Code : MO-NET-002 | Version : 1.0 | Date : 9 avril 2026 | Auteur : C. Legrand
¶ MO-NET-002 — Mise à jour du firmware OPNsense
¶ 1. Objet
Procédure de mise à jour du firmware OPNsense via l'API REST. Couvre l'authentification, la vérification des mises à jour, la sauvegarde de configuration, l'exécution, le redémarrage et la vérification post-upgrade. Procédure testée le 07/04/2026 (passage 26.1.2 → 26.1.5).
¶ 2. Champ d'application
| Paramètre | Valeur |
|---|---|
| Équipement | OPNsense (10.0.112.1) |
| Version | 26.1.x |
| Accès | HTTP (HTTPS non activé) |
| Durée estimée | 20-30 minutes (hors BIOS) |
¶ 3. Prérequis
- Accès réseau à
http://10.0.112.1(RJ45 sur site ou VPN WireGuard) - Compte administrateur OPNsense
curlou équivalent (Python requests)- Créneau de maintenance (coupure réseau possible au reboot)
¶ 4. Procédure
¶ 4.1 Authentification API
OPNsense utilise une authentification par session PHP (cookie + CSRF token) :
# Obtenir le cookie de session et le token CSRF
curl -c cookies.txt -b cookies.txt http://10.0.112.1/ -s -o /dev/null
CSRF=$(curl -c cookies.txt -b cookies.txt http://10.0.112.1/ -s | grep csrf | head -1)
curl -c cookies.txt -b cookies.txt -X POST http://10.0.112.1/ \
-d "username=admin&password=VOTRE_MDP&login=1&__csrf_magic=$CSRF"
¶ 4.2 Vérifier les mises à jour disponibles
curl -s -b cookies.txt http://10.0.112.1/api/core/firmware/status | python3 -m json.tool
Champs importants :
product_version: version actuelleproduct_latest: dernière version disponiblestatus_msg: message de statutupdates: nombre de paquets à mettre à jour
¶ 4.3 Sauvegarder la configuration
Via l'interface web : System > Configuration > Backups > Download configuration
Via API :
curl -s -b cookies.txt http://10.0.112.1/api/core/backup/download -o config_$(date +%Y-%m-%d).xml
Important : Toujours sauvegarder la configuration AVANT la mise à jour. Conserver le fichier XML horodaté.
¶ 4.4 Exécuter la mise à jour
curl -s -b cookies.txt -X POST http://10.0.112.1/api/core/firmware/update
Surveiller la progression :
# Polling toutes les 30 secondes
curl -s -b cookies.txt http://10.0.112.1/api/core/firmware/upgradestatus
¶ 4.5 Redémarrer le pare-feu
curl -s -b cookies.txt -X POST http://10.0.112.1/api/core/firmware/reboot
Attendre le reboot (5-10 minutes) et vérifier la connectivité :
ping -c 1 10.0.112.1
¶ 4.6 Vérifier la mise à jour
curl -s -b cookies.txt http://10.0.112.1/api/core/firmware/status | python3 -c "
import sys, json
d = json.load(sys.stdin)
print(f'Version: {d.get(\"product_version\", \"?\")}')
print(f'Statut: {d.get(\"status_msg\", \"?\")}')
"
¶ 4.7 Intervention BIOS (si nécessaire)
Retour d'expérience 07/04/2026 : Le serveur Dell est resté bloqué sur « F1 to continue » après le reboot. L'iDRAC/BMC n'est pas configuré (IP 0.0.0.0). Accès console physique requis.
¶ 5. Vérification post-mise à jour
- Version firmware correspond à la version attendue
- Suricata IDS actif (Services > Intrusion Detection)
- DNS Unbound fonctionnel (
dig @10.0.112.1 google.com) - VPN WireGuard connecté
- Accès Internet depuis les postes
- Règles de pare-feu inchangées
¶ 6. Dépannage
| Problème | Solution |
|---|---|
| Erreur 403 sur l'API | Session expirée — se ré-authentifier |
| MAJ bloquée | Vérifier upgradestatus, attendre ou relancer |
| Reboot sans retour | Vérifier console physique (F1 BIOS Dell) |
| VPN WireGuard coupé | Le tunnel se rétablit automatiquement après reboot |
| Suricata inactif | Services > Intrusion Detection > activer manuellement |
| DNS ne résout plus | Services > Unbound DNS > redémarrer |
Voir aussi
- MO-NET-001 — Verification post-hardening OPNsense (a executer apres la mise a jour firmware)
- MO-NET-003 — VLANs switches Aruba (configuration VLAN complementaire au firewall)
- MO-NET-004 — Routage inter-VLAN OPNsense (verifier les regles apres mise a jour firmware)