Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

pfSense 2.7.2 est disponible

icon 11/12/2023 - Aucun commentaire

Jeudi 07 décembre 2023 est sortie la dernière version de pfSense. La version 2.7.2.

Cette nouvelle version intervient moins d'un mois après la sortie de pfSense 2.7.1.

pfSense 2.7.2 corrige principalement des problèmes potentiels de corruption du système de fichiers ZFS, ainsi que d'autres bugs et problèmes de sécurité.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Changements principaux


Cette toute nouvelle version de pfSense vise principalement à corriger des problèmes avec le système de fichiers ZFS.

En effet, peu de temps après la sortie de pfSense 2.7.1, plusieurs anomalies sérieuses ont été annoncées, puis rapidement corrigées, sur FreeBSD 14 (le système d'exploitation sur lequel repose pfSense).

Dans le détail, pfSense 2.7.2 comporte des modifications relatives à trois problèmes liés au système de fichiers ZFS, dont deux pourraient entraîner une corruption des données.

Le premier est lié au clonage de blocs, une fonctionnalité de ZFS qui n'est actuellement pas activée dans le logiciel pfSense.

Le second est lié au signalement de trous dans les fichiers sparse. C'est un cas normalement très difficile à rencontrer dans le cadre d'une utilisation typique sur un système équipé du logiciel pfSense. Cependant, étant donné que d'autres problèmes de corruption de données ont été rapportés dans la même zone par le passé, l'éditeur a préféré intégrer rapidement les corrections proposées par FreeBSD. Cette correction peut entraîner une légère augmentation de l'espace de stockage utilisé.

Enfin, pfSense 2.7.2 corrige également un troisième problème ZFS qui peut entraîner une utilisation élevée du processeur.

En plus de ces problèmes spécifiques à ZFS, cette nouvelle version apporte également les correctifs suivants :
  • Correction d'un avis de sécurité concernant une attaque potentielle par déni de service sur la pile TCP à partir de paquets RST usurpés ;
  • Mise à jour d'OpenVPN vers la version 2.6.8_1 ;
  • Mise à jour de strongSwan (IPsec) pour résoudre un problème potentiel de dépassement de mémoire tampon (CVE-2023-41913) ;
  • Correction de bugs dans l'implémentation du fallback de AES-GCM ;
  • Correction de plusieurs erreurs PHP sur les pages de création d'une interface PPP et de modification du service DHCPv6
  • Plusieurs autres bugs, failles de sécurité et autres problèmes mineurs ont également été corrigés



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.7.2 New Features and Changes [EN]



Pour aller plus loin



pfSense 2.7.2 est disponible
Évolutions et actualités du logiciel pfSense
Avec pfSense Plus, l'avenir de pfSense ne sera pas (que) open-source
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtrem pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

OPNsense 22.7 est disponible

icon 03/08/2022 - Aucun commentaire

English version: OPNsense 22.7 now available

Jeudi 28 juillet 2022 est sortie la dernière version d'OPNsense. La version 22.7, surnommée "Powerful Panther".

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.


logo OPNsense




Les infos clefs en un coup d’œil


Les informations clefs de cette mise à jour sont les suivantes : passage de la version de FreeBSD 13.0 vers la 13.1 ; passage à PHP 8.0 ; passage à Phalcon 5 (phalcon est le framework PHP utilisé par OPNsense) ; amélioration du support des VLAN stacké et d'Intel QuickAssist (QAT) ; amélioration de la protection contre les attaques DDOS ; intégration des nouveaux plugins APCUPSD et du très à la mode CrowdSec.

Il est également à noter qu'il s'agit sûrement de la dernière version d'OPNsense intégrant LibreSSL. Les versions suivantes, à partir de la version 23.1 très sûrement, proposeront uniquement OpenSSL.

Dans la suite de l'article, nous présentons plus en détails les changements et nouveautés.



Amélioration de la gestion de la mémoire-vive


La gestion de la mémoire-vive a été revue. L'objectif est d'éviter une saturation de la mémoire-vive par certains processus.

Le changements notables sont les suivants :
  • la partition /tmp MFS peut utiliser dorénavant 50% de la mémoire-vive au maximum ; ce paramètre peut être ajusté si besoin.
  • la partition /var MFS devient /var/log MFS and et peut utiliser, elle aussi, 50% de la mémoire-vive au maximum ; ce paramètre peut également être modifié.
  • plusieurs améliorations pour éviter que le processus syslog-ng ne soit impacté par le "out of memory kills" (lorsque la mémoire-vive est saturée, intervient le processus “Out-of-memory Killer” ou “OOM-Killer” dont le but est d'éviter le crash du système, ou Kernel Panic, en tuant les processus jugés trop gourmands. Ce sont des mécanismes de protection que l'on retrouve également sur toutes les distributions GNU/Linux).



Gestion des logs


Plusieurs améliorations notables au niveau de la gestion et de l'accès aux fichiers de journalisation (logs) :
  • modification du widget (au niveau du tableau de bord) de visualisation des logs afin de lui ajouter un filtre
  • prise en charge de la journalisation des règles NTP (Network Time Protocol)
  • ajout des logs concernant l'utilisation des alias



Sécurité


Les paramètres de clé Diffie-Hellman considérés comme n'étant pas suffisamment robustes ont été supprimés. C'est une bonne chose d'un point de vue sécurité.

Au niveau de l'IDS/IPS, les règles McAfee qui pointaient vers des liens morts ont été supprimées.



IPsec


Plusieurs légères modifications ou améliorations au niveau de la gestion d'IPsec :
  • Ajout du choix "IPv4+6" pour la configuration de la phase 1 pour les IPsec mobiles
  • Mise à jour de l'interface d'administration sur les pages des connexions, SPD et SAD afin qu'elles utilisent les API
  • Quelques autres ajustement de l'interface sur la page d'état des connexions IPsec



Améliorations diverses


Quelques autres améliorations ou changements notables :
  • Amélioration du support de certaines cartes wifi Intel (celles utilisant le driver iwlwifi)
  • Amélioration des performances sur les alias de ports
  • Amélioration des performances sur la consultation des logs en temps-réel (live view)
  • Serveur DHCP : il est maintenant possible de lancer le service DHCP Relay sur les interfaces de type bridge.
  • Traduction : retour de l'italien dans la liste des traductions disponibles. L'italien avait été retiré d'OPNsense 22.1 car son niveau de traduction a été jugé trop faible. Les traductions pour d'autres langues ont été mises à jour vers leurs dernières versions disponibles. Il faut encore souligner ici la qualité de la traduction d'OPNsense comparativement à pfSense (qui est, elle, particulièrement mauvaise).



Plugins


Enfin, la liste des plugins mis à jour :
  • Le plugin Crowdsec 1.0 fait son apparition
  • Les plugins os-nginx et os-postfix ont été mis à jour pour ajouter des paramètres Diffie Hellman manquants.
  • Plugin os-tayga  : mis à jour vers la version 1.2
  • Plugin os-apcupsd : mis à jour vers la version 1.0

D'autres ont été retirés :
  • os-tor n'est plus disponible avec LibreSSL à cause d'incompatibilités liées aux dernières versions de Tor.
  • os-web-proxy-useracl a été retiré : il n'y avait plus de mise à jour depuis 2017.
  • os-boot-delay a également été retiré.



Problèmes connus et points d'attention


Le paramètre Diffie-Hellman a été retiré d'OpenVPN, en application de la RFC 7919. Le seul vrai impact est pour les machines les moins puissantes, sur lesquelles étaient configurées des clés plus petites. Besoin de changer de firewall ? Pensez à notre boutique en ligne ;-)

Le plugin os-dyndns est toujours disponible (il avait été question de le supprimer), mais il pourrait disparaître dans les prochaines versions car il repose sur le paquet ddclient qui ne semble plus mis à jour depuis un certain temps. Donc, finalement rien de changé pour OPNsense 22.7, mais il est possible que le plugin soit supprimé à l'avenir.

Si vous lancez la mise à jour de votre firewall en ligne de commande, le changelog sera dorénavant présenté. Pour le faire défiler, il faut utiliser les flèches directionnelles de son clavier ou appuyer sur "q" pour quitter et retrouver le processus de mise à jour habituel.

Le serveur DHCPv6 sur une interface configurée en mode tracking ("suivre l'interface" sur la version française) requiert que soit définie la plage d'adresses à utiliser (un peu comme son pendant pour une interface configurée avec une adresse IP statique). Aussi, si vous utilisez le mode tracking sur une interface disposant d'un /64 ou inférieur, cela générera une alerte. Il est possible que le service DHCPv6 refuse de se lancer. Dans ce cas, il suffit d'adapter / corriger la configuration et ça devrait résoudre le problème.

Enfin, il est à noter que quatre problèmes ont été remontés et qu'ils ont déjà été corrigés via un patch correctif rapide ("hotfix"). Si vous avez déjà mis à jour votre OPNsense vers la version 22.7, il peut donc être utile de refaire une vérification afin de vous assurer de disposer de ce dernier patch.

Comme d'habitude, si vous n'avez pas appliqué les dernières mises à jour d'OPNsense, vous devrez d'abord mettre à jour votre OPNsense vers la dernière ancienne version disponible (soit la 22.1.10) avant de pouvoir procéder à la mise à jour vers la nouvelle version (22.7).




Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Pensez à faire une sauvegarde avant de lancer la mise à jour.

Si votre système de fichiers est ZFS, pensez également à créer un point de restauration.

Pour la mise à jour, vous pouvez vous appuyer sur notre tuto écrit pour pfSense, mais facilement adaptable pour OPNsense : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : OPNsense 22.7 released [EN]



Pour aller plus loin


[pfSense / OPNsense] Créer un point de restauration pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtrem pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

OPNsense 22.1 est disponible

icon 27/01/2022 - Aucun commentaire

Jeudi 27 janvier 2022 est sortie la dernière version d'OPNsense. La version 22.1.

Il s'agit d'une mise à jour importante, avec notamment la migration d'HardenedBSD vers FreeBSD 13.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.


logo OPNsense




OS : passage d'HardenedBSD à FreeBSD


Il s'agit là d'un changement important : OPNsense s'appuyait jusqu'à présent sur le système d'exploitation HardenedBSD. OPNsense 22.1 s'appuie dorénavant sur FreeBSD.

HardenedBSD est un fork de FreeBSD visant à améliorer la sécurité du système en implémentant des technologies d'atténuation et de durcissement contre l'exploitation de vulnérabilité informatique.

Beaucoup d'améliorations proposées par HardenedBSD ont été réintégrées à FreeBSD, notamment FreeBSD 13.

Enfin, lorsque certaines bugs spécifiques à HardenedBSD étaient rencontrés, ils étaient parfois difficiles à résoudre car la communauté HardenedBSD est beaucoup plus petite que la communauté FreeBSD.

Les équipes de développement d'OPNsense ont donc jugé qu'il était préférable de s'appuyer directement sur FreeBSD.

Autre point notable par rapport au système d'exploitation : il y a une amélioration de la gestion du système de fichiers ZFS.



Gestion des logs


La journalisation circulaire (circular log) a été retirée.

De manière simplifiée, la journalisation circulaire permet de définir une taille maximale par fichier de journalisation (ex : 100 Ko) et un nombre maximal de fichiers de journalisation à conserver (ex : 30 fichiers).

La journalisation se définit maintenant en nombre de jours de rétention : un fichier est conservé par jour et par type de services. On peut choisir la durée de conservation des fichiers de journalisation.

Le format de stockage des fichiers de journalisation est le suivant :
/var/log/<application>/<application>_[YYYYMMDD].log

Il était déjà possible de désactiver la journalisation circulaire depuis OPNsense 20.7. Elle est donc maintenant supprimée.


Nouveau fichier de journalisation "latest.log"

Le fichier latest.log contient les derniers logs toutes catégories confondues.

L'utilisation de ce fichier peut être très pratique pour gagner en efficacité lors de ses sessions de dépannage / troubleshooting, il évite d'avoir à passer d'un fichier de journalisation à l'autre pour chaque service.


Support de la RFC 5424

Les fichiers de journalisation sont maintenant tous compatibles avec le format syslog et offrent la possibilité de filtrer par gravité.



Gestion des interfaces


Plusieurs améliorations, dont :
  • Amélioration de la gestion des interfaces PPP en environnement haute-disponibilité : possibilité de désactiver l'interface PPP lorsque CARP passe en mode backup.
  • Meilleure granularité sur le choix de l'adresses MAC pour une interface donnée : le spoof d'adresse MAC s'applique maintenant uniquement sur l'interface sélectionnée et pas à ses parents ou enfants : avant, par exemple, le spoof s'apliquait sur l'interface parente et sur toutes les interfaces vlan configurées dessus, maintenant, la configuration se fait uniquement sur l'interface logique choisie.
  • Uniformisation et amélioration de la configuration des interfaces bridge (pont réseau) lorsqu'elles sont connectées au réseau.
  • Il est maintenant possible d'associer une adresse IP virtuelle (VIP) à une interface qui n'est pas configurée ; cette configuration peut s'avérer très utile dans certains environnements spécifiques comme par exemple la possibilité d'avoir un cluster de firewall OPNsense avec une interface WAN qui ne possède qu'une seule adresse IP.



Pare-feu / Alias


  • Suppression de l'option obsolète "kill states on gateway failure". Cette action est effectuée automatiquement pour les passerelles qui sont surveillées.
  • Ajout du support des alias d'hôtes IPv6 dynamiques.
  • Il est maintenant possible d'utiliser des alias dans la gestion des Router Advertisements pour IPv6.
  • Priorisation de trafic : ajout de l'option Gbit/s lors de la configuration des pipes (avant, pour 1 Gbit/s, il fallait saisir 1 000 Mbit/s).



IPsec


  • Lors de la création de nouvelles phases 1 et 2, certains paramètres de sécurité par défaut ont été remplacés par des paramètres plus modernes et sécurisés.
  • Suppression de certains algorithmes de chiffrement qui ne sont plus supportés par FreeBSD 13 (dans le détail : MD5, Blowfish, DES, 3DES et CAST128 ne sont plus pris en charge pour la phase 2).



Traductions


Amélioration de la traduction pour plusieurs langues dont le français (sont concernés dans le détail : français, allemand, italien, japonais, norvégien, espagnol et turc).

A contrario, l'italien a été rétrogradé au rang de "en cours de développement" à cause de son faible niveau de traduction.

Il est à noter que la traduction de l'interface d'OPNsense en français est vraiment très bonne (surtout si on compare à pfSense...).



Plugins


Plusieurs plugins ont été mis à jour dont ACME , bind, haproxy, zabbix, ...



Problèmes connus et points d'attention


  • OPNsense 22.1 contient une nouvelle version majeure du système d'exploitation. Les mises à jour doivent donc être effectuées avec prudence. Malgré tous les tests qui ont pu être effectués, il peut toujours subsister des anomalies ou des changements modifiant le comportement par défaut.
  • L'évolution du support des algorithmes de hachage ou de chiffrement sous FreeBSD 13 peut avoir des impacts sur les VPN IPsec déjà configurés. Si vous utilisez l'un des algorithmes de hachage obsolètes (MD5, Blowfish, DES, 3DES ou CAST128), il faut modifier la configuration de votre tunnel IPsec avant de lancer la mise à jour.
  • Si vous utilisez des cartes réseau Realtek (notamment avec des ports 2,5 Gbps), il est recommandé d'installer le plugin os-realtek-re avant de lancer la mise à jour. En effet, le pilote propriétaire Realtek n'est pas fourni par défaut sous FreeBSD 13, ce qui a pour conséquence que certaines cartes Realtek ne sont pas supportées par défaut.
  • L'usurpation (spoof) d'adresse MAC ne concerne maintenant que l'interface configurée et non les autres VLAN configurés sur la même interface ou l'interface parent. Il faut donc modifier la configuration de ses interfaces nécessitant une adresse MAC usurpée avant de faire la mise à jour.
  • Les valeurs par défaut du service NTPD ont été modifiées pour exclure l'option "iburst" par défaut. Le paramètre "limited" a été détaché de l'option "kod". Il faut donc vérifier ces points avant de mettre à jour si vous êtes concernés.
  • Le support GRE link1 a été supprimé et nécessite une route statique pour fonctionner.
  • La prise en charge de la journalisation circulaire a été supprimée. Aucune action n'est requise.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Pensez à faire une sauvegarde avant de lancer la mise à jour.

Si votre système de fichiers est ZFS, pensez également à créer un point de restauration.

Vous pouvez vous appuyer sur notre tuto écrit pour pfSense, mais facilement adaptable pour OPNsense : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : OPNsense 22.1 released [EN]



Pour aller plus loin


[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtrem pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

[pfSense] Mettre à jour son serveur pfSense

icon 20/08/2019 - Aucun commentaire

English version: [pfSense] Upgrading pfSense (how-to)

Il est important de conserver une version de pfSense à jour sur ses firewall en production.
Nous présentons ici la procédure que nous utilisons lors de la mise à jour d'un pfSense standalone ou d'un cluster de pfSense.

Article mis à jour le  : 20/08/2019

Avant de commencer, si votre système de fichiers est ZFS, pensez à créer un point de restauration avant de lancer la mise à jour.



1. Procédure de mise à niveau pour un pfSense seul


Dans le cas d'un serveur pfSense fonctionnant de manière autonome, la mise à jour va s'effectuer en 3 étapes :
  1. Sauvegarde de la configuration : permettra un retour-arrière rapide en cas de problème
  2. Mise à jour du serveur pfSense
  3. Sauvegarde de la configuration après la mise à jour : permet de bénéficier d'une sauvegarde à jour de la configuration en cas de panne ultérieure


Sauvegarde de la configuration


Se rendre dans le menu Diagnostics > Backup/Restore :

menu Diagnostics > Backup & Restore pfSense - Provya


Dans le champ "Backup configuration" > "Backup area" choisir "ALL", laisser coché la case "Do not backup RRD data", et décoché les deux autres cases, puis cliquer sur "Download Configuration as XML" :

Exemple configuration backup pour pfSense - Provya



Mise à jour du serveur pfSense


Naviguer dans le menu System > Update :

menu System Update pfSense - Provya


Puis cliquer sur "Upgrade now" pour lancer la mise à jour.

Lors de la mise à jour, une coupure de service est à prévoir (redémarrage du serveur pfSense possible).


Sauvegarde de la configuration après la mise à jour


Refaire une sauvegarde en suivant la procédure décrite précédemment.

La mise à jour du serveur pfSense est terminée !



2. Procédure de mise à niveau d'un cluster de pfSense


Dans le cas de serveurs pfSense fonctionnant en redondance, la mise à jour va s'effectuer de la manière suivante :
  1. Faire une sauvegarde du pfSense secondaire
  2. Lancer la mise à jour du pfSense secondaire
  3. Une fois la mise à jour du pfSense secondaire complète, faire une sauvegarde du pfSense primaire
  4. Désactiver CARP sur le pfSense primaire => les adresses VIP vont basculer sur le pfSense secondaire
  5. Lancer la mise à jour du pfSense primaire


Sauvegarde de la configuration du pfSense secondaire


Se rendre dans le menu Diagnostics > Backup/Restore :

menu Diagnostics > Backup & Restore pfSense - Provya



Dans le champ "Backup configuration" > "Backup area" choisir "ALL", cocher la case "Do not backup RRD data", décocher les deux autres cases, puis cliquer sur "Download Configuration" :

Exemple configuration backup pour pfSense - Provya



Mise à jour du serveur pfSense secondaire


Naviguer dans le menu System > Update :

menu System Update pfSense - Provya


Puis cliquer sur "Upgrade now" pour lancer la mise à jour.


Sauvegarde de la configuration du pfSense primaire


Une fois la mise à jour terminée sur le pfSense secondaire, effectuer une sauvegarde du pfSense primaire en suivant la procédure détaillée à l'étape précédente.


Désactivation CARP du pfSense primaire


Avant de mettre à jour le pfSense primaire, nous basculons les adresses VIP sur le pfSense secondaire afin de ne pas perturber le service.

Pour cela, se rendre dans dans Status > CARP (failover) :

menu Status CARP Failover pfSense - Provya


Puis cliquer sur "Enter Persistent CARP Maintenance Mode" :

désactiver or disabled carp failover on pfSense - Provya


Les adresses VIP vont basculer sur le serveur pfSense secondaire.


Mise à jour du serveur pfSense primaire


Nous pouvons maintenant mettre à jour tranquillement le serveur primaire. La procédure est toujours la même que celle décrite aux étapes précédentes.


Une fois la mise à jour du serveur primaire terminée, la VIP ne va pas re-basculer d'elle-même sur le serveur pfSense primaire. Il faut la réactiver. Pour cela, nous nous rendons dans le menu Status > CARP (failover) et cliquons sur "Leave Persistent CARP Maintenance Mode" :

réactiver or enabled carp failover on pfSense - Provya



Il ne reste plus qu'à faire une sauvegarde du serveur pfSense primaire afin d'avoir une sauvegarde de la dernière configuration à jour.

La mise à jour du cluster de pfSense est terminée !



3. Vérifier et corriger la mise à jour des packages


Les packages peuvent parfois être une source de problème lors d'une mise à jour. Si des packages semblent ne plus fonctionner correctement après une mise à jour, il est recommandé de désinstaller le ou les packages concernés, puis de les réinstaller.



Pour aller plus loin


Best practices / Recommandations pour la configuration de votre firewall
[pfSense] Configurer un cluster de 2 pfSense redondants (failover)
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez un support professionnel ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtrem pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

[Asterisk] Mettre à jour son serveur Asterisk

icon 04/12/2018 - Aucun commentaire

Il est important de maintenir à jour sa version d'Asterisk en production.
Si Asterisk a été installé depuis les dépôts d'une distribution, la mise à jour se fait via les mises à jour classiques de la distribution (apt-get update/upgrade ou équivalent).

En revanche, si Asterisk a été installé directement depuis les sources téléchargées sur le site asterisk.org, nous devons faire les mises à jour manuellement.

Nous détaillerons ici la procédure pour une mise à jour de version mineure au sein d'une branche (ex : mise à jour d'Asterisk 11.10.2 vers 11.14.1), mais pas la procédure pour une mise à jour vers une version majeure d'une branche à l'autre (ex : mise à jour d'Asterisk 11.10.2 vers 13.0.1).

Dans notre cas, nous prendrons l'exemple d'une mise à jour d'Asterisk 11.10.2 vers 11.14.1.



Les étapes de la mise à jour


Comme pour toute mise à jour, nous procédons en 3 étapes :
  1. Sauvegarde de la configuration : permettra un retour-arrière rapide en cas de problème
  2. Mise à jour du serveur Asterisk
  3. Sauvegarde de la configuration après la mise à jour : permet de bénéficier d'une sauvegarde à jour de la configuration en cas de panne ultérieure



Sauvegarder ses fichiers de configuration Asterisk


Les répertoires à sauvegarder sont les suivants :
  • /etc/asterisk : le répertoire de configuration d'Asterisk
  • /var/spool/asterisk/voicemail/ : le répertoire des messageries vocales d'Asterisk
  • /var/lib/asterisk/sounds/ : le répertoire contenant les fichiers sons

Si les CDR sont stockés sous forme de fichier csv, il faut aussi en faire une sauvegarde :
/var/log/asterisk/cdr-csv/ : répertoire contenant les CDR au format CSV

Si les CDR sont stockés en base de données, il faut faire un dump de la base.
Par exemple, dans notre cas, les CDR sont stockés dans une base MySQL nommée "asteriskcdr" et nous souhaitons faire une sauvegarde que nous stockons dans le fichier "/sauvegarde/asterisk.sql" :

mysqldump -u root -p -r/sauvegarde/asterisk.sql asteriskcdr

Toutes nos sauvegardes étant faites, nous pouvons maintenant mettre à jour sereinement notre version d'Asterisk.



Connaître la dernière version d'Asterisk


La liste des versions d'Asterisk à jour se trouve à l'URL suivante : http://www.asterisk.org/downloads/asterisk/all-asterisk-versions

D'une façon générale, la dernière version d'Asterisk d'une branche (dans notre cas, nous travaillons avec la 11) se trouve toujours à l'URL suivante :

http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-11-current.tar.gz => pour la 11
http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz => pour la 13
...



Télécharger la dernière version d'Asterisk


On se place dans le dossier /usr/src :

cd /usr/src

On télécharge la dernière version :

wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-11-current.tar.gz

On décompresse :

tar -zxvf asterisk-11-current.tar.gz

Cela crée un nouveau dossier portant le numéro de la dernière version téléchargée (ex : asterisk-11.14.1).

On se déplace dans le dossier qui vient d'être créé :

cd asterisk-11.14.1



Mettre à jour sa version d'Asterisk


Les étapes sont les mêmes que pour l'installation d'une nouvelle version d'Asterisk :

./configure
make menuselect
make
make install

Nous ne détaillons pas ces étapes : ce sont exactement les mêmes que celles suivies lors de l'installation ; elles sont donc a fortiori déjà connues.


Il ne reste plus qu'à vérifier le bon fonctionnement de son service Asterisk ; par exemple, en se connectant à la console et en passant un appel !


Enfin, nous pensons à refaire une sauvegarde des fichiers de configuration d'Asterisk suite à la mise à jour.



Pour aller plus loin


[Asterisk] Les commandes utiles pour Asterisk
[Asterisk] Connaître son nombre d'appels simultanés
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez un support professionnel ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense


Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Large pour pfSense et OPNsense     Firewall pro-Xtend pour pfSense et OPNsense     Firewall pro-Xtrem pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :