OPNsense ZFS Mirror Installation

Die Open Source Firewall OPNsense unterstützt ähnlich wie Linux seit der Version 21.7 ZFS.^[1] Wie Sie während der Installation von OPNsense eine gespiegelte Installation mithilfe eines ZFS Mirrors einrichten und welche Möglichkeiten es zur Überwachung gibt, zeigen wir in diesem Artikel.

Hier geht es zu unseren OPNSense Firewalls im Onlineshop von Thomas-Krenn

Installation

Seit OPNsense 21.7 können Sie im Installationsmenü einen ZFS Mirror anlegen. Wählen Sie dazu im OPNsense Installer die Zeile Install (ZFS) aus und folgen Sie den Anweisungen.

Install (ZFS) auswählen.
Bei Virtual Device Type mirror auswählen, im nächsten Schritt die Datenträger per Leertaste auswählen und den weiteren Anweisungen folgen.

Die weitere Installation verläuft dann wie gewohnt.

Administration

Sie können nach der Installation die ZFS Installation per Kommandozeilentools über SSH administrieren.

zpool status

Mit dem Kommando zpool status können sie den Zustand des ZFS Pools betrachten.

root@OPNsense:~ # zpool status
  pool: zroot
 state: ONLINE
config:

	NAME        STATE     READ WRITE CKSUM
	zroot       ONLINE       0     0     0
	  mirror-0  ONLINE       0     0     0
	    ada0p4  ONLINE       0     0     0
	    ada1p4  ONLINE       0     0     0

errors: No known data errors

zpool list

Das Kommando zpool list liefert eine Auflistung aller verbauten ZFS zpools aus.

zpool list Ausgabe

root@OPNsense:~ # zpool list
NAME    SIZE  ALLOC   FREE  CKPOINT  EXPANDSZ   FRAG    CAP  DEDUP    HEALTH  ALTROOT
zroot    51G   900M  50.1G        -         -     0%     1%  1.00x    ONLINE  -

Die Verbose Ausgabe liefert detaillierte Infos

root@OPNsense:~ # zpool list -v
NAME         SIZE  ALLOC   FREE  CKPOINT  EXPANDSZ   FRAG    CAP  DEDUP    HEALTH  ALTROOT
zroot         51G   899M  50.1G        -         -     0%     1%  1.00x    ONLINE  -
  mirror-0    51G   899M  50.1G        -         -     0%  1.72%      -    ONLINE
    ada0p4      -      -      -        -         -      -      -      -    ONLINE
    ada1p4      -      -      -        -         -      -      -      -    ONLINE

Defekte SSD in einem ZFS Mirror ersetzen

In diesem Abschnitt finden Sie kompakt die erforderlichen Kommandos, um eine defekte SSD in einem ZFS Mirror zu ersetzen. Die Vorgehensweise unterscheidet sich anhand der Installationsart.

Fahren Sie die OPNsense Firewall herunter und ersetzen Sie die defekte SSD.
- In diesem Beispiel ist die defekte SSD die ada1.
- Diese wird entfernt und eine neue SSD eingesetzt, diese erhält ebenso die Bezeichnung ada1.
Starten Sie die Firewall wieder, OPNsense sollte ganz normal booten, da von der ada0 gebootet wird.
Verbinden Sie sich dazu entweder per SSH zur OPNsense Firewall, oder mit Monitor und Keyboard über die lokale OPNsense Konsole.
Im Konsolen-Menü (SSH oder per Monitor) wählen Sie die 8 für eine Shell, um die erforderlichen Eingaben vornehmen zu können.

Installationsart prüfen

Fragen Sie mit folgendem Kommando auf der OPNsense Konsole oder per SSH die Installationsart bei Ihrer OPNsense Installation ab:

root@OPNsense:/ # sysctl machdep.bootmethod

BIOS Installation: machdep.bootmethod: BIOS
UEFI Installation: machdep.bootmethod: UEFI

SSD ersetzen

Wenn Ihr System im BIOS Modus (Legacy) installiert ist, gehen Sie zum Ersetzen einer defekten SSD nun wie folgt vor:

gpart destroy -F /dev/ada1
zpool detach zroot ada1p4
gpart backup ada0 | gpart restore -F ada1
gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 2 ada1
gpart modify -i 2 -l gptboot0 /dev/ada1
zpool attach zroot ada0p4 ada1p4

Wenn Sie OPNsense im UEFI Modus installiert haben, dann halten Sie sich an diese Anleitung:

gpart destroy -F /dev/ada1
zpool detach zroot ada1p4
gpart backup ada0 | gpart restore -F ada1
dd if=/dev/ada0p1 of=/dev/ada1p1
zpool attach zroot ada0p4 ada1p4

Starten Sie anschließend OPNsense neu.

Hinweise

Während der Recherche und Ausarbeitung der Anleitungen sind folgende Probleme aufgetreten, sie konnten aber gelöst werden.

Device busy

Bei dem Kommando gpart destroy -F erscheint Device busy
Problem: Es wurde automatisch eine Swap Partition eingehängt
Geben sie das Kommando cat /etc/fstab ein und notieren Sie sich die genaue Partitionsangabe.
Lösung: Mit dem Kommando swapoff /dev/ada1p3 schalten Sie den Swap für ada1 ab.
Anschließend funktioniert gpart destroy einwandfrei.

unable to open ada1 for writing

Beim Versuch von der neu hinzugefügten SSD zu booten lieferte OPNsense diese ZFS Warnung.
Problem: Es wurde eine SSD eingesetzt, die nicht vollständig gelöscht war.
Lösung: Das Kommando dd if=/dev/zero of=/dev/ada1 bs=64k vorab des Kommandos gpart destroy hat das Problem behoben.

Einzelnachweise

↑ OPNsense 21.7 released (opnsense.org, 21.07.2021): [... The installer was replaced to offer native ZFS installations and prevent glitches in virtual machines using UEFI. [...]

Autor: Wilfried Seifert

Wilfried Seifert, tätig in der Abteilung Systems Engineering bei Thomas-Krenn, ist in seinem Arbeitsbereich für die System-/Prototypenentwicklung sowie Softwaredeployment / Rollout zuständig. LPIC 3 zertifiziert, beschäftigt sich u.a. mit Aufbau / Programmierung Embedded Systemen.

Autor: Thomas Niedermeier

Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.

[1] OPNsense 21.7 released (opnsense.org, 21.07.2021): [... The installer was replaced to offer native ZFS installations and prevent glitches in virtual machines using UEFI. [...]

[1]