Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 19.1.7

Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 19.1.7 uitgebracht met de volgende aankondiging:

OPNsense 19.1.7 released

Hello, hello!

This update features a number of improvements such as link-local support for bridges, HA sync consolidation, adding local CAs to the trusted SSL certificates for most of the system download capabilities, plugin-based PAM authentication rework for IPsec and the web proxy as well as third party fixes for hostapd / wpa_supplicant 2.8 and Suricata 4.1.4.

Python 3 migration is also underway now which requires to pull in both Python versions which may be heavy on embedded Nano installs, but we cannot see another way for this tedious task which will probably stretch into 19.7 to be fully carried out in 20.1.

And speaking of 20.1: This is the first of many reminders that 20.1 will discontinue the i386 (Intel 32 Bit) franchise as discussed a number of times within the community over the years. Our hope is that ARM64 will make a viable replacement. But that is for another time.

As you may have noticed the project has not been delivering releases every other week and there are a number of reasons for it:

Security-wise we have not had a lot of necessary third-party software updates. Feature-wise we are sitting on a number of improvements for the upcoming 19.7 series that will trickle into 19.1.x now, but that have also required larger preparations and testing in the meantime. On the community side of the spectrum, sponsored by our partner m.a.x. it, we have started to work on better default gateway switching which led to an overall gateway integration rework and then quickly to interface handling restructuring, which in turn led to improving plugin capabilities of core services (OpenVPN, IPsec, Unbound, Dnsmasq, DHCPD, Dpinger). Looking at it now it has been the largest rework so far on code established many years ago and only occasionally patched. We hope this shows our dedication to the code base even when things are not always 100% bug free. If you feel like pitching in now is a good time to try the development version and let us know about how it performs.

Without further ado, here are the full patch notes:
  • system: HA sync cleanup removes opportunistic syncs in random GUI pages (use HA status page to sync and restart remote services)
  • system: support for syncing alias and VHID to the slave
  • system: cleanly rewrite CA root files and add local trusted CAs as well
  • system: disable backup cron job when no backup is enabled
  • system: more reliable load and sync for LDAP attributes (contributed by Indrajit Raychaudhuri)
  • system: migrate health graph scripts to Python 3.6
  • interfaces: properly add and remove IPv6 trackers after interface apply
  • interfaces: validate prefix ID of IPv6 trackers so that each ID is unique
  • interfaces: display "0x" in prefix ID field so that it is clear that value is in hex
  • interfaces: fix passing VLAN name in interface_virtual_create()
  • interfaces: fix group-related bugs and allow digits and underscores in name, but no more than 15 characters
  • interfaces: allow link-local address on bridges via optional setting
  • interfaces: PPP-related code cleanups
  • firewall: prevent double-escaping of text in rules page
  • firewall: handle IDNA encode failures in aliases
  • firewall: alias import / export option
  • captive portal: update to bootstrap 3.4.1
  • captive portal: fix a race in directory creation and listClients()
  • dhcp: fix TFTP boot file name usage (contributed by Bjorn Kalkbrenner)
  • dhcp: merge static mac addresses with leases
  • dhcp: prevent double-escaping of text in leases page
  • firmware: add private log file for major upgrade package install step
  • firmware: use a safer major upgrade package install mode
  • firmware: retain /etc/motd on base updates
  • ipsec: implemented wildcard includes (contributed by Mark Plomer)
  • ipsec: only apply mobile PFS to mobile phase 2
  • ipsec: restyle mobile settings a little
  • ipsec: switch XAuth to PAM
  • ipsec: partial fix for static routes on routed tunnels during boot
  • network time: reload RRD since NTP has a setting for it
  • web proxy: fix PAC weekday match labels (contributed by Mohammed Sadiq)
  • web proxy: switch authentication to PAM
  • backend: treat non existing key as empty string in sortDictList()
  • mvc: pluggable PAM-based authentication framework
  • mvc: add filter closure to searchBase()
  • plugins: introduce plugins_run() for collecting structured data from plugins
  • plugins: os-clamav 1.6
  • plugins: os-dyndns 1.5 fixes CloudFlare zone ID lookup behaviour (contributed by George Johnson)
  • plugins: os-frr 1.10
  • plugins: os-netdata 1.0 (contributed by Michael Muenz)
  • plugins: os-nginx 1.11_2 fixes ACME support (contributed by Frank Wall)
  • plugins: os-rfc2136 1.5 removes unused gateway group related code
  • src: move invoking of callout_stop(&lle->lle_timer) into llentry_free()
  • src: ensure that IP addresses match in ICMP error packets in pf(4)
  • src: add bsdinstall utility for upcoming 19.7 installer replacement
  • ports: dhcp6c v20190419 fixes raw options segfaults (contributed by Franck78)
  • ports: hostapd / wpa_supplicant 2.8
  • ports: perl 5.28.2
  • ports: py-yaml 5.1
  • ports: suricata 4.1.4
  • ports: sqlite 3.27.2
Stay safe,
Your OPNsense team
Versienummer 19.1.7
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Japke Rosink

Meukposter

10-05-2019 • 16:54

9 Linkedin Google+

Bron: OPNsense

Update-historie

Reacties (9)

Wijzig sortering
Wat zijn de voor/nadelen tegenover pfsense?
Ben zelf erg fan van pfsense.
Ik heb eigelijk dezelfde vraag. gebruik ook pfsense maar...
- ooit was er een mededeling dat pfsense 2.5 alleen hardware met AES-NI zou ondersteunen. In een artikel (dat ik helaas niet meer terug vind) zou Netgate op deze beslissing zijn teruggekomen (bevestiging iemand???) Mijn hardware heeft geen AES-NI, voor zover ik weet legt opnsense deze verplichting NIET op.
- wat ik heel erg mis in pfsense is NAT voor IPv6. Uit wat ik gelezen heb moet dit ook mogelijk zijn bij gebruik van IPv6 (correct me if I'm wrong). Ik heb ook geen idee of opnsense dit wel kan.
Als ik bij mij in de settings ga kijken heb ik de keuze voor NAT IPv6, IPv4, IPv4+IPv6.
Ook NPTv6 behoort tot de mogelijkheden.
Gaat dit over opnsense of over pfsense?
Als het over pfsense gaat, hoor ik graag van je waar en hoe je een IPv6 NAT rule aanmaakt, dan heb ik iets geleerd.
Bij voorbaat dank.
In de blog van 18 maart 2019 staat op hun site.

The original plan was to include a RESTCONF API in pfSense 2.5.0, which for security reasons would have required hardware AES-NI or equivalent support. Plans have since changed, and pfSense 2.5.0 does not contain the planned RESTCONF API, thus pfSense 2.5.0 will not require AES-NI.
Voornamelijk cadence en community. Bij pfSense is alles eigenlijk van Netgate en is het een commercieel rommeltje geworden; leuk voor mensen die in USA wonen, lastig voor alle andere mensen op de wereld. OPNSense daarentegen maakt het weinig uit waar je het op draait of hoe je het draait en of je de naam noemt bij het inzetten in een setup.

OPNSense (waarom niet gewoon OpenSense 8)7 ) heeft een meer agile release cycle, waarbij je vaker kleine patchsets krijgt die in principe veiliger door te voeren zijn om dat er minder tegelijk verandert.

Wat AES-NI en x86_64 betreft: AES-NI is niet verplicht, maar wel een goede richtlijn. Als je een CPU hebt die dat niet kan is er een dikke kans dat hij zo oud is dat het weinig zin heeft om hem te gebruiken (tenzij je netwerk doorvoer laag genoeg is dat het niet uit maakt). pfSense was inderdaad van plan om met 2.5 alles wat geen AES acceleration doet in de installer te bannen.

In allebei de gevallen zitten ze wel met wat FreeBSD (en HardenedBSD) doen; die gaan i386 niet meer ondersteunen. Dat is in de meeste gevallen niet zo'n ramp om dat zo'n beetje alle bruikbare hardware van de laatste 10 jaar wel iets met 64-bit kan.
2 jaar geleden heb ik een QOTOM-Q190G4 Intel J1900 4 Gigabit NICs + WIFI gekocht, die nog steeds meer dan voldoende power heeft. Er draait suricata (IPS) en pfblokkerNG op, 8Gb geheugen en 128Gb SD.
Helaas heeft de J1900 geen AES-NI, ik zou het zonde vinden van de investering om het ding nu al te moeten vervangen.
OPNsense heeft meer regelmatige updates en een gelikte GUI.
PfSense heeft een grotere communitie base, maar wat je op PfSense allemaal kan configureren/modificeren, kan op OPNsense ook.

Een beetje hetzelfde als het LibreElec vs OpenElec verhaal..

Ikzelf heb altijd gekozen voor OPNsense. Onderliggend kunnen/doen ze beide precies hetzelfde. OPNsense is een fork van PfSense.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True