Succes Story : migration à succès pfSense 2.1 vers 2.3.2



  • Bonjour,

    Pour vous relater une migration pfSense 2.1 vers 2.3.2 sans anicroche ;-) Je suppose que certains d'entre vous l'on déjà fait, mais il me semble judicieux aussi d'évoquer des cas quand tout ce passe bien?

    • Matériels : boitiers (x2) OSNet FWA-3020

    • Cluster HA/pfSync

    • Un interface réseau dédiée pfSync, bien évidemment, par équipement

    • Deux gateways : une Orange Business Service de type HSRP, une 2eme vers un réseau distant

    La mise à jour a repris l'intégralité de la configuration : Utilisateurs, certificats, VPN (IPSec et OpenVPN), NAT, Rules, etc… Pas un seul soucis !

    Une configuration de secours (cluster HA également) avait été préparé, au cas où ;-)

    C'est la 1ere fois que je faisais cette migration, qui paraissait "brutale" sur le papier, mais je suis resté [agréablement] surpris.

    Bravo à l'équipe pfSense pour des installeurs/paquetages ayant géré aussi bien une telle migration.



  • De façon surprenante, j'ai monté, le jour exact de ce fil, un firewall pfSense de 2.1.5 à 2.3.2 … et je n'ai pas eu le même succès !

    Après analyse, c'est le fait que les interfaces n'étaient pas les mêmes :

    • initialement, le firewall était monté avec un SDSL (wan) + une ADSL (opt1),
    • la ligne SDSL a été remplacé par une FIBRE (opt2),
    • à la réinstall wan devait correspondre à la FIBRE.

    Ma méthode :

    • j'ai ajouté un disque (et débranché l'ancien, pour ne pas risquer d'écrire dessus)
    • j'ai gravé un CD et lancé une install fraiche
    • install sur le disque dur, puis config WAN+LAN, changement d'ip sur le LAN
    • j'avais ensuite l'intention de faire backup et d'éditer des parties du fichier .xml à partir du backup de la première version

    En fait, à de nombreux endroits, on trouve wan, opt1, ... et non le nom logique des interfaces.
    Si on n'y prend pas garde, les sections d'origine doivent être copiées et corrigées attentivement ...

    De plus, des virtuals ip ont dû passer de 'virtual-ip' à 'proxy-arp' pour fonctionner tel que prévu.

    En gros, j'ai recréé à la mano les 2/3 des objets/config et copié 1/3 des objets (certificats, quelques services, alias, ...)

    Cela prend du temps mais il n'est pas si mal de revenir en 1 fois sur des réglages étalés sur 2/3 ans !