Wie aktualisiere ich OPNsense?

Veröffentlicht am: 22 November 2024

.

10 min read

.

Für die Englische Version

Das OPNsense-Update ist entscheidend für Cybersicherheit. Je früher Sie aktualisieren, desto eher können Sie sicher sein, dass Ihr Netzwerk sicherer ist. Das regelmäßige Aktualisieren Ihrer Systeme hat folgende Vorteile:

• Updates können neue oder verbesserte Funktionen sowie eine verbesserte Kompatibilität mit verschiedenen Geräten oder Anwendungen bieten. Sie können auch die Stabilität des Systems verbessern und veraltete Funktionen entfernen.

• Sie enthalten häufig kritische Sicherheitsupdates. Damit Sie Hacker fernhalten und Ihre Netzwerk-Infrastruktur gegen Cyberangriffe schützen können.

• Sie beheben oder entfernen normalerweise Softwarefehler.

Der Aktualisierungszeitplan für OPNsense besteht aus zwei Hauptversionen pro Jahr, die alle zwei Wochen aktualisiert werden. Neben den geplanten größeren Updates wird OPNsense wöchentlich aktualisiert, um schnell auf bekannte Sicherheitsbedrohungen zu reagieren. Die Versionsnummer von Hauptversionen besteht aus dem Jahr und Monat der Veröffentlichung (z.B. 21.7 für die Veröffentlichung im Juli 2021), wobei zweiwöchentliche Updates eine dritte Zahl hinzufügen (z.B. 21.7.2 für das zweite Update zu 21.7).

Version	Veröffentlichungsdatum
24.7.2	August 21, 2024
24.7.1	August 8, 2024
24.7	July 25, 2024
24.7.r2	July 19, 2024
24.7.r1	July 16, 2024
24.7.b	June 13, 2024
24.1.10	July 11, 2024
24.1.9	June 18, 2024
24.1.8	May 29, 2024
24.1.7	May 16, 2024
24.1.6	April 18, 2024
24.1.5	April 4, 2024
24.1.4	March 20, 2024
24.1.3	March 06, 2024
24.1.2	February 20, 2024
24.1.1	February 06, 2024
24.1	January 30, 2024
24.1.r1	January 19, 2024

Tabelle 1. Veröffentlichungsdaten der OPNsense 24.x Community Edition

Sie können die Ankündigungen im OPNsense-Forum für alle OPNsense-Versionen verfolgen. Wichtige Veröffentlichungen werden in den OPNsense-Blogbeiträgen angekündigt. Vollständige Patch-Notizen, Fehlerbehebungen, bekannte Probleme und Einschränkungen werden in diesen Ankündigungen geteilt. Einige Updates erfordern möglicherweise einen Systemneustart. Es kann Probleme oder Einschränkungen geben, die zu Dienstunterbrechungen auf Ihrem System führen. Daher wird dringend empfohlen, die Versionshinweise zu lesen, bevor das OPNsense-System aktualisiert wird.

Wenn ein OPNsense-Release-Update verfügbar ist, sehen Sie möglicherweise die Update-Erinnerung auf dem OPNsense-Web-UI-Dashboard.

Das manuelle Update von OPNsense ist ein unkomplizierter Prozess, der sowohl über die OPNsense-Weboberfläche als auch über die Konsole/CLI leicht durchgeführt werden kann. In diesem OPNsense-Update-Leitfaden werden wir beide Methoden kurz behandeln.

warnung

Automatische Updates von OPNsense, insbesondere für Hauptversionen, werden nicht empfohlen.

Wie aktualisiere ich die OPNsense-Einstellungen?

Sie können die OPNsense-Update-Einstellungen gemäß Ihren Anforderungen ändern, indem Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu System → Firmware → Settings.
2. Stellen Sie die unten aufgeführten Optionen nach Bedarf ein und klicken Sie dann auf Save, um die Änderungen anzuwenden.

• Firmware-Spiegel
• Veröffentlichungsart
• Abonnement

1. Firmware-Spiegel

Sie können die Mirror-Site angeben, von der OPNsense versucht, Updates zu beziehen. Wenn Sie Probleme beim Aktualisieren oder Suchen nach Updates haben oder wenn Ihr aktueller Spiegel langsam läuft, können Sie hier zu einem anderen wechseln.

Abbildung 1. Auswahl des OPNsense-Spiegels

2. Veröffentlichungsart

Es gibt drei Optionen für den Veröffentlichungstyp von OPNsense:

1. Geschäft: Die OPNsense Business Edition ist für Unternehmen, Betriebe und Fachleute bestimmt, die einen selektiveren Upgrade-Pfad, zusätzliche kommerzielle Funktionen und eine kommerziellere Möglichkeit suchen, das Projekt zu unterstützen, als durch Spenden.

2. Gemeinschaft: Diese Version wird alle zwei Wochen getestet und ist für Produktionsumgebungen geeignet.

3. Entwicklung: Diese Version ist die neueste Version, aber ungetestet.

warnung

Bitte lassen Sie diese Einstellung auf Community gesetzt, es sei denn, Sie verstehen die Auswirkungen einer Änderung vollständig.

Abbildung 2. Auswahl des OPNsense-Versionstyps

3. Abonnement

Wenn Sie eine Geschäftslizenz haben, sollten Sie Ihren Abonnierungsschlüssel in dieses Feld eingeben.

Abbildung 3. Firmware-Status

Wie man OPNsense aktualisiert?

Sie können die OPNsense-Firewall entweder über die OPNsense-Web-GUI oder die OPNsense-Konsole/Befehlszeile aktualisieren.(CLI). Jedoch sollten größere Versionsaktualisierungen über die Konsole durchgeführt werden, die auch als Offline-Upgrade bekannt ist. Sie finden weitere Informationen über das Offline-Upgrade von OPNsense unten.

Aktualisierung von OPNsense über die Web-GUI

Um den OPNsense-Knoten im Web-Interface zu aktualisieren, folgen Sie den unten angegebenen Schritten.

1. Melden Sie sich bei der OPNsense-Web-GUI als root an.

   

   Abbildung 4. OPNsense-Webanmeldung

2. Navigieren Sie zu System → Firmware → Updates → Status.

3. Klicken Sie auf die Schaltfläche Check for updates unter dem Tab Status.

   

   Abbildung 5. Überprüfen auf OPNsense-Updates im Web-InterfaceKontext:

   hinweis

   Sie können auf den Link Click to check for updates. im Bereich System Information auf dem Dashboard klicken und dann auf die Schaltfläche Update klicken.

   

   Abbildung 6. Überprüfen auf Updates im OPNsense-Dashboard

4. Wenn ein Update verfügbar ist, wird die Update-Schaltfläche am Ende der Liste der Update-Pakete angezeigt.

   

   Abbildung 7. Verfügbare Update-Pakete in OPNsenseWenn eine neue Version verfügbar ist, werden die Versionshinweise angezeigt.

   Nachdem Sie die Notizen gelesen haben, können Sie auf die Schaltfläche Close klicken, um das Benachrichtigungsfenster zu schließen.

   

   Abbildung 8. OPNsense 21.1.9 Versionshinweise

5. Klicken Sie auf die Schaltfläche Aktualisieren, um das Update durchzuführen. Dies wird die Pakete auf dem OPNsense-System abrufen und aktualisieren.

   

   Abbildung 9. Abrufen und Aktualisieren der OPNsense-Pakete

6. Wenn das OPNsense-Update erfolgreich abgeschlossen ist, wird die Nachricht DONE im Bereich Updates angezeigt.

   

   Abbildung 10. Aktualisierung der OPNsense ist abgeschlossen

7. Sie können die installierte OPNsense-Version im Bereich System Information auf dem Dashboard einsehen.

   

   Abbildung 11. Anzeigen der OPNsense-Version im Dashboard

8. Nach dem Aktualisieren Ihrer OPNsense-Firewall können Sie das Audit durchführen, indem Sie im Dropdown-Menü Run Audit im Status-Bereich der Seite Systeme: Firmware darauf klicken.

   

   Abbildung 12. Durchführung eines Audits auf OPNsense

Was sind die OPNsense-Audit-Optionen?

Die folgenden Optionen stehen für das OPNsense-Audit zur Verfügung:

1. Connectivity: Überprüft die Spiegelverbindung und aktualisiert die Repositories

   

   Abbildung 13. Verbindungsprüfung

2. Health: Gesundheitsprüfung überprüft fehlende Abhängigkeiten, fehlende Kernel-Dateien, Konsistenzen der Kernpakete

   

   Abbildung 14. Gesundheitsaudit

3. Security: Schwachstellen auf der OPNsense, die im Audit-Sicherheitsbericht aufgeführt sind.

   

   Abbildung 15. Sicherheitsbericht der Prüfung

Aktualisierung von OPNsense über Konsole/CLI

Sie können Ihre OPNsense über die CLI aktualisieren, indem Sie die folgenden Schritte ausführen:

1. Verbinden Sie die OPNsense über ein VGA-Display oder einen seriellen Anschluss.

2. Melden Sie sich als root an. Dann wird das Konsolenmenü angezeigt.

3. Wählen Sie 12) Update from console. Seien Sie sich bewusst, dass ein Neustart erforderlich sein könnte. Sie werden gebeten, fortzufahren. Geben Sie y ein und drücken Sie die Eingabetaste. Dies wird automatisch alle verfügbaren Updates abrufen und anwenden.

   

   Abbildung 16. OPNsense über die Konsole aktualisieren

4. Falls erforderlich, kann OPNsense neu starten. Dann wird es auf der gewünschten Veröffentlichung sein.

Was ist das Offline-Upgrade von OPNsense?

Wichtige Updates von OPNsense werden offline installiert. Das bedeutet, dass keine Webschnittstelle oder SSH verfügbar ist, um das Upgrade zu überwachen. OPNsense lädt alle Release-Dateien für ein Offline-Upgrade (Kernel, Pakete usw.) herunter und startet dann neu. Nach einem Neustart werden alle verfügbaren Updates installiert, dann wird erneut neu gestartet, und dann sollten Sie die gewünschte Version haben. Wenn etwas schiefgeht, benötigen Sie eine zweite Verbindung oder direkten Zugang, um die VM zurückzusetzen oder zu reparieren. Wichtige Upgrades von OPNsense sollten mit einem VGA-Display oder einem seriellen Port durchgeführt werden, damit Sie sehen können, was vor sich geht.

Wenn ein größeres Upgrade für die OPNsense-Firewall verfügbar ist, werden die Upgrade-Anweisungen ähnlich wie in Abbildung 18 unten angezeigt, wenn Sie nach Updates im OPNsense-Web-Interface suchen.

Abbildung 17. Anweisungen für das Hauptupgrade von OPNsense 21.7

Wie verbindet man OPNsense über die serielle Konsole?

OPNsense kann zusätzlich zur Web-Benutzeroberfläche, zum Monitor und SSH auch über die serielle Schnittstelle gesteuert werden. Der Zugriff auf OPNsense über die serielle Schnittstelle ist ähnlich wie SSH. Sie können jederzeit über die serielle Schnittstelle auf Ihren OPNsense-Knoten zugreifen, selbst wenn er nicht über das Netzwerk erreichbar ist. Dies macht es besonders nützlich für die Installation von OPNsense, die Durchführung von größeren Systemupgrades und die Notfallfehlerbehebung bei einem Netzwerkausfall.

Voraussetzungen

Die Anforderungen für den OPNsense-Seriellen Zugang sind wie folgt:

• Eine serielle Schnittstelle muss als Teil der OPNsense-Installation bereitgestellt werden. ( hardware or virtual)

• Software, die verwendet werden kann, um sich mit der seriellen Schnittstelle zu verbinden, wie PuTTY, minicom, screen usw.)

Für eine Bare-Metal-Installation benötigen Sie außerdem Folgendes:

• ein Nullmodemkabel

• Wenn Ihr Computer keinen RS232-Anschluss hat, benötigen Sie einen USB-zu-RS232-Adapter.

Verbindung zur seriellen Konsole herstellen

Wenn Sie OPNsense zuvor mit einem nicht-seriellen Installer installiert haben, muss der serielle Zugriff aktiviert werden. Um den seriellen Zugriff auf OPNsense zu aktivieren,

1. Melden Sie sich über die Weboberfläche als root an.

2. Navigieren Sie zu System → Settings → Administration.

3. Scrollen Sie nach unten zu Console und wählen Sie Serial console als primäre oder sekundäre Konsole aus.

4. Klicken Sie auf die Schaltfläche Save am unteren Rand der Seite.

   

   Abbildung 18. Konsoleneinstellungen auf OPNsense

   warnung

   Bitte beachten Sie, dass dies nur erforderlich ist, wenn Sie OPNsense bereits installiert haben und den seriellen Installer nicht verwendet haben. Serieller Zugriff ist bereits in allen anderen Fällen verfügbar. (accessing BIOS, running the serial installer, connecting to a serial installation).

Auf Unix-ähnlichen Systemen verwenden Sie minicom, um sich mit der seriellen Konsole bei 115200 Baud zu verbinden. Der Gerätename kann je nach System und serieller Schnittstelle unterschiedlich sein. Hier sind einige Beispiele für Namen:

• /dev/cuau0 (serial port, FreeBSD or HardenedBSD)

• /dev/cuaU0 (usb-to-serial, FreeBSD or HardenedBSD)

• /dev/ttyS0 (serial port, Linux)

• /dev/ttyUSB0 (usb-to-serial, Linux)

• COM1, COM2, usw. (Windows)

• /dev/tty.usbmodem1112421 (usb-to-serial, macOS)

minicom -b 115200  -D /dev/ttyS0

info

Wenn Sie eine Anzahl von Geräten desselben Typs haben, wie hier gezeigt:

ls /dev/ttyUSB*
/dev/ttyUSB0 /dev/ttyUSB1

Sie können eines der seriellen Geräte trennen, um zu sehen, welches noch aktiv ist, oder Sie können das dmesg-Protokoll untersuchen, um den Hersteller des Geräteknotens herauszufinden. Um zu bestimmen, welches Gerät es ist, suchen Sie nach einer Nachricht, die den Satz now attached to ttyUSB1 enthält. Danach können Sie die vorherige Ausgabe mit der Ausgabe eines Tools wie lsusb vergleichen.

hinweis

Da der Zugriff auf das serielle Gerät eingeschränkt ist, sollten Sie den Befehl als Root unter Linux / BSD ausführen.

Wenn die Authentifizierung aktiviert ist und OPNsense läuft, werden Sie nun nach Ihrem Benutzernamen und Passwort gefragt. Andernfalls erscheint das Menü. (at least after pressing enter). Die Anmeldeinformationen sind identisch mit denen, die für SSH erforderlich sind.

hinweis

Der Bildschirm aktualisiert sich nicht immer automatisch. Wenn Sie sich verbinden, aber keine Ausgabe erhalten, versuchen Sie zuerst die Enter-Taste zu drücken, bevor Sie sich mit den anderen (komplexeren) Möglichkeiten befassen.

Ein weiteres Problem ist, dass Sie beim Verbinden über screen möglicherweise nicht scrollen können, aber Sie können die Ausgabe trotzdem mit more oder less weiterleiten.

Großes Upgrade von OPNsense über Konsole/CLI

Um ein großes Upgrade auf einer OPNsense-Firewall durchzuführen, können Sie die folgenden Anweisungen befolgen:

1. Verbinden Sie die OPNsense über ein VGA-Display oder einen seriellen Anschluss.

2. Melden Sie sich als root an. Dann wird das Konsolenmenü angezeigt.

3. Wählen Sie 12) Update from console. Man fragt dich, ob du auf die neueste Version oder das nächste große Update upgraden möchtest.

   

   Abbildung 19. OPNsense über die Konsole aktualisieren

4. Geben Sie die Hauptversionsnummer ein (zum Beispiel 21.7) und drücken Sie die Eingabetaste. Alle Release-Dateien werden für ein Offline-Upgrade heruntergeladen. (kernel, packages etc.). Dann wird OPNsense neu starten.

   

   Abbildung 20. Installation von wichtigen Updates für OPNsense 21.7 auf der Konsole

5. Nach einem Neustart werden alle Updates installiert. Sobald die Installation abgeschlossen ist, wird es erneut neu starten, und zu diesem Zeitpunkt sollte es auf der bevorzugten Version sein.