Software-update: OPNsense 18.7

Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en was oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 18.7 uitgebracht met de volgende aankondiging:

OPNsense 18.7 released

Dear friends and followers,

For 3 and a half years now, OPNsense is driving innovation through modularising and hardening the open source firewall, with simple and reliable firmware upgrades, multi-language support, HardenedBSD security, fast adoption of upstream software updates as well as clear and stable 2-Clause BSD licensing.

Another 6 months passed by ever so quickly! The main goal for 18.7, nicknamed "Happy Hippo", is stability so we have not yet begun to adopt FreeBSD 11.2, but there are several of its Intel NIC driver updates included to bridge the gap until 19.1 comes out. The upgrade also includes a tremendous amount of IPv6 improvements including 6RD support as well as authentication and backup framework consolidation. Please also take note that QinQ is no longer included in this release.

These are the most prominent changes since version 18.1:
  • improved WAN DHCPv6 and SLAAC connectivity and tracking
  • functional IPv6 Rapid Deployment (6RD) support
  • improved default route handling and gateway switching
  • OpenVPN default setup improvements for IPv6 and RADIUS attribute support
  • Dpinger gateway monitoring integration
  • password policies for local authentication and coupled TOTP
  • Monit core integration to eventually replace the legacy notifications
  • OpenSSH access via group and shell selection instead of privilege
  • pluggable backup framework with new Nextcloud option
  • sytem tunables are now also used as loader tunables
  • unrestricted VLAN usage for e.g. Xen
  • QinQ interface removal
  • firmware GUI speedup, improved error parsing and console reboot hint
  • ZFS on root boot support (installer support is pending, but opnsense-bootstrap works)
  • ZFS and MSDOS config import support
  • ISC DHCP version moves from 4.3 to 4.4
  • RRDtool version moves from 1.2 to 1.7
  • rework rc.syshook facility to use drop-in directories instead of suffixes
  • backports of FreeBSD 11.2 Intel NIC drivers
  • stand-alone frontend UI development tools
  • language updates for Czech, French, German, Portuguese (Brazil)
  • UI header security and SSL cipher hardening
  • extensive UI cleanups and menu consolidation
  • new and rewritten plugins: os-cache, os-lcdproc-sdeclcd, os-net-snmp, os-nut, os-openconnect, os-relayd 2.0, os-shadowsocks, os-theme-cicada, os-theme-rebellion, os-theme-tukan, os-wol 2.0
We thank all of you for helping test, shape and contribute to the project! We know it would not be the same without you.

Migration notes and minor incomatibilities to look out for:
  • SSH access is now bound to the "wheel" group which is automatically added to "admins" group, which "root" is a member of. "root" is the only user that has a default shell, namely opnsense-shell, which is the root console menu.
  • SSH access can be set for an arbitrary group as well under System: Administration for non-members of "admins" group. However, in both cases only SCP works due to a request in the forum to be more proactive regarding yielding of shell access rights. If you want a user to gain true SSH access you need to change their shell from "nologin" to an installed shell in their respective settings.
  • Web GUI HTTPS ciphers have been hardened. To gain access please use a recent browser.
  • The authentication fallback for the GUI/system has been removed in favour of selecting multiple authentication servers at once. Reassign your fallback as a primary authentication method or now use more than two methods.
  • It has been found that although WAN interfaces require gateways to function, they do not necessarily have to be assigned in single-WAN scenarios to avoid interfering with WAN reply behaviour. The "none" selection was therefore changed to "auto-detect" to reflect this and now is the recommended setting unless multi-WAN is used.
  • In preparation for the firewall alias API the per-item descriptions have been removed along with support for the deprecated types urltable_ports and url_ports.
  • OpenVPN /31 tunnel network calculation changed to use the first and last address as network address and broadcast address do not exist. If you are affected, adjust your clients or export their configuration again which includes the configuration fix. Additionally, /32 tunnel networks are now prohibited.
Stay safe and happy,
Your OPNsense team
Versienummer 18.7
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Japke Rosink

Meukposter

Feedback • 02-08-2018 16:17
32 • submitter: kjschuurs

02-08-2018 • 16:17

32

Submitter: kjschuurs

Bron: OPNsense

Update-historie

10-09 OPNsense 25.7.3 2
21-08 OPNsense 25.7.2 7
31-07 OPNsense 25.7.1 18
24-07 OPNsense 25.7 9
22-07 OPNsense 25.1.12 16
16-07 OPNsense 25.1.11 4
01-07 OPNsense 25.1.10 0
18-06 OPNsense 25.1.9 1
12-06 OPNsense 25.1.8 8
19-05 OPNsense 25.1.7 6
Meer historie

Lees meer

OPNsense

geen prijs bekend

5 van 5 sterren
Beveiliging en antivirus

Reacties (32)

-Moderatie-faq
32
32
20
1
0
7
Wijzig sortering

Sorteer op:

Weergave:
kozue 2 augustus 2018 16:44
Waarom hebben ze eigenlijk een fork gemaakt van pfSense? PfSense zelf is toch al prima? Wij gebruiken het al vele jaren en het super stabiel en flexibel. Waarom zou je deze gebruiken ipv pfSense?
wilmardo @kozue2 augustus 2018 17:06
In de OPNSense docs staat eigenlijk alles wel uitgelegd. Maar er is nog wel wat controverse wat betreft de fork zie bijvoorbeeld deze thread op Reddit
Persoonlijk heb ik OPNSense gekozen vanwege de betere interface en LibreSSL support :)
Blorgg @wilmardo3 augustus 2018 07:53
In de OPNSense docs staat eigenlijk alles wel uitgelegd. Maar er is nog wel wat controverse wat betreft de fork zie bijvoorbeeld deze thread op Reddit
Persoonlijk heb ik OPNSense gekozen vanwege de betere interface en LibreSSL support :)
Na wat meer over die controverse gelezen te hebben laat ik OPNSense links liggen. Dat is geen manier om je project te beginnen.
arjankoole @Blorgg3 augustus 2018 09:40
Oh, ze zijn bij pfsense niet vies van het creeeren van controverse, zoals domeinnamen registeren en daarop OPNsense besmeuren. Pfsense en Netgate zijn ook niet bepaald betrouwbaar te noemen. OPNsense heeft daarin gelijk gekregen van een internationale instantie. (Wipo, dacht ik).

Wat is de controverse precies qua OPNsense? Het enige wat ik zie is gemuit over merkrechten die ze mochten gebruiken voor hun appliances en daarna werden ingetrokken, waardoor ze logischerwijs wat moeten ondernemen. Daarnaast vind ik OPNsense een stuk fijner werken dan pfsense.
Blorgg @arjankoole3 augustus 2018 20:27
Oh, ze zijn bij pfsense niet vies van het creeeren van controverse, zoals domeinnamen registeren en daarop OPNsense besmeuren. Pfsense en Netgate zijn ook niet bepaald betrouwbaar te noemen. OPNsense heeft daarin gelijk gekregen van een internationale instantie. (Wipo, dacht ik).

Wat is de controverse precies qua OPNsense? Het enige wat ik zie is gemuit over merkrechten die ze mochten gebruiken voor hun appliances en daarna werden ingetrokken, waardoor ze logischerwijs wat moeten ondernemen. Daarnaast vind ik OPNsense een stuk fijner werken dan pfsense.
Graag je bron dat PFSense en Netgate niet betrouwbaar zijn.

Van wat ik gelezen heb probeerde OPNsense het merk "PFSense" te claimen in Europa door daar hardware met PFSense uit te brengen. Los van wie met modder gooit, dat is een smerig spelletje. Het had er niet mee te maken dat ze geen PFSense op hun hardware zouden mogen leveren, dat mochten ze wel. Maar toen ze het merk probeerden over te nemen trok PFSense de stekker er uit.
arjankoole @Blorgg3 augustus 2018 20:35
http://www.wipo.int/amc/e.../text.jsp?case=D2017-1828

https://opnsense.org/opnsense-com/

Het verhaal wat ik heb meegekregen was dat ze het recht hadden gekregen om de appliances uit te brengen met de naam pfsense. (De key factor van het product immers). Vervolgens wilde netgate dat recht intrekken omdat ze zelf appliances willlen uitbrengen. Daar gingen ze op dwars leggen, niet op de merknaam an sich, als hun gebruiksrecht niet aan was getorned, was OPNsense er misschien wel niet gekomen.
Jerie @arjankoole4 augustus 2018 15:49
Dat niet alleen, ze hebben bijv ook de 32 bit versie stopgezet. Terwijl die nog prima bruikbaar is. Je kunt misschien niet alle software draaien op 4 GB RAM maar da's een ander verhaal. Verder ook jammer dat het niet voor MIPS en ARM(64) werkt.
tnth @kozue2 augustus 2018 16:49
PfSense werkt inderdaad prima, toch heb ik gekozen voor OPNSense omdat:
- er een Nederlands bedrijf ondersteuning biedt;
- datzelfde bedrijf hardware levert met OPNSense erop;
- de GUI voor mij intuïtiever is dan die van PfSense.
Yarisken @tnth2 augustus 2018 20:34
Waar vindt je de hardware ? Kan het niet terugvinden op hun site ....
GertMenkel
@Yarisken2 augustus 2018 21:40
Ik geloof dat er wordt verwezen naar het bedrijf Deciso (https://www.deciso.com/product-catalog/) dat ook OPNSense onderhoudt?
Flytezero @Yarisken2 augustus 2018 21:42
Ik denk dat hij applianceshop bedoelt.
tnth @Yarisken3 augustus 2018 06:45
Via een omweggetje :)

Op de website van Deciso hebben ze een pagina met een overzicht: https://www.deciso.com/product-catalog/

Oeps, dubbel. Is gisteravond al gereageerd zie ik.

[Reactie gewijzigd door tnth op 24 juli 2024 20:56]

Yarisken @tnth3 augustus 2018 11:12
Bedankt voor de link.
powerboat @kozue2 augustus 2018 18:20
Opnsense staat ook bij in de startblokken om pfsense af te lossen.

Standaard out of the box veel completer dan pfsense o.a. dual factor op openvpn en ids/ips meteen ingebakken.

Voor mij was de realtime logging doorslaggevend.

Plus NL ontwikkelaars :z
Yarisken @powerboat2 augustus 2018 20:28
Ids / ips ingebakken en realtime logging ... mijn interesse is gewekt :-)
cptjack @kozue2 augustus 2018 16:57
Al kan ik niet echt vergelijken met PfSense omdat ik deze slechts heel kort heb gebruikt. Voor mij gaf de REST api de doorslag om voor OPNsense te gaan. Vele settings kan je via scripts aanpassen, nog niet alles maar ze zijn goed op weg.

Verder is het een aangename community die steeds bereid is om nieuwkomers te helpen. Ik heb al enkele pull requests gelanceerd en deze zijn zonder problemen opgenomen in het project.
tc-t @kozue2 augustus 2018 17:17
pfSense op zich is prima, ik gebruik het naar tevredenheid op mijn werk, bij 2 klanten en zelf thuis.

Hetzelfde kan ik helaas niet zeggen over de community/het forum. Ik heb daar vragen gesteld over een vrij specifiek probleem wat ik tegenkom (iets met ipv6, track interface, GUA en ULA adressen en virtual IPs), maar eigenlijk wordt ik daar gewoon genegeerd (RTFM als standaard antwoord; al zijn er wel enkelen die proberen me verder te helpen, maar daar helaas niet in slagen. Ook gewone users denk ik).
Verder ook een bug report ingediend ivm een werkende config die na een reboot plots niet meer werkt (kan ik eenvoudig herproduceren) en dat heeft ook 0,0 aandacht gekregen.

Het resultaat is dat ik OPNsense eens ga proberen om te kijken of ik
1. met dezelfde configuratie ook tegen die bug aanloop
2. ook dat ipv6 probleem ervaar
3. dan wel geholpen word als ik melding maak van deze problemen

Afhankelijk van de resultaten kan het zijn dat ik overstap op OPNsense.
terradrone
@kozue2 augustus 2018 20:35
Omdat pfsense steeds vijandiger naar niet commerciele partners werd, disclaimers in de ui stopte, mensen die ook maar opnsense bij naam op het forum noemde meteen een ban geven. Ze zijn druk bezig de software naar zich toe te trekken, met eigenbelang (verkoop van hun eigen hardware) voorop. Waar ze vergeten dat pfsense op zichzelf ook gewoon een fork is, en het een opensource programma is, proberen ze het pakket door patent op de merknaam pfsense dicht te timmeren. Ze gaan zelfs zover users op het opnsense forum te linken aan users op pfsense forum om ze vervolgens van het forum af te kiepen. Contributes van derden worden lauw ontvangen of word zelfs niets mee gedaan.

Heb zelf op facebook al ondervonden dat bij een nieuwsbericht van pfsense ook maar opnsense bij naam noemen resulteerd in dat ze je hele reactie verwijderen.

Opnsense is daarentegen door de founder van monowall aangewezen als de juiste opvolger van monowall (voor wat het waard is).
vdr01 2 augustus 2018 19:33
Kun je migreren van Pfsense naar Opnsense? Ik bedoel hiermee of de backup configuratie van Pfsense na installatie Opnsense ingelezen kan worden. En dat het dan ook nog werkt _/-\o_
powerboat @vdr012 augustus 2018 21:39
Helaas niet (op enkele onderdelen na) :'( Ik hoop wel dat ze ooit wel een cli interface maken zodat deze ook te beheren zijn met CM (bijv. Ansible) te beheren zijn.

Training / Certificering zou ook echt een toegevoegde waarde geven :9
vdr01 @powerboat3 augustus 2018 20:18
Bedankt voor uw reactie. Gezien de vele uren die als hobbyist in mijn Pfsense config zitten durf ik het om die reden nog niet aan. Pfsense loopt als een zonnetje op mijn apu2c4. https://pcengines.ch/apu2c4.htm O-)

[Reactie gewijzigd door vdr01 op 24 juli 2024 20:56]

powerboat @vdr014 augustus 2018 00:30
O ik denk als je al wat uurtjes hebt gespendeert in pfsense dat opnsense goed te doen is ;) veel lijkt toch wel op elkaar.

Ik heb opnsense op een oud bakkie er langs draaien en beide langs elkaar gespiegeld tot dat de config identiek was. :+
EverLast2002 @vdr014 augustus 2018 12:18
Ik heb dezelfde APU2C4, maar daar loopt pfSense niet als een zonnetje.
Out of the box nieuw gekochte APU board met pfSense erop, standaard setup en een paar pakketten erbij geinstalleerd (squid, clamav, pfblocker).
Met een APU firmware upgrade en een verse pfSense installatie liep alles weer goed, maar ik ervaar heel veel DNS time-outs (oeps, cannot find the website you requested).
Vaak lijkt het alsof de APU in een energie spaarstand staat en dat ie even moet ontwaken voordat er uberhaupt iets reageert als je aan het surfen bent.
En de webgui/menu van pfSense reageert ook niet altijd even vlot. Heel irritant om mee te werken.
Ik ben maar weer terug overgestapt naar een virtuele pfSense config (ESXi).
vdr01 @EverLast20024 augustus 2018 13:56
Wat een pech heeft u dan. Mijn apu loopt werkelijk waar als een zonnetje. Enige reden voor een reboot is na een update van de Pfsense software. Ik meen dat er ergens in de config wel een energiespaarmodus is aan of uit te zetten. Heb mij er nooit in verdiept omdat mijne altijd paraat staat en ik nooit de indruk heb dat die slaapt. Ook herken ik de DNS problemen die u schetst in zijn geheel niet. Enige wat ik niet gebruik is de WIFI functionaliteit in Pfsense omdat die geen 5 ghz ondersteund. Dat wist ik vantevoren overigens. Daarvoor maar een Fritz erbij gezet.

@Powerboat, ik heb veel tijd moeten steken in de config van Openvpn server en talloze Openvpn clients. An sich is 1 vpn client voldoende maar ik heb graag meerdere landen ter beschikking staan. Al mijn apparatuur achter de Pfsense gaat naar buiten via een Nordvpn client.

[Reactie gewijzigd door vdr01 op 24 juli 2024 20:56]

ux15 2 augustus 2018 16:27
Fijn als firewall/ router voor je thuisnetwerk. Alle mogelijkheden die je maar nodig hebt.
renedis 2 augustus 2018 19:26
Ik ben eerst overgestapt uit noodzaak van PfSense naar OPNsense. Toen nog een beetje onwennig maar ik was wel fan van de gelikte GUI.

Overstappen moest vanwege Broadcom NIC's op een VMware Dell machine icm iDrac en passthrough. Daar kan PfSense niet mee overweg helaas in combinatie met de Broadcom's. Ieder ander merk? geen probleem, maar voor mij dus geen optie.

Nu al meer dan dik een jaar met volle tevredenheid in gebruik. Zo tevreden dat ik alle PfSense machines op andere locaties heb uitgefaseerd.

Dik in orde dat OPNsense!
opa uche 2 augustus 2018 19:16
Jammer dat ik het niet aan de gang krijg op mijn oude Checkpoint 4200, dat lukte wel met pFsense.
terradrone
@opa uche2 augustus 2018 21:13
Waar loop je tegenaan? opnsense leent zich juist meer voor "oude" hardware dan pfsense, daar pfsense ondersteuning voor 32bit cpu's heeft laten vallen en ze spoedig met een nieuwe release aes enabled cpu's gaan vereisen. Deze rare streken heeft men bij opnsense niet, en opnsense zit veel dichter tegen de orignele freebsd aan.
opa uche @terradrone2 augustus 2018 21:37
Tis een serial only bak, geen vga
terradrone
@opa uche2 augustus 2018 23:26
nano image naar compactflash schrijven of console install, kan beide met opnsense.
opa uche @terradrone3 augustus 2018 10:05
tnx, heb het werkend. Is wel anders qua gui dan pfsense, lijkt me overzichtelijker zo op het eerste gezicht. Nu ik 2 van deze Checkpoints heb met eentje pfsense en eentje opnsense, wel leuk om zo te vergelijken.

Nu maar eens ff wachten op het nieuwe netwerk zodat ik het blokje met 32 IP adressen kan koppelen :D
opa uche @terradrone3 augustus 2018 00:19
Dan ga ik dat zeker een keer nader onderzoeken en proberen!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq