自鍵
を置いた場合、
config.xmlとは別管理です。
これは別途バックアップが必要です。

貴方の「漏れなく救出できるか」という観点

SSHで確認できます。
例えば
grep -i "<private>" /conf/config.xml
grep -i "<cert>" /conf/config.xml
を実行すると、
Base64文字列が大量に見えるはずです。
それが証明書や鍵です。

実務的なおすすめ

VPS更新前なら私は次の3点を取ります。
① config.xml
cp /conf/config.xml /root/config.xml.backup
② プラグイン一覧
pkg info > /root/pkg-info.txt
③ VPSスナップショット
VPS業者機能

この3つがあれば、
  • OpenVPN証明書  
  • WireGuard鍵  
  • Firewallルール  
  • NAT  
  • DNS  
  • DHCP
まで含めて、かなり高い確率で元に戻せます。
むしろ貴方のシナリオで最大のリスクは、
「config.xmlを取らずに再インストールすること」ではなく、「新しいOPNsenseでプラグイン構成を忘れること」
だと思います。
ですので、今のうちに一度SSHで
pkg info
を実行し、結果を保存しておくと安心です。これは昔のSolarisでいう「インストール済みパッケージ一覧の退避」に相当します。

No comments: