Chezlepro/ansible-chezlepro
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
ansible-chezlepro/docs/opnsense-runbook.md
Daniel Allaire bd5947b5d7 premier commit
2026-01-12 18:05:54 -05:00

5.1 KiB
Raw Permalink Blame History

OPNsense — Runbook (générique)

Objectif

Ce document décrit une méthode simple et reproductible pour :

  • opérer un pare-feu OPNsense sans Infrastructure-as-Code,
  • garder une source de vérité,
  • restaurer rapidement en cas de panne,
  • limiter les erreurs humaines (drift, changements non documentés).

Portée

  • OPNsense (pare-feu, routage, NAT, DHCP/DNS si applicable)
  • Sauvegarde/restauration de configuration
  • Cadre de gestion des changements
  • Vérifications post-changement
  • Intégration opérationnelle (monitoring, inventaire)

Principes

  1. UI = configuration (source de vérité opérationnelle).
  2. Chaque changement = export de config + note de changelog.
  3. Restauration testée au moins 1 fois par trimestre (sur matériel de spare ou VM si possible).
  4. Secrets : jamais en clair dans Git; chiffrer ou stocker dans Nextcloud avec contrôle daccès.

Pré-requis (à compléter)

  • Modèle matériel : __________________________
  • Version OPNsense : _________________________
  • Mode HA (si applicable) : ___________________
  • Accès admin : ______________________________
  • Emplacement des exports : ___________________
  • Emplacement des backups chiffrés : __________

Inventaire minimal (à maintenir)

Interfaces

Nom Rôle VLAN IPv4/IPv6 Notes
WAN Internet - - -
LAN Interne - - -
OPTx Réseau/VLAN - - -

Réseaux / VLAN

  • LAN: ______________________
  • VLANs: _____________________
  • Réseaux de services (DNS/NTP/monitoring): _____________________

Services activés

  • DHCP : oui/non (sur quels réseaux)
  • DNS (Unbound) : oui/non
  • NTP : oui/non
  • VPN : oui/non (type : WireGuard/OpenVPN/IPsec)
  • Captive portal : oui/non
  • IDS/IPS : oui/non (Suricata, etc.)

Sauvegarde (backup) de configuration

Quand sauvegarder

  • Après tout changement (immédiatement après validation).
  • Avant toute mise à jour majeure.
  • Sauvegarde planifiée : hebdo (recommandé).

Comment sauvegarder (procédure manuelle)

  1. Se connecter à lUI OPNsense.
  2. Aller dans System → Configuration → Backups (ou équivalent selon version).
  3. Exporter la configuration (format XML).
  4. Nommer le fichier :
    • opnsense-<site>-<role>-YYYYMMDD-HHMM.xml
  5. Stocker :
    • copie “opérations” (Nextcloud privé / stockage interne),
    • copie “reprise” (stockage secondaire hors site, chiffrée si possible).

Convention de stockage recommandée

  • backups/opnsense/<site>/<YYYY>/<MM>/opnsense-...xml
  • Un index backups/opnsense/README.md expliquant où est la dernière version.

Protection des backups

  • Restreindre laccès (admin seulement).
  • Si Git est utilisé : chiffrer (ex. fichier chiffré + clé hors Git).

Restauration (disaster recovery)

Scénarios

  • Remplacement SSD / panne matérielle
  • Mauvaise configuration (lockout)
  • Mise à jour ratée
  • Migration vers nouveau matériel

Procédure de restauration (standard)

  1. Installer OPNsense (version identique si possible).
  2. Configurer accès minimal (WAN/LAN + admin).
  3. Importer le fichier XML (System → Configuration → Restore).
  4. Redémarrer si requis.
  5. Vérifier :
    • interfaces / VLAN / gateways
    • DNS/NTP
    • règles firewall (ordre, alias)
    • NAT/port forward
    • VPN (si utilisé)
  6. Valider la connectivité “de bout en bout”.

Procédure en cas de lockout

  • Avoir une méthode “console”/local :
    • accès clavier/écran ou IPMI (si disponible),
    • rollback via backup,
    • vérifier règle admin “allow” sur LAN de management.

Gestion des changements

Règle simple

  • Un changement = une intention = une entrée dans le changelog + un export post-changement.

Processus recommandé (léger)

  1. Définir lobjectif (1 phrase).
  2. Appliquer dans lUI.
  3. Vérifier (section “Vérifications post-changement”).
  4. Exporter la config.
  5. Écrire 1 entrée dans le changelog.

Vérifications post-changement (checklist)

Accès / sécurité

  • Accès admin local (LAN management) OK
  • Accès distant (si applicable) OK
  • Aucune règle “allow any any” accidentelle
  • Journaux consultés (erreurs/deny inattendus)

Réseau

  • Ping vers passerelle
  • Résolution DNS depuis LAN
  • NTP synchronisé
  • Routage inter-VLAN (si applicable)
  • NAT/port forward (si applicable)

Services

  • DHCP délivre des baux (si activé)
  • DNS (Unbound) répond (si activé)
  • VPN up (si utilisé)
  • IDS/IPS stable (si activé)

Monitoring

  • Checks externes (Icinga) au vert
  • Latence/perte dans les seuils

Mises à jour (upgrade)

Avant

  • Export de config
  • Note dans changelog
  • Fenêtre de maintenance
  • Plan de rollback (version + backup)

Après

  • Vérifications post-changement
  • Export de config (post-upgrade)

Annexes (à compléter)

Alias (liste)

  • ALIAS_1 : ___________________
  • ALIAS_2 : ___________________

NAT / Port forwards (intention)

  • Service A : ___________________
  • Service B : ___________________

VPN (intention)

  • Site-to-site : ___________________
  • Remote access : ___________________