Capítulo 50 – Backup e Restore

Introdução

Nenhum firewall — por mais robusto que seja — está imune a falhas, erros humanos ou problemas de atualização. Alterações incorretas, bugs de firmware ou falhas físicas podem tornar o firewall inacessível e impactar serviços críticos da rede.

Manter uma estratégia de backup confiável é essencial para garantir:

Continuidade de negócio
Redução do tempo de recuperação
Integridade e rastreabilidade das configurações

O OPNsense oferece mecanismos nativos de backup e restauração, com suporte a:

Cópia manual da configuração (arquivo XML)
Integração com Google Drive, Nextcloud, GitHub e SFTP remotos
Backup criptografado
Restauração granular (ex.: apenas regras de firewall, usuários etc.)
Restauração completa (todo o sistema via XML)

Em ambientes HA (High Availability), o backup é ainda mais crítico, pois garante:

Consistência entre os nós do cluster
Recuperação rápida em caso de falha total de um dos appliances

Gerando o Backup

Backup Manual

Vá em System → Configuration → Backups.
Na seção Download, escolha as opções desejadas:
- RRD Data: inclui dados de monitoramento e gráficos de tráfego.
- Encrypt this configuration file: criptografa o arquivo antes de baixá-lo com uma senha que você definir.
Clique em Download e salve o arquivo XML em local seguro.

Atenção

Armazene o backup em mais de um local (por exemplo, mídia externa e serviço remoto)
e sempre de forma criptografada.

Restaurando a Configuração

Vá em System → Configuration → Backups.
Na seção Restore, clique em browse (Escolher arquivo) e selecione o backup XML.
Clique em Restore configuration.
O sistema reiniciará automaticamente com a configuração restaurada.
Após o reboot:
- Vá em System → Firmware → Plugins
- Marque Community plugins
- Reinstale os plugins pendentes (a configuração será restaurada automaticamente)
- Reinicie o firewall novamente para garantir operação limpa.

Importante

Se o backup for de versão diferente do firmware, podem ocorrer incompatibilidades em serviços ou plugins.
A restauração em versões só é permitida quando você restaura em uma versão mais atualizada que o antigo firewall que foi feito o backup.

Observações sobre o Restore

A restauração é simples apenas no mesmo hardware.
Se for feita em um equipamento diferente, as interfaces de rede podem não ser reconhecidas corretamente.

Soluções:

Editar manualmente o arquivo .xml (seção <interfaces>) e ajustar os nomes das placas.
Recomenda-se: fazer uma instalação limpa no novo hardware, anotar o mapeamento das interfaces e editar o XML com precisão antes de restaurar.

Exemplo:
Interfaces antigas igbX foram substituídas por igcX no novo hardware.

Config do firewall antigo:

<interfaces>
  <lan>
    <if>igb0</if>
  </lan>
  <wan>
    <if>igb1</if>
  </wan>
</interfaces>

Config editada para o novo firewall:

<interfaces>
  <lan>
    <if>igc0</if>
  </lan>
  <wan>
    <if>igc1</if>
  </wan>
</interfaces>

Restauração Parcial

Vá em System → Configuration → History.
Na seção Restore, selecione apenas a parte desejada (ex.: Firewall Rules).
Ao ser questionado, confirme clicando em “I know what I’m doing”.
Clique em Escolher arquivo e selecione o backup XML.
Caso o backup esteja criptografado, marque a opção Configuration file is encrypted e insira a senha.
Clique em Restore Configuration e aguarde o reboot (nem todas as seções requerem reboot).

Boas Práticas de Backup

Automatize o backup em repositórios externos seguros.
Mantenha cópias offsite (fora da infraestrutura principal).
Proteja o arquivo XML com criptografia e controle de acesso.
Teste a restauração periodicamente (em ambiente de laboratório).
Registre a versão do firmware junto ao backup para evitar incompatibilidades futuras.

Conclusão

A estratégia de Backup e Restore no OPNsense é um dos pilares mais importantes para manter a resiliência, segurança e continuidade operacional do ambiente.
Mesmo com firewalls robustos e atualizados, falhas podem ocorrer — e somente um plano de backup bem estruturado garante que você conseguirá retornar à operação com rapidez e segurança.