UDM Pro Upgrade von 3.2.12 auf 4.06

Kaum ist die Dream Machine auf  Unifi OS Version 3.x aktualisiert, gibt es auch schon wieder das nächste Major Release. Was dabei zu berücksichtigen ist, um keine der Anpassungen zu verlieren, fass ich hier zusammen.

01| Backup

Auch bei einem Minor Update sollte zunächst alles gesichert werden, falls beim Upgrade etwas schief läuft.  

01.1| Backup über die GUI

Über die Web-Oberfläche der UDM Pro sollte zunächst die Unifi OS Konfiguration gesichert werden:

Download Unif OS Config Backup
UnifiOS Backup Download

Danach die Einstellungen der jeweiligen Anwendungen sichern. Da ich nur Unifi Network und Unifi Protect nutze exportiere ich die beiden Konfigurationen.

Backup der Unifi Network Einstellungen
Download der Unifi Network App Settings
Backup der Unifi Protect Einstellungen
Download der Unifi Protect Einstellungen

01.2| Backup der individuellen Einstellungen per SSH  (optional)

Diese Schritte sind nur erforderlich, wenn die Konfiguration der UDM Pro 3 im Verzeichnis /data angepasst wurde. Idealerweise sollten alle relevanten Informationen und Scripte in einem Verzeichnis abgelegt sein. Ich nutze z. B. dafür das Verzeichnis /data/custom. Auf diese Weise lassen sich alle Einstellungen leicht sichern:

cd /data
tar cvfz /volume1/$(date +%Y%m%d)-udmpro-custom-backup.tgz custom

Sicherheitshalber wird das Archiv auch nochmal lokal gespeichert:

scp root@192.168.1.1:/volume1/$(date +%Y%m%s)-udmpro-custom-backup.tgz  .

Ggf. ist es auch sinnvoll die Firewall-Regeln und IPSets, sowie den Status der eingerichteten systemd Services und Timer zu sichern. Diese Informationen können später bei der Fehlersuche helfen.

Mit dem Script udm-backup können diese Schritte automatisiert werden.

02| Update 

02.1| Applikationen

Nachdem die Einstellungen der Applikationen gesichert sind, aktualisiere ich im ersten Schritt alle Anwendungen für die ein Update bereitsteht. 

02.2| UnifiOS

Jetzt wird das UnifiOS-Update über die Web-Oberfläche gestartet.

03| Überprüfen der Custom-Einstellungen

Zunächst überprüfe ich, ob der Ordner /data/custom noch existiert. Falls hier was fehlt, muss es ggf. aus dem Backup wiederhergestellt werden.

03.1| Custom Services und Timer

Da ich  meine Anpassungen an der UDM-Konfiguration in der Regel über systemd Services und Timer vornehme die mit udm-* beginnen (siehe GitHub: nerdiges) über Scripte nach kann mit systemctl status udm-* überprüft werden, ob alles wieder korrekt gestartet wurde.

Hinweis: Die Dienste udm-wireguard und udm-ipv6 werden in der Standardkonfiguration automatisch von udm-firewall mit gestartet und erscheinen daher in der Regel nicht extra in der Liste.

Wurde nicht alles gestartet, so müssen die systemd Services und Timer ggf. neu eingerichtet werden. Anleitungen dazu finden sich in der Readme des jeweiligen Scriptes.

03.2| nspawn-Container

Auf meiner UDM Pro läuft ein PiHole-Container, der als zentraler DNS-Server im Netzwerk genutzt wird. Daher wird mit machinectl und ggf. mit machinectl status pihole geprüft ob er Container nach dem Update wieder gestartet wurde.

Zur Sicherheit kann auch nochmal mit dig oder nslookup geprüft werden, ob DNS-Namen korrekt aufgelöst werden.

Läuft der Container nicht mehr, so muss er ggf. neu verlinkt werden werden (siehe auch UDM Pro 3: pihole im Container installieren - Teil 1):

mkdir -p /var/lib/machines
ln -s /data/custom/machines/pihole /var/lib/machines/

03.3| Firewall Anpassungen

Mit dem Kommandos iptables/ip6tables kann überprüft werden, ob die automatische Netzwerktrennung für IPv4 noch  aktiv ist:

iptables -L -v -n | grep _separation
#    0     0 guest_separation  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
# 815 61856 lan_separation  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
# Chain guest_separation (1 references)
# Chain lan_separation (1 references)

ip6tables -L -v -n | grep _separation
#    0     0 guest_separation  all      *      *       ::/0                 ::/0                
# 2349  865K lan_separation  all      *      *       ::/0                 ::/0                
#Chain guest_separation (1 references)
#Chain lan_separation (1 references)

03.4| wireguard

Wurde ein manueller Wireguard-Tunnel mittels udm-wireguard erstellt, kann mit wg -show überprüft werden, ob der Tunnel wieder aufgebaut wurde.

03.4| IPv6

Sollen mit Hilfe des Skriptes udm-ipv6 ULAs vergeben werden, so kann dies mit ifconfig | grep fd überprüft werden. 

04| NAT

Ab Version 4.0 von UnifiOS kann das NAT der UDM Pro nun endlich auch über die GUI deaktiviert werden. Ein Workaround zur Entfernung der NAT-Regeln aus dem Firewal-Regelwerk (siehe z.B. udm-firewall) ist daher nicht mehr nötig. Die Option kann daher im udm-firewall Script nach der Deaktivierung über die GUI deaktiviert werden

 

Kommentare

© 2019 - 2026 by nerdig.es
PostadresseE-MailadresseFestnetzMobiltelefonSMS/SignalThreemaTwitter DirektnachrichtFAXWeb Page