Inhaltsverzeichnis
Wer eine Firewall auf einen dedizierten physikalischen Server installiert, kennt das Dilemma. Früher oder später fällt die Festplatte aus. Damit auch die Firewall und die daran verbundenen Systeme und Applikationen. Natürlich gibt es eine vorhandene und aktuelle Datensicherung der Firewall. Defekte Festplatte tauschen, OPNsense neu installieren und die Konfiguration wieder einspielen – fertig.
Vielmehr geht es mir darum, dass der Zeitpunkt des Ausfalls eigentlich selten bis nie planbar ist und somit automatisch bei einem Ausfall spontan der Tagesablauf angepasst werden muss. Ist das Betriebssystem auf einem RAID 1 installiert, so ist ein Ausfall einer Festplatte erst einmal nicht spürbar und der Austausch kann somit besser ge- und eingeplant werden (z.B. in der Nacht).
Nicht immer ist es möglich ein Hardware RAID zu bekommen. Sei es, weil das System kein Platz für eine entsprechende Karte hat. Oder weil es ein Hobby Projekt ist und die Kosten doch eine Rolle spielen.
An dieser Stelle wird unter Linux und Windows gerne auf ein Software RAID zurückgegriffen. Mit der Version 21.7 von OPNsense wird das Dateisystem ZFS unterstützt. Die Einrichtung möchte in diesen Artikel dokumentieren sowie eine mögliche Benachrichtigung bei Problemen.
Installation von OPNsense
Voraussetzungen
Für den Testaufbau habe ich einen dedizierten Server bei Hetzner Online GmbH hergenommen. Grundsätzlich eignet hierfür jedes verfügbares Modell. Wichtig hierbei ist, dass A) mindestens zwei Festplatten verbaut sind und B) ein Hardware RAID Controller verbaut ist.
Für die Installation von OPNsense auf einem dedizierten Server ist die Mithilfe des technischen Supports von Hetzner notwendig. Wie zu Hause ist natürlich ein Bildschirm, Tastatur und Maus erforderlich. Hierzu greift man auf eine sogenannte Remote Console (KVM) zurück.
Im installimage stehen keine Betriebssysteme wie pfSense oder eben OPNsense zur Auswahl. Daher muss die ISO Datei auf einem USB-Stick bereitgestellt werden. Dieser wird vom Support direkt an die KVM angesteckt.
Installationsschritte
Ist alles vorbereitet und die Remote Console am Server angeschlossen, kann es los gehen. Über den Hetzner Robot den Server „Reseten“.
Damit der USB-Stick als Startmedium genutzt wird, muss die manuell über das Boot Menü getan werden. Welche F-Taste es ist, ist gleich auf dem Bootscreen zusehen.
Nun erscheint der Dialog um das Boot Device auszuwählen. Der USB-Stick heißt in diesen Fall „JMicron Generic 0209“.
Nachdem der Startvorgang durchgeführt wurde, erscheint der Anmeldemaske. Als Benutzername „installer“ und als Passwort „OPNsense“ eingeben.
Bei der Auswahl der zu verwendeten Sprache für die Tastatur. Ich bin großer Fan von Deutsch (wegen y und z).
Nun erscheint der Wizzard für die verschiedenen Aufgaben. Da es sich um eine Neuinstallation handelt, muss der Eintrag „Install (ZFS)“ ausgewählt werden.
Als „Virtual Device type“ den 2. Eintrag, mirror auswählen und bestätigen. Es handelt sich dabei um ein RAID 1.
Im Anschluss muss natürlich noch definiert werden, welche Festplatten für das RAID genutzt werden soll. Da der Server nur zwei Stück hat, ist die Auswahl begrenzt.
Guter Zeit die Konfiguration nochmals zu überdenken. Wenn keine Gründe dagegensprechen, die Abfrage mit „YES“ bestätigen.
Es ist nun Zeit für einen Tasse Tee oder Kaffee, solange die Installation läuft.
Ist der Vorgang abgeschlossen, so muss noch ein benutzerdefiniertes Passwort vergeben wird. Anderenfalls wird für den Benutzer „root“ das Standardpasswort verwendet. Was eigentlich nie eine gute Idee ist.
Verifizierung der Installation
Die Verifizierung ist zu jetzigen Zeitpunkt nur über SSH möglich. Also eine SSH-Verbindung zur Firewall aufbauen.
Übersicht der verfügbaren ZFS Pools:
root@OPNsense:~ # zpool list NAME SIZE ALLOC FREE CKPOINT EXPANDSZ FRAG CAP DEDUP HEALTH ALTROOT zroot 214G 899M 213G - - 0% 0% 1.00x ONLINE -
Status des ZFS Pool anzeigen lassen:
root@OPNsense:~ # zpool status zroot pool: zroot state: ONLINE config: NAME STATE READ WRITE CKSUM zroot ONLINE 0 0 0 mirror-0 ONLINE 0 0 0 ada0p4 ONLINE 0 0 0 ada1p4 ONLINE 0 0 0 errors: No known data errors
Überwachung der Festplatten
Unabhängig davon, ob OPNsense auf einem RAID installiert ist oder auf einzelner Festplatte, die Hardware gehört einfach überwacht.
Installation des Plugins
Das neue Widget dem Dashboard hinzufügen.
Da noch der USB-Stick zu diesen Zeitpunkt an dem Server ist, werden natürlich drei Laufwerke angezeigt.
Damit bin ich beim nächsten Ausfall einer Festplatte besser geschützt und kann eine Menge Zeit sparen. Denn dann reicht hoffentlich die neue Festplatte und ein anschließender Rebuild des RAIDs aus.
Viel Spaß beim Ausprobieren. 🙂