Software-update: pfSense 2.2.3

pfSense logo (75 pix) Er is een update voor versie 2.2 van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewall-taken. Het is in 2004 begonnen als een fork van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewall-pakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. De changelog voor pfSense 2.2.3 ziet er als volgt uit:

Security/Errata Notices
  • pfSense-SA-15_06.webgui: Multiple XSS Vulnerabilities in the pfSense WebGUI
    • The complete list of affected pages and fields is very large and all are listed in the linked SA.
  • FreeBSD-SA-15:10.openssl: Multiple OpenSSL vulnerabilities (Including Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792, CVE-2015-4000
    • NOTE: pfSense ships with a default set of DH parameters due to the time/CPU they require to generate. A new set of DH parameters may be generated by the user at any time as described in Importing OpenVPN DH Parameters
  • Fixes for filesystem corruption in various cases during an unclean shut down (crash, power loss, etc.). #4523
    • Changed new filesystems to use the 'sync' option to avoid loss of data.
    • Added upgrade code to activate the 'sync' option on the root slice for existing installations.
    • Changed new filesystems to use softupdates and journaling (AKA SU+J).
    • Changed the way fsck is handled at boot time:
      • Followed best practice of using fsck from FreeBSD rc.d/fsck script. (Run preen mode first and later try forcefully fixing issues.)
      • Added as much information during boot on the status of the filesystem as possible.
      • Changed fsck to run with -C flag and always in foreground during boot to prevent issues that might schedule background mode.
  • The forcesync patch for #2401 was considered harmful to the filesystem and removed. As such, there may be some noticeable slowness with NanoBSD on certain slower disks, especially CF cards and to a lesser extent, SD cards. If this is a problem, the filesystem may be kept read-write on a permanent basis using the option on Diagnostics > NanoBSD.
Rules/Aliases/NAT
  • Fixed a problem with more than 64 IP addresses in the "self" table in pf.
  • Fixed issues with FQDNs in aliases causing static entries to be lost. #4296
  • Added the tracker ID rule number lookup to dynamic firewall log. #4730
  • Fixed alias rename and delete not being propagated to outbound NAT. #4701
  • Fixed tracker IDs of policy route negation rules which had been duplicating the tracker ID of the rule they were based upon. This confused the log parser and displayed the negation rule rather than the actual rule. #4651
  • Fixed logging of passed IGMP traffic when the rule is not set to log. #4383
  • Fixed a situation where a combination of L2TP, overlapping subnets, port forwards and NAT reflection could cause an invalid ruleset. #4772
  • Added a GUI field to control the size of the pf fragment limit #4775
IPsec
  • Updated strongSwan to 5.3.2. #4750
  • Integrated a patch from https://wiki.strongSwan.org/issues/951 to solve IPsec SA rekey issues on strongSwan+FreeBSD. #4686
  • Added patches from FreeBSD PR 200282 to help address IPsec rekey issues.
  • Backported FreeBSD r283146 and patch from FreeBSD PR 192774 to address PF_KEY ACQUIRE missing port and protocol information.
  • Added reply-to/route-to rules for mobile-ipsec. #4235
  • Removed the manual specification of reqid in the IPsec configuration because strongSwan 5.3.0 has fixed issues with its handling, which caused the existing code to misbehave. #4665
  • Fixed the display and behavior of the LAN bypass option for IPsec. #4655
  • Fixed IPsec LAN bypass toggling every time save is pressed. #4640
  • Changed how charon is started and restarted to fix a various issues with IPsec configuration reloading. #4268
  • Added new modes for IPsec Phase 1 according to RFC 5903 (Ecliptic Curve groups). #4260
  • Implemented the "make before break" feature available in strongSwan 5.3.0, which is useful for IKEv2. #4626
  • Fixed vpn_ipsec_configure so it always performs a filter reload to ensure the ruleset is updated where necessary in every IPsec change scenario. #4631
  • Added support for EAP-RADIUS to IKEv2 Mobile Clients. #4614
  • Fixed a panic/crash when accessing services on the firewall over mobile IPsec on 32-bit installations (set net.inet.ipsec.directdispatch=0 on i386). #4537
  • Fixed an issue with FQDN hosts and PSKs. #4785
OpenVPN
  • Added a space to the OpenVPN TLS Verify script to avoid appended parameters appearing the same as existing parameters.
  • Fixed get_interface_ip() to return the IP address correctly for gateway groups specifying a VIP, which fixed OpenVPN clients not working with gateway groups specifying VIPs. #4661
  • Changed the OpenVPN client settings to allow just one of either the username or password to be specified. #3633
  • Fixed OpenVPN servers listening on an associated IPv6 addresses.
Captive Portal
  • Fixed filterdns to use the proper API for ipfw changes on FreeBSD 10.1+ to correct captive portal allowed hostnames not being loaded into tables at boot time. #4746
  • Fixed Captive Portal RADIUS accounting. #4131
  • Fixed Captive Portal Idle-Timeout causing a value of 2147483647 for acctsessiontime. #4652
  • Fixed disconnection of active voucher users, and corrected disconnection of users especially when triggered via XMLRPC. #4625
Operating System
  • Fixed both the kernel and choparp to better handle I/O and prevent issues in the way it handles BPF, which can contribute to a panic when using Proxy ARP VIPs. #4685
  • Merged a patch that avoids a panic on sockbuf module. #4689
  • Fixed AESNI to be SMP friendly to avoid various decryption errors and possible encryption mistakes. Also present critical_enter/critical_exit to avoid preemption of the currentrunning thread which should fix panics. #4702
  • Updated time zone data from FreeBSD 10.1-RELEASE. #4459
  • Fixed creation of /var/spool/lock on NanoBSD at boot time. #4532
  • Removed boot_serial='yes' from loader.conf when serial is disabled. #4617
  • Fixed an issue where mtree would fail during an upgrade from a previous version of FreeBSD when moving to 2.2.x. #4653
Interfaces/NIC Drivers
  • Added support for Sierra Wireless MC7354.
  • Added support for Intel X552, ixgbe changes from stable/10, and moved altq changes for ixgbe to the large ixgbe patch.
  • Enabled ix/ixv/ixl modules in the kernel
  • Fixed duplication of statistics on vlan(4) interfaces for outgoing bytes #3314
  • Fixed updating wireless statistics so that the output bytes are not always zero. #4028
  • Added a patch from FreeBSD PR 200722 for mpd5 to preventing it from printing a warning when renaming an interface to an existing name.
  • Fixed SLAAC/DHCPv6 handling for cases where the global SLAAC IPv6 address might be present when using DHCPv6. #4483
  • Corrected descriptions on Key Rotation and Master Key Regeneration for wireless interfaces.
  • Removed the "insert my MAC" feature from interfaces.php.
  • Defined $var_path as a global key since it is being used in interfaces.inc, but it was not declared.
  • Fixed issues setting the MTU on certain interfaces. #4397
Packages
  • Fixed various issues with PBI generation.
  • Synchronized and cleaned up various pfPorts, eliminated several that had changes pushed back into FreeBSD ports.
  • Fixed an issue where rebuild_package_binaries_pbi.php could fail due to missing build files. #4600
  • Backported patches from FreeBSD stable/10 to fix a crash when stopping squid. #4592
  • Fixed pfflowd to use the correct version for parsing the new pfsync header and corrected the pfsync version check. #4304
  • Updated pkg_edit.php with fixes for usecolspan2 and combinedfields.
  • Fixed pagination on pkg.php.
  • Fixed boot-time log file initialization for package logs. #4603
DHCP/RA
  • Clarified that DNS Forwarder and Resolver both apply in DHCP/DHCPv6 and router advertisements. #3730
  • Removed unnecessary filtering on the DHCP static mappings table.
  • Added appropriate RA Flags for "Stateless DHCP".
  • Added error checking to avoid warnings about DHCP relay during boot.
  • Fixed hostname validation for static DHCP leases such that only fully qualified hostnames must be unique, not only short names.
  • Fixed adding DHCP static mappings from the DHCP leases view to non-default pools. #4649
  • Stopped invalid DHCP settings from being applied when input errors exist.
  • Removed DHCP static lease overlap cleanup and its associated function and killing of the DHCP daemon. This behavior could cause problems with failover scenarios, especially when adding/editing/removing static mappings.
Web GUI
  • Fixed language selection. #4705
  • Changes to status.php to make it easier to gather and submit support information:
    • Added sanitization of OpenVPN static/tls keys to status.php.
    • Cleaned up, organized, and expanded the info presented by status.php.
    • Changed status.php to additionally save the output to individual text files and compress them into a .tgz for later download.
  • Fixed setup wizard LAN DHCP pool calculation to avoid an invalid pool.
  • Improved the setup wizard hostname check. #4712
  • Fixed some minor text issues in wizards.
  • Changed the wizard to use the current WAN gateway name rather than assuming the name. #4713
  • Updated and corrected the wireless status flags and capabilities list. There are many more possible flags, now documented on the wiki at Wireless Status.
  • Added a fall back to look up local user privileges and groups if the groups could not be found from LDAP and there is a local user.
  • Fixed Crash Reporter submissions when symlinks were present as part of crash report, which would fail to save the report on the server. #4650
  • Set a user agent for the Crash Reporter.
  • Cleaned up code logic in status_upnp.php.
CARP
  • Changed CARP so that it does not trigger a carp demotion taskqueue if the value is 0, which can cause the cluster to misbehave.
  • Fixed issues for CARP+Bridges where pfSense would crash or freeze. #4607
  • Fixed the CARP plugin call for packages. The "interface" parameter was coming through as NULL during CARP events.
  • Added INIT event for CARP in devd.conf as an alternate for 'backup', otherwise scripts would not take down services during a MASTER->INIT transition. (e.g. interface unplug, link loss)
  • Fixed NTP so that it properly uses selected CARP IP addresses. #4370
  • Fixed CARP packet flow after initial interface creation. #4633
Traffic Shaper/Limiters
  • Fixed limiters when used with IPv6. #2526
  • Corrected handling of NAT when RDR/BINAT is applied on packet and it is being sent to limiters. #4596
  • Disabled defer in pfsync which is used for active-active deployments not usable in FreeBSD. This should fix hangs reported on some machines with pfsync, specifically with Limiters. #4310
DNS
  • Consistently handle clear_subsystem_dirty after an Unbound restart.
  • Added a call to clear_subsystem_dirty('staticmaps') when using Unbound, otherwise DHCP static mappings would not fully apply when Unbound was in use. #4678
  • Fixed an Unbound warning when "dnsallowoverride" was off and port forwarding was on. #4682
  • Re-enabled verification for selfhost DynDNS since their chain issue has been resolved. #4545
Misc
  • Updated PHP to 5.5.26
  • Fixed various issues in the installer for GEOM mirrors (mirror slice detection, gmirror cleanup on non-clean disks.) #4658
  • Fixed new user creation to use skel as the source of new user files rather than copying from the home directory of root.
  • Changed growl so it will not be called if the configured address isn't an IP address or resolvable hostname. This avoids 1 minute timeout delay in fsockopen in growl.class. This change cuts that down to about a 20 second timeout. #4739
  • Added a reboot after restoring a full backup in the GUI. #4107
  • Deprecated /usr/local/bin/3gstat as it was no longer used. It was replaced by 3gstats.php long ago.
  • Started using the "host!" flag when setting CURLOPT_INTERFACE, as recommended by the CURL documentation.
  • Started passing the interface to CURLOPT_INTERFACE instead of the IP address, also started using the "if!" flag to avoid CURL trying to resolve the interface name.
  • Fixed NTP serial configuration to setup the serial port before attempting to configure a GPS unit.
  • Cleaned up various HTML/XHTML issues.
  • Fixed a check for deleting a VIP when in use by OpenVPN.
  • Fixed issues with backup/restore of a config.xml breaking the serial console on ADI installs. #4720
  • Fixed several issues with boot speed when WAN was disconnected. #4442
    • Reduce the timeout for HTTP/HTTPS connection attempts for items like URL table aliases. Once connected, they can run past that. 5 seconds should be more than enough for any properly-functioning network.
  • Removed some unused/obsolete files.

pfSense screenshot (620 pix)

Versienummer 2.2.3
Releasestatus Final
Besturingssystemen BSD
Website pfSense Digest
Download https://www.pfsense.org/download/
Bestandsgrootte 83,30MB
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

26-06-2015 • 19:45

28

Submitter: FREAKJAM

Bron: pfSense Digest

Update-historie

Reacties (28)

28
27
21
1
0
0
Wijzig sortering
Gebruik pfSense al jaren met veel pezier. Erg compleet en stabiel.

Het lijkt erop dat ze onder druk van OPNSense een update van de verouderde userinterface aan het doorvoeren zijn.

Alleen jammer van een nog steeds aanwezige ipv6 bug (in FreeBSD waar pfSense op gebouwd is). Hierdoor is ipv6 niet/niet lekker te gebruiken.
Voor de bug is wel een work around.
Welke work around bedoel je? Heb nu ipv6 uit staan om die reden terwijl ik native ipv6 van mijn provider aangeboden krijg.
In de bug report staat die. Verder werkt op al mijn Freebsd servers IPv6 via 6rd zonder problemen maar ik draai ook 10 en 11.
In pfSense onder System->Advanced->System tuneables heb ik toegevoegd
net.inet.tcp.rfc1323 met de waarde 0 en pfSense opnieuw opgestart.

Te vroeg om al conclusies te trekken, maar ipv6 lijkt beter te draaien.
Zal terugkoppelen of deze workaround inderdaad het probleem opgelost heeft
Na een paar dagen draaien met bovenstaande workaround lijkt het erop dat dit het probleem opgelost heeft. Kan nu in ieder geval normaal browsen naar en op ipv6 websites
IMO: compleet en stabiel zijn niet mijn ervaringen.

Stabiliteit is OK zolang je geruime tijd wacht met een firmware update, zodat je weet of er niet stiekem een vervelende bug in zit.
En compleet durf ik het alleen te noemen als je het gebruik beperkt tot een firewall.

Ik gebruik pfSense nu een krap jaar als vervanging van Microsoft TMG. De afweging was:
- IPv6 ondersteuning is nodig
- de mindere functionaliteit, GUI en ondersteuning strepen we af tegen de licentiekosten

In de praktijk blijkt nu dat dit niet opweegt tegen het wegvallen van de licentiekosten. Nieuwe firmware wordt blijkbaar niet grondig getest, fixes voor breaking bugs komen bepaald niet snel, functionaliteit is vaak onvolledig als je packages nodig hebt (ja, anders komt het niet echt in de buurt van TMG) zoals de IPv6 ondersteuning en bijvoorbeeld functionaliteit als pre-defined networks en een centrale management mogelijkheid ontbreken.

pfSense gaat hier op korte termijn vervangen worden door een ander product. Op dit moment lijkt dat Sophos UTM te worden die de beste kosten baten verhouding lijkt te leveren.
Zo zie je dat ervaringen uiteen kunnen lopen. Lijkt erop dat we wel SOHO en meer enterprise situaties met elkaar vergelijken en dat dit het verschil in ervaring kan verklaren.

Je noemt Microsoft TMG. Als ik me niet vergis is dat de opvolgende naam voor ISA (Internet Security and Acceleration) Server van Microsoft. In de tijd nog wel met ISA bezig geweest als onderdeel van Microsoft Small Business Server en was daar weinig van onder de indruk. Erg complex voor een relatief eenvoudig vraag.
TMG (Threat Management Gateway) is inderdaad de opvolger van ISA. TMG wordt niet verder ontwikkeld; voor gedeeltelijke functionaliteit wordt verwezen naar (de gratis) WAP rol in Windows Server 2012.

pfSense als pure firewall (dus ook geen VPN) is naar mijn mening behoorlijk goed. Ook onder Hyper-V door de UEFI ondersteuning en enlightment drivers.

In een zakelijke omgeving waar de continuïteit van belang is valt wat mij betreft pfSense af.
Hier was het duidelijk een test-case in productie die niet aan de, vooraf al stevig bijgestelde, verwachtingen kon voldoen.

Nu rest de vraag wat dan wel i.p.v. TMG.
Dat ziet er zeker goed uit! Kan niet wachten op 2.3.
De interface kan inderdaad wel een opfrisbeurt gebruiken.

[Reactie gewijzigd door BenCo. op 25 juli 2024 07:30]

Mooie update, zeker dat ze nu meer nics ondersteunen. Ben sinds kort over naar IPfire, maar als ik UPnP niet aan de praat krijg misschien toch maar weer terug :)
Anoniem: 148406 @Vburen27 juni 2015 09:09
Waarom wil je in godsnaam uPnP toestaan op een een firewall???
Meestal voor een spelcomputer. Je kan in pfSense restricties opleggen. In de UPnP instellingen is het mogelijk om bepaalde IP-ranges en poorten uit te sluiten of toe te staan.
Mijn PS3 is het enige apparaat wat UPnP mag gebruiken de rest niet.
Dat kan in IPfire ook, ze gebruiken allebei miniUPnP. En met deze filter mogelijkheden snap ik het gezeur niet meer over UPnP
IPfire is ook wel een mooie router/firewall, alleen mist het voor zover ik weet nog redundancy. PFsense heeft dit wel maar ik persoonlijk kan niet wennen aan de webinterface, mij te omslachtig. Het meest prettig blijf ik toch VyOS vinden, de fork van Vyatta.
Heerlijk geen dure firewall licenties meer, ook binnen vmware een genot om te gebruiken. De vmware tools kun je installeren als een package. Op dit moment nog aan het stoeien om internet verkeer over een andere gateway te sturen maar dat komt vast goed.
Kun je toch in een firewall regel instellen dat het via een andere gw moet lopen...
Ja dat klopt, enkel de uitdaging zit hem in een andere wan gateway over dezelfde DMZ kabel en nic. We maken gebruik van glas en coax en deze combineren we. Met de GTA firewall ging dit eenvoudig in de pfsense werken de regels niet wel als ik een andere lan gateway gebruik in de regels.
weet niet of ik nu precies snap wat je bedoelt, maar als ik het goed begrijp kun je beter een aparte NIC gebruiken hiervoor.
Als het ff kan zou ik segmenten (op 1 kabel/NIC) scheiden met VLAN's. Maar je kunt evt. de wan gw handmatig aanmaken op de DMZ interface en dan alsnog in de (Lan?) regels het verkeer via die gw leiden.
Destijds hen ik getest met een aantal content scanners. Ook pfSense. Ik gebruik echter al weer geruime tijd de (voor thuis gebruik) gratis verkrijgbare en veel fijnere Sophos UTM. Geen vergelijk eigenlijk.
Uit nieuwsgierigheid : wat is er volgens jou "veel fijner" aan Sophos ?
Veel fijner is wat plat omschreven. Sophos UTM is een professionele content scanner die in alle opzichten 'fijner' is. De interface, de mogelijkheden, de prijs (gratis voor thuisgebruik), de schaalbaarheid. En zo kan ik nog wel even doorgaan.
Het was meer ter info voor gebruikers van pfSense.
Ik heb een hoop utm versies gezien, sophos ook. Ik herinner me dat ie "gratis" is maar wel een vorm van licentie gebruikt waarin het aantal nodes werd bijgehouden. Clamav als antivirus, dat kan in pfsense ook. Schaalbaarheid, geen idee (thuisgebruik). Prijs....gratis. mogelijkheden....veel. En ja, ik gebruik pfsense.... ;)
Ik herinner me dat ie "gratis" is maar wel een vorm van licentie gebruikt waarin het aantal nodes werd bijgehouden. Clamav als antivirus, dat kan in pfsense ook. Schaalbaarheid, geen idee (thuisgebruik). Prijs....gratis. mogelijkheden....veel. En ja, ik gebruik pfsense.... ;)
Ja, daar heb je gelijk in. 50 nodes en 32000 simultane connecties.

Overigens gebruikt Sophos niet ClamAV maar de eigen antivirus engine én die van Avira. (Nu heeft Avira aangekondigd de support voor Linux medio 2016 te stoppen. Daar zal dus een andere engine voor in de plaats komen)

pfSense is overigens prima. Het is 'slechts' voor thuisgebruik en dan pak je wat voor jou het best werkt. Mijn opmerking was ook niet bedoeld als kritiek op pfSense maar om te wijzen op het - vaak gemiste - 'gratis' Sophos aanbod. Mijn woordkeus 'veel fijnere' is wat scheef; ik had moeten roepen: 'in mijn ogen veel fijnere...'. Editen gaat niet meer, dus bij deze.

[Reactie gewijzigd door einstein op 25 juli 2024 07:30]

Helaas is de bug "Fixed Captive Portal RADIUS accounting" nog niet correct opgelost...
Anoniem: 149004 26 juni 2015 23:01
nou dat is nog eens een update !

Op dit item kan niet meer gereageerd worden.