Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 19.7.9

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben eerder OPNsense 19.7.9 uitgebracht met de volgende aankondiging:

OPNsense 19.7.9 released

As 20.1 nears we will be making adjustments to the scope of the release with an announcement following shortly.

For now, this update brings you a GeoIP database configuration page for aliases which is now required due to upstream database policy changes and a number of prominent third-party software updates we are happy to see included.

Here are the full patch notes:
  • system: use 825 days as the default maximum certificate lifetime
  • system: hide leaking hostname on SSH password auth (contributed by sooslaca)
  • system: remove unused "lifetime" parameter from user manager page
  • firewall: new GeoIP settings page to allow continued use of upstream database[1]
  • firewall: log when alias couldn't resolve a hostname
  • firewall: translate pfInfo page tabs (contributed by Smart-Soft)
  • firmware: add mirror MARWAN (Moroccan Academic & Research Wide Area Network)
  • dhcp: replace killbyname() usage which should not have killed both services
  • dhcp: auto-replace windows DUID dashes (contributed by Team Rebellion)
  • mvc: PSR12 code style updates
  • plugins: os-acme-client 1.29[2]
  • plugins: os-bind 1.12[3]
  • plugins: os-dyndns must use dyndns_failover_interface() to translate gateway group
  • plugins: os-frr 1.14[4]
  • plugins: os-maltrail 1.3[5]
  • plugins: os-nginx 1.17[6]
  • plugins: os-nut fixes validation and snmp-ups selection (contributed by Michael Muenz)
  • plugins: os-theme-cicada 1.24 (contributed by Team Rebellion)
  • plugins: os-zabbix4-proxy 1.1[7]
  • ports: openssh 8.1p1[8]
  • ports: openssl 1.0.2u[9]
  • ports: php 7.2.26[10]
  • ports: phpseclib 2.0.23[11]
  • ports: python 3.7.6[12]
  • ports: strongswan 5.8.2[13]
  • ports: sudo 1.8.30[14]
  • ports: unbound 1.9.6[15]

Stay safe,
Your OPNsense team

Versienummer 19.7.9
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

21-01-2020 • 04:38

37 Linkedin

Submitter: terradrone

Bron: OPNsense

Update-historie

Reacties (37)

Wijzig sortering
Door de vijandigheid bij pfsense, waar ze de communitycode zichzelf toe eigenen en met popups in de software kwamen (no commercial distributions whatsoever is allowed) was ik er helemaal klaar mee. Het enige waar pfsense patent op heeft is de naam, verder niets Alle mensen die zich jarenlang via de community hebben ingezet om mee te developen voelen zich in de kou gezet. Daar was Opnsense een welkome oplossing. Werkt alweer jaren prima, voor mijn simpele setup. Gewoon als betrouwbare x86-64 based firewall op een energy efficient 1he rack servertje thuis.

Werkt overigens prima op uefi firmware, boot en installeert keurig; erg leuk om freebsd in native uefi mode te zien booten. Met de komst van opnsense 20.0 / 20.1 , wat waarschijnlijk gebaseerd gaat worden op hardenedbsd 12 , gaan we nog meer support zien voor nieuwere hardware , waaronder mogelijk ook ac-wifi.
waaronder mogelijk ook ac-wifi

die gaat als het goed is ook komen en zit daar met smart op te wachten
scheelt mij een boel gedoe met kabels
Zover ik heb kunnen vinden, zit ac-wifi nog niet eens in 13-CURRENT dus een rebase op 12.x zal daar helaas weinig soelaas gaan bieden. Ik draai nu 13-CURRENT op mijn laptop i.c.m. een Intel 9260 en die wordt naar n-modus gedwongen omdat ac niet ondersteund wordt.
ach mijn draadloze netwerkkaart uit 2016 word niet eens herkend door opnsense
(WLE600VX)
daar in tegen de nieuwe 10GB kaarten worden probleemloos herkend
Fabrikanten zitten daar dan ook aardig bovenop. In datacenter-netwerken is FreeBSD nog best een grote jongen namelijk. Wifi is blijkbaar te ingewikkeld voor de community om bij te blijven.. en het is ook echt een serieus ingewikkeld onderwerp trouwens, dus helemaal niets ten nadele van de FreeBSD-devs. Er zit helaas niet de omvangrijke community achter die Linux wel heeft.
Gebruikt iemand dit hier? En zo ja hoe?
Op welke hardware?
Ik gebruik nu al twee jaar OPNsense en draai dit op een Qotom hardware naar volle tevredenheid. Werkt prima met een 500/500 glasvezel verbinding van KPN met interactieve TV. :)
Bedankt voor je reactie.
Welke Qotom pc heb je?
En waar heb je het besteld?
En is dpi en zo aan? (Vreet toch resources en vertraagt je lijn?)
Snort gebruikt inderdaad wat cpu power. Als er een pentium in zit moet dit geen probleem geven voor thuis gebruik.
De Celeron is eigenlijk te langzaam/niet krachtig genoeg.

Zelf nu bij Ali een P4405u systempje besteld. Even afwachten hoe snel deze is, maar verwacht snort zonder problemen te kunnen draaien op volle snelheid. Bakje zelf kost 123 Euro ex btw en zonder disk/geheugen.
De Qotom Q575G6 (intel i7-7500u) via Ali. Alles staat aan, ook dpi. CPU zit rond de 10%.
ja al jaren ik ben toen overgestapt van IPfire naar Opnsence.

Ik ben er erg tevreden mee. mooie interface, zeer stabiel en actieve community.

Ik draai het op VMware , achter mijn ziggo modem.

[Reactie gewijzigd door maximgeerts op 21 januari 2020 07:57]

Is alles in te stellen via de interface? Of moet je nog veel doen op een CLI? Dat was toentertijd voor mij de reden om met pfsense te stoppen.
Ja, ik gebruik de CLI vrijwel nooit. 99,99% kan via de GUI.
Is alles in te stellen via de interface? Of moet je nog veel doen op een CLI? Dat was toentertijd voor mij de reden om met pfsense te stoppen.
Hoe lang geleden was dat ongeveer? En wat kon je toen niet instellen?
Alweer een paar jaar, had er speciaal een 4-poorts quotom voor gekocht.
En wat kon je toen niet instellen?
Sorry, weet ik niet meer.
Heb het als test wel eens op een simpele oude i3 met 4GB ram en een SSD en dubbele Intel NIC gehad. Werkt leuk maar omdat het bij mij eigenlijk alleen kijken was verder niet echt wat ermee gedaan. Het systeem was wel snel ( was de verwachting ook) .
Ik draai het al sinds begin 2015 naar volle tevredenheid.
Heb het 3x draaien; 1x op een VM in een datacenter en hier thuis op een hardware doos (J1900 CPU) als primair en op een VM als HA-failover.

Eigenlijk weet ik al niet meer waarom ik ooit over gestapt ben vanaf pfSense, maar eigenlijk nooit meer de behoefte gehad om naar wat anders te gaan. Het doet wat het voor mij moet doet, grote issues zijn (voor mij) achterwege gebleven, en de support via het forum is (voor zover nodig gehad) goed.
Hier ook al een jaar of anderhalf op een Qotom 355G4 (hier gekocht: https://nl.aliexpress.com/item/32799048185.html ). Ik haal met firewall, drie interfaces en redelijk wat services (maar zonder DPI) de volledige 500/40 mbps van mijn Ziggo lijn. DPI kan je aan of uit zetten naar wens, meestal heb je het niet nodig.

Zet je DPI aan dan gaat vrijwel elke oplossing door z'n knieën qua throughput, tenzij je >duizend euro wil investeren in een hardwarematige firewall of OPNsense op een dikke serverbak hebt draaien.
Ik heb het 8 maanden draaien op een Odroid H2 (Intel J4105 quad core) en het draait prima. Ik heb een eenvoudige configuratie, maar volgens mij is alles via de webinterface in te stellen. Ik ben heel erg tevreden over OPNsense!
ik heb nog een apu device te koop staan waar je het op kan draaien :-)
In Hyper-V als testnetwerk
Waar wij zelf als pfSense gebruikers last van hadden een aantal releases terug, is het alias systeem van OPNSense. Ze hebben toen de keuze gemaakt geen decriptions meer te hebben voor een alias entry, wat onze alias lijst van 1000+ entries als source code zonder remarks maakte. Geen touw meer aan vast te knopen, want wat zegt een IP of een hostname? Er was geen fatsoenlijke discussie mogelijk met de mensen achter OPNSense in deze, waardoor we uiteindelijk de move van pfSense naar OPNSense niet gemaakt hebben.

Zijn er inmiddels nog steeds geen decriptions mogelijk bij alias entries?

[Reactie gewijzigd door Rataplan_ op 21 januari 2020 10:02]

Je bedoelt descriptions bij de Firewall aliases? Dat kan gewoon, ik kan me niet eens herinneren dat ze dat niet hadden.
Ik heb net een live-image gedraaid van de laatste release, en je kunt inderdaad geen descriptions per entry in een alias meer zetten. Wel in de alias zelf, maar niet per entry daarin. Voorheen ging dat wel, ik en anderen hebben er overigens ook een discussie over gehad maar de heren waren niet voor rede vatbaar in deze.
We hadden op het moment dat 18.7 uitkwam (vanaf wanneer de descriptions eruit gingen) een dubbele setup draaien van pfSense en OPNSense. pfSense team had wat rare uitlatingen gedaan, OPNSense team trouwens niet minder. Ik weet niet wat nu de status is, maar ze gunden elkaar het licht niet in de ogen. Hoe dan ook, we wilden OPNSense doen en daar ook voor gaan betalen, maar door deze change is het bij pfSense gebleven.

Voorbeeld:
Alias 'Customer IP's for IMAPS access"
a.a.a.a <klantnaam A external IP>
b.b.b.b <klantnaam B external IP>
c.c.c.c <klantnaam C external IP>
d.d.d.d <klantnaam D external IP>
enz.

Sommige IP's hebben geen reverse DNS, en zo wel is het vaak <iets>.static.kpn.nl of <iets>.ziggozakelijk.nl. Daaraan kan ik niet zien voor welke klant het is. In het verleden in OPNSense, en in het heden nog steeds in pfSense, kan je zoals hier bovenstaand voor elke individuele entry in een alias een description opgeven. Sinds OPNSense 18.7 dus niet meer. Ze stellen 'als een entry de moeite waard is moet je er maar een eigen alias voor aanmaken en die nesten'. M.a.w. in plaats van zoals hierboven, had ik 4 aliassen aan moeten maken, met een description, en die weer nesten in de 'hoofd' alias. Als je dan de aliassen genest hebt, zie je in de 'hoofd'alias nog steeds alleen maar de naam van de geneste aliassen, en niet de description. De naam is weer heel beperkt, mag een hoop tekens niet bevatten. Dubbelklikken oid op een geneste alias is niet mogelijk. Een mouse-over kennen ze ook niet, dus er is geen mogelijkheid de daadwerkelijke description van een geneste alias te zien behalve handmatig naar die alias te browsen.
Erg omslachtig en veel meer complexiteit. Ik heb toen een script gemaakt wat de bestaande aliassen uit elkaar trok, en er geneste entries van maakte zoals ze het bij OPNSense graag hadden. De alias tabel werd daarmee ruim 4x zo groot, en dan zijn wij maar een klein clubje. Met duizenden aliassen lijkt me dat niet goed voor de performance, laat staan voor de complexiteit bij troubleshooten.

Verder had OPNSense (destijds in elk geval) geen seperator lines in de firewall rules. Dat maakte het een grote lange brij aan rules, waar je bij pfSense een gekleurde seperator lijn kunen plaatsen met een tekst erin, waardoor je gemakkelijk bv klanten, servers, subnetten oid kunt 'scheiden' op die manier.

Een kleine andere feature die we missen in OPNSense is het dubbelklikken op een rule of alias om hem te editten. Dat maakt het in pfSense weer een stuk sneller om wijzigingen te doen.

Dit maakt de GUI van pfSense in onze ogen wel degelijk wat vriendelijker, ondanks dat die er ouderwetser uitziet.

Voor de rest denk ik dat het beetje lood om oud ijzer is, zowel OPNSense als pfSense hebben hun pluspunten. Voor wat betreft de uiteindelijke werking hebben we totaal geen voorkeur, beide firewalls doen (voor ons) precies wat ze moeten doen.

[Reactie gewijzigd door Rataplan_ op 21 januari 2020 10:10]

Ivm de controversie mbt pfsense eigenlijk nooit naar gekeken. Een eerlijke vergelijking zou wel leuk leesvoer zijn. Kijken waar beide projecten nu, na zoveel jaar staan en welke van de 2 er nu eigenlijk het beste is.
Draai het nu ook sinds ruim een a twee jaar. Na wat instabiliteit in het begin draait het nu beter als pfsense. De web interface was even wennen, maar uiteindelijk logischer ingedeeld en ze hebben een duidelijke roadmap en vast release cycles. Ik was eerst een beetje sceptisch of ze het gingen redden naast een gevestigde naam als pfsense, maar intussen hebben ze zich wel bewezen.
Draai een recente pfsense in het DC in een VM op een eigen machine (Xeon v4), af en toe heb ik daar wat performance problemen mee.
Thuis eea getest met pfsense en opnsense op een dedicated 1037U machine. (China model met 6 poorten)
OPNsense kwam daar door net iets betere performance en overzichtelijke interface als winnaar uit.
De performance problemen zie ik hier, ondanks de hogere load, nergens terug.

De enige reden om wat aan de configuratie te veranderen is een AMD oplossing met dezelfde features.
Maar dat zal komende tijd nog wel wishful thinking zijn...
Ooit begonnen met monowall, daarna vanwege functies overgestapt naar pfsense. Uiteindelijk na al het gezeik om pfsense heen overgestapt naar opnsense. Verder veel betere interface, stabielere plugin, DPI en rolling releases.

Draait al een paar jaar rocksolid op diverse locaties. sommige 1037U based en bij de zwaardere eisen (fiber/vpn/dpi) op een Dell r210II
Draait hier inmiddels alweer bijna een jaar naar tevredenheid op een Shuttle DH310 met Core i3 en 16 GB RAM, met tussen OPNSense en de hardware ook nog Proxmox VE (met KVM virtualisatie).

OPNSense VM heeft 2 VCPU's gekregen en 5 GB RAM. LAN loopt via 'gewone' virtuele netwerkbridge. Voor WAN krijgt OPNSense de fysieke NIC via PCI passthrough toegewezen.

De 1 Gbps van Tweak wordt hiermee met gemak vol getrokken, hoewel ik (nog) geen dingen als Suricata en dergelijke heb geconfigureerd
Ongeveer een jaar geleden overgestapt van pfSense naar OPNSense voornamelijk vanwege de ingebouwde 2FA functionaliteit. In het begin wat problemen vanwege issues tussen FreeBSD en de Apollo Lake CPU architectuur. Draait nu prima (zonder Suricata o.i.d.),

Gigabit WAN (Tweak) snelheid wordt volledig gehaald: Fitlet2, Celeron J3455, 4GB, 32GB SSD
19.7.9_1 draait hier.
Op een PC-Engines APU2C4 board.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True