Обновление OPNSense в режиме высокой доступности
Задача:
---------------------------------------------------------------Обновиться файрволы OPNSense работающие в режиме высокой доступности. Обновлять будем с версии 20.7 до версии 21.1
Я уже рассматривал настройку отказоустойчивости в тестовой виртуальной среде “High Availability OPNsense в виртуальной среде VirtualBox“, а также между физическим устройством и виртуальным “Кластер высокой доступности или отказоустойчивость в OPNSense“. Теперь пришло время задаться вопросом обновления файрволов находящихся в режиме в высокой доступности.
И так у нас есть два файрвола:
- 192.168.17.109 – Главный файрвол (Master)
- 192.168.17.110 – Резервный файрвол (Slave)
Авторизуемся на резервном файрволе и проверяем обновление
Обновляем необходимое и проверяем ещё раз.
В завершении обновления файрфол может автоматически перезагрузиться
Для обновлениями между релизами может появится соответствующее сообщение
This software release has reached its designated end of life. The next major release is: 21.1
OPNSense проинформирует о возможных вариантах обновления
Upgrade instructions
OPNsense 20.7 “Legendary Lion” has reached its end of life. As such it will not receive any more updates, but the upgrade to the new 21.1 series is seamless and can be performed right here from the GUI by unlocking it below.
Another method is to import and reinstall using a new installation image, which will retain your settings (selecting “Import Configuration”), then reformat the disk and apply a clean system (selecting “Guided Installation”).
You can also upgrade via console / SSH by using option 12 from the menu by typing “21.1” when prompted.
Make sure to read the migration notes and adjust for possible minor breaking changes.
Please backup your configuration, preview the new version via live image or in a virtual machine. Create snapshots. If all else fails, report back in the forums for assistance.
Соглашаемся со всем, обновляемся и автоматически перезагружаемся
Повторяем процесс обновления, пока доступных обновлений не будет обнаружено и вы не получите соответствующее сообщение
There are no updates available on the selected mirror.
Теперь переходим на главный файрволл и кнопкой “Enter Persistent CARP Maintenance mode” переводим виртуальные интерфейсы на главном файрволе в режим обслуживания
На главном файрволе статус должен измениться на “BACKUP”
Проверяем статус на резервном файрволе. Он должен измениться на “MASTER”
Как только резервный файрвол станет ГЛАВНЫМ, что мы только что проверили, убедитесь, что все службы, такие как DHCP, VPN, NAT, работают правильно.
На всякий случай, логи обновления
***GOT REQUEST TO UPGRADE: all*** Updating OPNsense repository catalogue... OPNsense repository is up to date. All repositories are up to date. Updating OPNsense repository catalogue... OPNsense repository is up to date. All repositories are up to date. Checking for upgrades (69 candidates): .......... done Processing candidates (69 candidates): ...... done The following 37 package(s) will be affected (of 0 checked): Installed packages to be UPGRADED: bind-tools: 9.16.9 -> 9.16.10 glib: 2.66.3,1 -> 2.66.4_1,1 ldns: 1.7.1_1 -> 1.7.1_2 libgpg-error: 1.39 -> 1.41 libnghttp2: 1.41.0 -> 1.42.0 lighttpd: 1.4.56 -> 1.4.58 nss: 3.60 -> 3.60.1 open-vm-tools-nox11: 11.1.5_1,2 -> 11.2.0_2,2 opnsense: 20.7.7_1 -> 20.7.8_4 opnsense-update: 20.7.6 -> 20.7.8 php73: 7.3.25 -> 7.3.26 php73-ctype: 7.3.25 -> 7.3.26 php73-curl: 7.3.25 -> 7.3.26 php73-dom: 7.3.25 -> 7.3.26 php73-filter: 7.3.25 -> 7.3.26 php73-gettext: 7.3.25 -> 7.3.26 php73-hash: 7.3.25 -> 7.3.26 php73-json: 7.3.25 -> 7.3.26 php73-ldap: 7.3.25 -> 7.3.26 php73-openssl: 7.3.25 -> 7.3.26 php73-pdo: 7.3.25 -> 7.3.26 php73-session: 7.3.25 -> 7.3.26 php73-simplexml: 7.3.25 -> 7.3.26 php73-sockets: 7.3.25 -> 7.3.26 php73-sqlite3: 7.3.25 -> 7.3.26 php73-xml: 7.3.25 -> 7.3.26 php73-zlib: 7.3.25 -> 7.3.26 py37-certifi: 2020.11.8 -> 2020.12.5 py37-openssl: 19.0.0 -> 19.1.0 py37-pytz: 2020.1,1 -> 2020.5,1 radvd: 2.18_2 -> 2.19 readline: 8.0.4 -> 8.0.4_1 socat: 1.7.3.4_1 -> 1.7.4.1 sudo: 1.9.4_1 -> 1.9.5p2 unbound: 1.13.0 -> 1.13.0_1 Installed packages to be REINSTALLED: suricata-5.0.5 (options changed) wpa_supplicant-2.9_7 (options changed) Number of packages to be upgraded: 35 Number of packages to be reinstalled: 2 The process will require 3 MiB more space. 23 MiB to be downloaded. [1/37] Fetching wpa_supplicant-2.9_7.txz: .......... done [2/37] Fetching unbound-1.13.0_1.txz: .......... done [3/37] Fetching suricata-5.0.5.txz: .......... done [4/37] Fetching sudo-1.9.5p2.txz: .......... done [5/37] Fetching socat-1.7.4.1.txz: .......... done [6/37] Fetching readline-8.0.4_1.txz: .......... done [7/37] Fetching radvd-2.19.txz: .......... done [8/37] Fetching py37-pytz-2020.5,1.txz: .......... done [9/37] Fetching py37-openssl-19.1.0.txz: .......... done [10/37] Fetching py37-certifi-2020.12.5.txz: .......... done [11/37] Fetching php73-zlib-7.3.26.txz: ... done [12/37] Fetching php73-xml-7.3.26.txz: ... done [13/37] Fetching php73-sqlite3-7.3.26.txz: ... done [14/37] Fetching php73-sockets-7.3.26.txz: ..... done [15/37] Fetching php73-simplexml-7.3.26.txz: ... done [16/37] Fetching php73-session-7.3.26.txz: ..... done [17/37] Fetching php73-pdo-7.3.26.txz: ...... done [18/37] Fetching php73-openssl-7.3.26.txz: ........ done [19/37] Fetching php73-ldap-7.3.26.txz: .... done [20/37] Fetching php73-json-7.3.26.txz: ... done [21/37] Fetching php73-hash-7.3.26.txz: .......... done [22/37] Fetching php73-gettext-7.3.26.txz: . done [23/37] Fetching php73-filter-7.3.26.txz: ... done [24/37] Fetching php73-dom-7.3.26.txz: ........ done [25/37] Fetching php73-curl-7.3.26.txz: .... done [26/37] Fetching php73-ctype-7.3.26.txz: . done [27/37] Fetching php73-7.3.26.txz: .......... done [28/37] Fetching opnsense-update-20.7.8.txz: ........ done [29/37] Fetching opnsense-20.7.8_4.txz: .......... done [30/37] Fetching open-vm-tools-nox11-11.2.0_2,2.txz: .......... done [31/37] Fetching nss-3.60.1.txz: .......... done [32/37] Fetching lighttpd-1.4.58.txz: .......... done [33/37] Fetching libnghttp2-1.42.0.txz: .......... done [34/37] Fetching libgpg-error-1.41.txz: .......... done [35/37] Fetching ldns-1.7.1_2.txz: .......... done [36/37] Fetching glib-2.66.4_1,1.txz: .......... done [37/37] Fetching bind-tools-9.16.10.txz: .......... done Checking integrity... done (0 conflicting) [1/37] Upgrading readline from 8.0.4 to 8.0.4_1... [1/37] Extracting readline-8.0.4_1: .......... done [2/37] Upgrading py37-pytz from 2020.1,1 to 2020.5,1... [2/37] Extracting py37-pytz-2020.5,1: .......... done [3/37] Upgrading py37-openssl from 19.0.0 to 19.1.0... [3/37] Extracting py37-openssl-19.1.0: .......... done [4/37] Upgrading py37-certifi from 2020.11.8 to 2020.12.5... [4/37] Extracting py37-certifi-2020.12.5: .......... done [5/37] Upgrading php73 from 7.3.25 to 7.3.26... [5/37] Extracting php73-7.3.26: .......... done [6/37] Upgrading libnghttp2 from 1.41.0 to 1.42.0... [6/37] Extracting libnghttp2-1.42.0: .......... done [7/37] Upgrading php73-pdo from 7.3.25 to 7.3.26... [7/37] Extracting php73-pdo-7.3.26: .......... done [8/37] Upgrading php73-json from 7.3.25 to 7.3.26... [8/37] Extracting php73-json-7.3.26: .......... done [9/37] Upgrading php73-hash from 7.3.25 to 7.3.26... [9/37] Extracting php73-hash-7.3.26: .......... done [10/37] Upgrading nss from 3.60 to 3.60.1... [10/37] Extracting nss-3.60.1: .......... done [11/37] Upgrading ldns from 1.7.1_1 to 1.7.1_2... [11/37] Extracting ldns-1.7.1_2: .......... done [12/37] Upgrading glib from 2.66.3,1 to 2.66.4_1,1... [12/37] Extracting glib-2.66.4_1,1: .......... done No schema files found: doing nothing. [13/37] Reinstalling wpa_supplicant-2.9_7... [13/37] Extracting wpa_supplicant-2.9_7: ....... done [14/37] Upgrading unbound from 1.13.0 to 1.13.0_1... ===> Creating groups. Using existing group 'unbound'. ===> Creating users Using existing user 'unbound'. [14/37] Extracting unbound-1.13.0_1: .......... done [15/37] Reinstalling suricata-5.0.5... [15/37] Extracting suricata-5.0.5: .......... done [16/37] Upgrading sudo from 1.9.4_1 to 1.9.5p2... [16/37] Extracting sudo-1.9.5p2: .......... done [17/37] Upgrading radvd from 2.18_2 to 2.19... [17/37] Extracting radvd-2.19: .......... done [18/37] Upgrading php73-zlib from 7.3.25 to 7.3.26... [18/37] Extracting php73-zlib-7.3.26: ....... done [19/37] Upgrading php73-xml from 7.3.25 to 7.3.26... [19/37] Extracting php73-xml-7.3.26: ........ done [20/37] Upgrading php73-sqlite3 from 7.3.25 to 7.3.26... [20/37] Extracting php73-sqlite3-7.3.26: ........ done [21/37] Upgrading php73-sockets from 7.3.25 to 7.3.26... [21/37] Extracting php73-sockets-7.3.26: .......... done [22/37] Upgrading php73-simplexml from 7.3.25 to 7.3.26... [22/37] Extracting php73-simplexml-7.3.26: ......... done [23/37] Upgrading php73-session from 7.3.25 to 7.3.26... [23/37] Extracting php73-session-7.3.26: .......... done [24/37] Upgrading php73-openssl from 7.3.25 to 7.3.26... [24/37] Extracting php73-openssl-7.3.26: ....... done [25/37] Upgrading php73-ldap from 7.3.25 to 7.3.26... [25/37] Extracting php73-ldap-7.3.26: ....... done [26/37] Upgrading php73-gettext from 7.3.25 to 7.3.26... [26/37] Extracting php73-gettext-7.3.26: ....... done [27/37] Upgrading php73-filter from 7.3.25 to 7.3.26... [27/37] Extracting php73-filter-7.3.26: ........ done [28/37] Upgrading php73-dom from 7.3.25 to 7.3.26... [28/37] Extracting php73-dom-7.3.26: .......... done [29/37] Upgrading php73-curl from 7.3.25 to 7.3.26... [29/37] Extracting php73-curl-7.3.26: ....... done [30/37] Upgrading php73-ctype from 7.3.25 to 7.3.26... [30/37] Extracting php73-ctype-7.3.26: ....... done [31/37] Upgrading opnsense-update from 20.7.6 to 20.7.8... [31/37] Extracting opnsense-update-20.7.8: .......... done [32/37] Upgrading lighttpd from 1.4.56 to 1.4.58... ===> Creating groups. Using existing group 'www'. ===> Creating users Using existing user 'www'. [32/37] Extracting lighttpd-1.4.58: .......... done [33/37] Upgrading socat from 1.7.3.4_1 to 1.7.4.1... [33/37] Extracting socat-1.7.4.1: ......... done [34/37] Upgrading opnsense from 20.7.7_1 to 20.7.8_4... [34/37] Extracting opnsense-20.7.8_4: ........
Обновляемся до тех пор пока не получим аналогичное сообщение об отсутствии обновлений.
По завершению обновлений, отключаем режим обслуживания на главном файрволе и проверяем работу
Краткая инструкция обновления
- Обновляем резервный файрвол
- Переводим в режим обслуживания главный файрвол
- Обновляем главный файрвол
- отключаем режим обслуживания на глвном файрволе
1 комментарий
[…] ранее уже рассказывал в статье “Обновление OPNSense в режиме высокой доступности“, как обновлять OPNsense. Теперь пришло время обновить […]