Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 19.1.8

Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 19.1.8 uitgebracht met de volgende aankondiging:

OPNsense 19.1.8 released

Good day to you all,

This update addresses several privilege escalation issues in the access control implementation and new memory disclosure issues in Intel CPUs. We would like to thank Arnaud Cordier and Bill Marquette for the top-notch reports and coordination.

Here are the full patch notes:
  • system: address CVE-2019-11816 privilege escalation bugs[1] (reported by Arnaud Cordier)
  • system: /etc/hosts generation without interface_has_gateway()
  • system: show correct timestamp in config restore save message (contributed by nhirokinet)
  • system: list the commands for the pluginctl utility when no argument is given
  • system: introduce and use userIsAdmin() helper function instead of checking for 'page-all' privilege directly
  • system: use absolute path in widget ACLs (reported by Netgate)
  • system: RRD-related cleanups for less code exposure
  • interfaces: add EN DUID Generation using OPNsense PEN (contributed by Team Rebellion)
  • interfaces: replace legacy_getall_interface_addresses() usage
  • firewall: fix port validation in aliases with leading / trailing spaces
  • firewall: fix outbound NAT translation display in overview page
  • firewall: prevent CARP outgoing packets from using the configured gateway
  • firewall: use CARP net.inet.carp.demotion to control current demotion in status page
  • firewall: stop live log poller on error result
  • dhcpd: change rule priority to 1 to avoid bogon clash
  • dnsmasq: only admins may edit custom options field
  • firmware: use insecure mode for base and kernel sets when package fingerprints are disabled
  • firmware: add optional device support for base and kernel sets
  • firmware: add Hostcentral mirror (HTTP, Melbourne, Australia)
  • ipsec: always reset rightallowany to default when writing configuration
  • lang: say "hola" to Spanish as the newest available GUI language
  • lang: updates for Chinese, Czech, Japanese, German, French, Russian and Portuguese
  • network time: only admins may edit custom options field
  • openvpn: call openvpn_refresh_crls() indirectly via plugin_configure() for less code exposure
  • openvpn: only admins may edit custom options field to prevent privilege escalation (reported by Bill Marquette)
  • openvpn: remove custom options field from wizard
  • unbound: only admins may edit custom options field
  • wizard: translate typehint as well
  • plugins: os-freeradius 1.9.3 fixes string interpolation in LDAP filters (contributed by theq86)
  • plugins: os-nginx 1.12[2]
  • plugins: os-theme-cicada 1.17 (contributed by Team Rebellion)
  • plugins: os-theme-tukan 1.17 (contributed by Team Rebellion)
  • src: timezone database information update[3]
  • src: install(1) broken with partially matching relative paths[4]
  • src: microarchitectural Data Sampling (MDS) mitigation[5]
  • ports: ca_root_nss 3.44
  • ports: php 7.2.18[6]
  • ports: sqlite 3.28.0[7]
  • ports: strongswan custom XAuth generic patch removed
Stay safe,
Your OPNsense team
Versienummer 19.1.8
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Japke Rosink

Meukposter

28-05-2019 • 16:15

29 Linkedin Google+

Bron: OPNsense

Update-historie

Reacties (29)

Wijzig sortering
In hoeverre is dit beetje vergelijkbaar als Pihole bijvoorbeeld?

Ik vindt het jammer dat Opensense niet voor Raspberry gemaakt is :(
OPNSense kan zo worden ingesteld dat het op eenzelfde manier functioneert als Pi-Hole. Andersom is dat helemaal niet mogelijk.

Zelf gebruik ik OPNSense als firewall, DHCP server, DNS en Traffic monitor, (heb VPN nooit goed aan de praat weten te krijgen op een of andere manier. Ook pfSense niet, trouwens).

FreeBSD heeft builds die geschikt zijn voor systemen met ARM processoren, maaar een blik in de forums toont dat de Raspberry Pi niet zo geweldig is. Kan ook te maken hebben dat je minstens één USB NIC moet gebruiken. Raspberry Pi alternatieven hebben meer succes met de FreeBsd/OPNSense software.

Mijn 1e OPNSense router was een 10 jaar oude, slome AMD dual core met 2GByte aan RAM, een oude 300GByte hard disk en een extra netwerk kaartje van 5 euro ofzo. Werkte prima voor een 40-tal computers voor een jaar of 2, totdat het ASRock moederbordje het begaf.

Daarna vervangen door een 10 jaar oude Intel Core Duo op een degelijk Asus moederbord (hard disk, RAM en NIC overgeplaatst). Draait nu bijna 3 jaar meer dan uitstekend.

Als je een oude PC hebt liggen en je minstens 2 NICs daarin hebt zitten, dan is dat al ruimschoots voldoende voor OPNSense en een klein thuisnetwerk kan in principe al ruimschoots worden voorzien met een oude Pentium 4 processor. Zelfs een hard disk is in principe niet eens nodig, het werkt ook al vanaf een pendrive.

Alleen tijdens het installeren van OPNSense is een monitor en toetsenbord vereist, daarna kunnen deze worden losgekoppeld en kan de router worden bediend met je browser. Verbruik valt ook reuze mee en na het spenderen van wat tijd voor begrip van de netwerk terminologie, kun je toch een leuke router opzetten die naar jouw wensen is ingericht.

Blijkbaar kun je vanaf hier Raspberry Pi images downloaden. Iemand heeft de moeite gedaan om zijn/haar Google drive te vullen met Raspberry Pi images.

[Reactie gewijzigd door GeroldM op 28 mei 2019 17:19]

PiHole is alleen een DNS 'filter' die er voor zorgt dat je minder ads te zien krijgt.
OPNsense is een volledige firewall met veel toeters en bellen. (DHCP, VPN, firewall rules, DNS,....)

Persoonlijk niet heel vergelijkbaar.
Het is niet vergelijkbaar. Zijn 2 totaal verschillende producten. Pi-Hole is een DNS server met een fancy UI en wat blocklists, OPNsense is een volwaardige routing/firewalling software.
Wat is nu eigenlijk verschil tussen deze en pfsense?
OPNsense is begonnen als fork van pfSense, jaren geleden, maar is nu een volledig eigen project. In mijn ogen zijn dit (delen van) de voordelen van OPNsense:
  • Actievere ontwikkeling, elk half jaar is er een major. Zowel updates als upgrades zijn bij mij altijd volledig vlekkeloos verlopen.
  • Je kunt commerciele ondersteuning inkopen, van een Nederlands bedrijf (Deciso BV).
  • Het gebruikt HardenedBSD als base, een veiligere fork van FreeBSD. De founding father van HardenedBSD, Shawn Webb, is overigens core member van OPNsense.
  • Het biedt de keuze uit OpenSSL of LibreSSL (Netgate, het bedrijf achter pfSense heeft aangegeven dit niet te doen "want we kennen en vertrouwen de OpenSSL devs" - een vreemde uitspraak van een security georienteerd product).
  • De webinterface draait volledig los van het systeem, wat de veiligheid ten goede komt.
  • Het heeft een actievere community die plugins bijdragen, feedback en ontwikkeling, bijvoorbeeld Sensei. Ook zijn ze bezig met een netmap kernel, waardoor er fatsoenlijke throughput als je het gevirtualiseerd draait - pfSense heeft hier ook last van.
  • Two factor authentication is volledig geintrgreerd in het gehele systeem, niet alleen op de web-interface login.
De zaken zijn veiligheidsaspecten - persoonlijk hecht ik daar veel waarde aan. Immers, een firewall moet in mijn ogen een van de meest veilige devices in het netwerk zijn.
Dank voor deze aanvullende informatie.

Heb je toevallig ook ervaring / gekeken naar sophos xg firewall home en sophos utm home? Voor mij samen met pfSense en nu ook OPNsense opties die ik aan het bekijken ben.

Alle info welkom :)
Als ik het goed heb is dit een fork van pfsense met een eigen UI en wat andere packages. De pfsense mensen zijn geloof ik niet heel blij met de opnsense mensen en vice versa vanwege verschillende meningen over ontwikkelingen in het project.

Achter opnsense zit een Nederlands bedrijf (Deciso) dat hardware verkoopt die goed werkt met opnsense. Achter pfsense zit een Amerikaans bedrijf (Netgate) dat hun eigen hardware verkoopt. Dat levert andere prioriteiten en ontwikkelingen op. Het bedrijf achter pfsense heeft rare spelletjes gespeeld door opnsense.com te registreren en hun concurrent helemaal de grond in te boren. Twee projecten met hetzelfde doel en ooit eenzelfde codebase.

Op technisch vlak: in tegenstelling tot pfsense is er bij opnsense geen ondersteuning voor hardwarematige AES-versnelling gepland, iets dat pfsense in de toekomst wel zal doen edit: zie reactie hieronder. Als je een (behoorlijk) oude pc als firewall wil gebruiken kan dit een probleem vormen. Tot noch toe is die requirement er nog niet, maar voor zover ik weet komt die er wel ooit.

De opnsense licentie is ook wat makkelijker geloof ik en

Na beide te hebben geprobeerd heb ik zelf voor pfsense gekozen, maar net als pfsense kan je opnsense prima in een virtual machine draaien en kijken wat je het beste vindt werken. Ik koos pfsense omdat er meer community support voor is en niet zo thuis ben in netwerkconfiguraties maar dat is voor ieder anders.

[Reactie gewijzigd door GertMenkel op 28 mei 2019 20:12]

Op technisch vlak: in tegenstelling tot pfsense is er bij opnsense geen ondersteuning voor hardwarematige Als-versnelling gepland, iets dat pfsense in de toekomst wel zal doen. Als je een (behoorlijk) oude pc als firewall wil gebruiken kan dit een probleem vormen. Tot noch toe is die requirement er nog niet, maar voor zover ik weet komt die er wel ooit.
Correctie: die is er wel degelijk. Volgens mij zelfs vanaf de eerste release. Maar pfSense vereist de AES-NI instructieset, bij OPNsense is het optioneel. Als die aanwezig is en je 'm aan laat staan, heb je hardware acceleratie voor AES.
Inderdaad. Maar als ik die reacties lees komt het er nog wel aan. Het porten naar FreeBSD 12 heeft prioriteit gekregen over de restconf API.
Toch klopt je statement op dit moment niet, het is geen vereiste en je kan het nu nog steeds uitzetten als je dat wilt. Ook de hardware hoeft het niet te ondersteunen. :)
I stand corrected, dank voor het verbeteren.
Ik merk dat ik vaak problemen heb met het switchen van vpn clients op pfsense. Ook het maken van firewall rules op basis van aliassen (host / urls) doen het niet. Is opnsense hier pragmatischer in?
Ja! Ik had zelf gehoopt dat pfSense dat al opgelost zou hebben, maar blijkbaar nog niet. Werkt op OPNsense in ieder geval zonder problemen.

En het honoreert ook aliases op basis van CIDR. Bij pfSense, als je bijvoorbeeld 123.123.123.123/27 invoert zet ie dat om naar allemaal losse entries.
Ik quote even mezelf:

Rataplan_ in 'downloads: pfSense 2.4.4-p3'

We hebben OpnSense geprobeerd en momenteel nog steeds langs pfSense draaien in mijn bedrijf. Maar wij blijven voorlopig bij pfSense. pfSense heeft een aantal smerige streken uitgehaald in het verleden, maar moet zeggen dat zeker de community daar beter is. Wij hebben gemerkt dat de OpnSense developers niet luisteren naar gebruikers en precíes doen hoe zíj het goeddunken, en ook geen discussie daarover aangaan. Dat is hun goed recht natuurlijk, maar een zwaar tellende reden voor ons om niet met ze in zee te gaan. Een praktisch ding wat we in opnSense ineens misten zijn de alias descriptions. Ineens alles weg, al je aliassen zijn ineens een onbegrijpelijke brei aan ip adressen. Design choice zeggen ze dan, en komt ook niet meer terug. Hun alternatief is voor elke alias-entry die rrn description had, een eigen alias maken met die description, en dan de hele zooi nesten. Van ongeveer 500 naar 2500+ aliassen in ons geval. Buiten de extra complexiteit lijkt me dat voor de performance van het geheel ook geen goeie keuze.
Het voelde net alsof MS de mogelijkheid tot commenten in .net of PowerShell eruit had gehaald.

Nee, pfSense voelt voor ons toch wat serieuzer aan. Maar ieder zn smaak.
"pfSense heeft een aantal smerige streken uitgehaald in het verleden..."
Wat hebben ze precies gedaan, als ik vragen mag?
Zie bv de post van GertMenkel hierboven. Maar zoek eens op pfsense controversy.
Ik heb nu een mikrotik met 10 poorten en wifi. Mocht er betaalbaar een device zijn met OPNsense dat wifi doet en 8 a 10 poorten heeft zou ik wel overgaan.
kan je dat niet gewoon oplossen met een opnsense met 1 wan, 1 lan, en dan vlans met scheiding op je switches?

doe het hier ook zo, hoewel een 3de poort wel handig had geweest mbt backup verbindingen
(en ja, dan krijg je misschien wel router-on-a-stick, maar met intern alles op gbit en 100mbps naar het internet toe maakt dat nu ook niet echt uit)

er zijn trouwens wel een aantal (relatief) betaalbare opnsense appliances (bv via italie: https://www.miniserver.it...try-level-3-nic-wifi.html )
maar je kan evengoed zelf wat in elkaar steken...

[Reactie gewijzigd door thutex op 28 mei 2019 19:05]

Op AliExpress en dergelijken ook. Zoek maar eens op pfSense; als dat erop draait is OPNsense ook geen probleem.
klopt, maar bij ali moet je natuurlijk wel rekenen op mogelijke importkosten, terwijl dat niet zo is voor italie.
persoonlijk ben ik wel eerder fan van zelfbouw met componenten die je gewoon hier kan halen, hoeft zelfs niet echt veel duurder te zijn,

maar wifi in de firewall steken ipv een AP erachter zou ik persoonlijk wel niet doen, al is dat misschien gewoon voorkeur.
Eens. Maar snap ook dat anderen de voorkeur geven aan een zo klein mogelijk bordje in combinatie met een prijs die voor consumenten te behappen is. Voor prosumers en bedrijven is er zelfbouw, virtuele appliances én Deciso die hardware appliances verkoopt :)
Wrm heb je 10 poorten nodig? Zoveel verschillende netwerken in het netwerk?

[Reactie gewijzigd door maartenbe99 op 28 mei 2019 20:13]

lans???? netwerken binnen een netwerk bedoel je?
Reactie gewijzigd, verwoording was idd niet zo goed
Ik heb een smart tv, 4 Intel Nice, 3 esxi machines en een Vero 4 k aangesloten. 1 clan gewoon. Ik vermijd een switch liever. Minder single Points of faillure en minder stroomverbruik. In België kost elek redelijk duur ...
Je hebt 3 esxi machines maar wilt stroom besparen op een switch?
Die staan uit als ik die niet gebruik. 24/7 machine die ik gebruik staat in de cloud ;-)

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Formule 1

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True