# OPNsense Updates: Patch-Management & Plugin-Ökosystem

TL;DR / Management Summary Ein Sicherheitsgerät, das nicht aktuell ist, ist wertlos. OPNsense bietet ein robustes Update-System, das auf dem FreeBSD Paketmanager pkg basiert. Wir unterscheiden zwischen Micro-Updates (Sicherheitsfixes), Plugins (Zusatzfunktionen) und Major-Upgrades (Versionssprünge). Ein Senior Admin führt Updates niemals ohne vorheriges Backup durch und nutzt den CLI-Zugriff für automatisierte Wartungsfenster.

# 1. Einführung & Konzepte

Der Weg der Binaries.

OPNsense nutzt zwei Repositories:

1. Core: Das Basissystem (HardenedBSD/FreeBSD).
2. Plugins: Optionale Pakete (z.B. WireGuard, Suricata, HAProxy).

# Update-Typen

• Patch (z.B. 23.7.1 -> 23.7.2): Behebt Bugs und Lücken. Wenige Minuten Downtime.
• Major (z.B. 23.7 -> 24.1): Große Änderungen am Kernel. Erfordert Planung und meist einen längeren Reboot.

# 2. Update-Management in der Praxis

Sicherheit durch Routine.

# Über die Web-GUI

System -> Firmware -> Status.

• Klicken Sie auf Check for updates.
• Wichtig: Lesen Sie die “Changelogs”. Manchmal ändern sich Standardwerte von Diensten.

# Über die CLI (Profi-Weg)

Wenn die Web-GUI hakt oder für Automatisierung:

# Update-Check via SSH (Option 12 in der Konsole)
configctl firmware check

# Vollständiges Update durchführen
configctl firmware update

# 3. Deep Dive: Plugins verwalten

Die Firewall erweitern.

Unter System -> Firmware -> Plugins finden Sie hunderte Erweiterungen.

• Best Practice: Installieren Sie nur, was Sie wirklich nutzen. Jedes Plugin vergrößert die Angriffsfläche und erhöht den RAM-Verbrauch.
• Beliebte Plugins: os-wireguard, os-suricata, os-haproxy, os-acme (Let’s Encrypt).

# 4. Day-2 Operations: Major-Upgrade Strategie

Versionssprünge ohne Tränen.

Major-Upgrades erscheinen zweimal im Jahr (Januar und Juli).

1. Release Notes lesen: Gibt es “Breaking Changes”?
2. Config-Backup: Artikel 544.
3. Boot-Environment (ZFS): Erstellen Sie einen Snapshot vor dem Upgrade.

# ZFS Boot Environment Snapshot (via Shell)
bectl create pre-upgrade-24.1

4. Upgrade starten: In der GUI oder via opnsense-update.

# 5. Troubleshooting & “War Stories”

Wenn das Update das Netz killt.

# Top 3 Fehlerbilder

1. Symptom: Update bricht ab (“Mirror not reachable”).

   • Ursache: DNS-Probleme oder Firewall blockiert Port 443 Outbound vom OPNsense-Host selbst.
   • Lösung: Mirror-Server wechseln unter System -> Firmware -> Settings.

2. Symptom: Web-GUI nach Update nicht mehr erreichbar.

   • Ursache: Plugin-Inkompatibilität oder PHP-Fehler.
   • Lösung: Via Konsole pkg install -f opnsense ausführen, um das Core-Paket zu reparieren.

3. Symptom: Speicherplatzmangel auf /.

   • Lösung: Alte Logs und den Paket-Cache leeren: pkg clean.

# “War Story”: Der “Infinite” Upgrade Loop

Ein Admin startete ein Major-Upgrade auf einem Server mit einer sterbenden SSD. Das Ergebnis: Während des Schreibens der neuen Kernel-Files traten Sektorfehler auf. Der Server bootete in einen Kernel-Panic. Die Rettung: Da das System auf ZFS installiert war, konnten wir via Proxmox-ISO booten, den ZFS-Pool importieren und auf das Snapshot-Boot-Environment (bectl) von vor 10 Minuten zurückrollen. Der Server war sofort wieder auf dem alten Stand online. Lehre: Installieren Sie OPNsense immer auf ZFS. Es macht Upgrades risikofrei.

# 6. Monitoring & Alerting

Aktualität im Dashboard.

# Automatische Update-Benachrichtigung

Aktivieren Sie die Email-Benachrichtigung (System -> Settings -> Notifications), um sofort informiert zu werden, wenn neue Sicherheits-Patches verfügbar sind.

# 7. Fazit & Empfehlung

Update-Management ist der wichtigste Teil der Firewall-Wartung.

• Empfehlung: Führen Sie Patch-Updates monatlich durch. Major-Upgrades erst 2-4 Wochen nach Release (wenn die ersten Hotfixes draußen sind).
• Sicherheit: Nutzen Sie offizielle Mirrors oder bauen Sie für große Umgebungen einen eigenen Cache-Server (Squid) auf.

# Anhang: Cheatsheet

# Referenzen

• OPNsense Firmware Documentation
• FreeBSD pkg(8) manual
• OPNsense Release Notes