Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 20.1.3

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben kort geleden OPNsense 20.1.3 uitgebracht met de volgende release notes:

OPNsense 20.1.3 released

Quick reliability release for all of you out there doing the impossible providing VPN for road warriors and what not. Keep it up!

Here are the full patch notes:
  • system: match group CN case-insensitive
  • system: added pluggable log format parsing facility
  • system: update nsComment in OpenSSL config (contributed by vnxme)
  • interfaces: fix missing default gateway switch on linkup event
  • firewall: properly lock alias_util API (contributed by Cedric Deconinck)
  • firewall: flush priority sections to /tmp/rules.debug
  • firewall: do not escape internal URLs
  • firmware: revoke 19.7 fingerprint
  • ipsec: add virtual IPv6 pool for mobile clients (contributed by vnxme)
  • ipsec: add MVC service control API
  • monit: simplify Monit reload
  • openvpn: properly swapped help texts regarding routes
  • unbound: multiple fixes in DHCP watcher
  • mvc: fix CountryField for static options
  • mvc: extend PortField to support multiple items
  • mvc: BaseListField plus PortField now use getValidationMessage() to bootstrap defaults
  • mvc: add NetworkAliasField, ProtocolField and LegacyLinkField types
  • mvc: apply PSR12 style as found on master
  • ui: add jQuery plugin to support a simple service reload/action button
  • ui: hook bootgrid javascript texts
  • plugins: os-munin-node 1.0 (contributed by Michael Muenz)
  • plugins: os-sunnyvalley 1.2 (contributed by Sunny Valley
  • plugins: os-wol: relax MAC address validation (contributed by Mikael Falkvidd)
  • ports: ca_root_nss 3.51
  • ports: ntp 4.2.8p14[1]

Versienummer 20.1.3
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

06-04-2020 • 06:35

60 Linkedin

Submitter: JapyDooge

Bron: OPNsense

Update-historie

Reacties (60)

Wijzig sortering
Ik ben benieuwd waar mensen dit op draaien. Die Netgate kastjes zijn vrij prijzig. Maar om nu een hele PC er voor op te tuigen vind ik ook wat overdreven. Tips?
Ik heb toevallig juist deze advertentie gevonden en er een van gekocht om OPNSense op te gaan draaien.
V&A aangeboden: Fanless Core i5 , 4GB RAM + 32 GB SSD; 4 stuks
Welk merk nics zit hierin, Intel?
Even een copy/paste:
Deze netwerk devices zitten erin:
02:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller (rev 06)
03:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller (rev 06)
04:00.0 Network controller: Broadcom Inc. and subsidiaries BCM43224 802.11a/b/g/n (rev 01)

Vanuit OpnSense werk ik gelinkt naar https://www.freebsd.org/releases/11.2R/hardware.html. Hier staan de Realtek 8111 NICs tussen.
Heb niet gekeken naar de draadloze controller gezien ik een AP op het apparaat ga aansluiten
Ik pas. Realtek is een no go voor mij. Bedankt voor de info ;)
Vanwege de gesloten driver?
performance en betrouwbaarheid.
Die problemen zijn jaren geleden opgelost, mits je driver v1.95 gebruikt (standaard in OPNsense).
Ga ik ook even bekijken. Dank!
Ik draai bij een aantal klanten pfSense op APU devices (https://www.apu-board.de/produkte/apu2e4.html)
Flashen is een beetje omslachtig (seriele terminal), maar goed te doen. OPNSense zou net zo goed moeten werken.
Enige wat jammer is aan de APU's is dat ze net wat CPU power missen zodra je meer dan basic firewall, routing, NAT en DHCP wil doen. Zo kan je voor 30 euro meer een embedded i5 krijgen (Q350G4) en meer netwerkpoorten.
Wat "meer" wil je dan doen?
IDS, DPI, Log analytics om maar even wat te noemen. Dit is ook een probleem waar ik tegenaan loop. Genoeg mooie software te krijgen maar op welke hardware kan je het een beetje draaien?
Maar dat zijn dan ook niet echt zaken voor thuis of kleinbedrijf die je daar noemt (zeker dpi niet). Tuurlijk, als je dpi wilt doen, een berg vpn's op honderden mbit; het kan allemaal. Maar dan zul je ook de hardware erbij moeten kopen. Voor "normaal" thuisgebruik is een apu prima (heeft aes, dus een vpn gaat ook nog wel).

Als je een reusachtige high performance gateway wilt bouwen dan is het beter een embedded i7 / xeon appliance met 32gb ecc te kopen ;) . Ik schat dat je voor een duizend of drie - vier wel iets leuks te pakken hebt ;)
Helemaal mee eens hoor maar ik reageer specifiek op de vraag 'Wat "meer" wil je dan doen?'
Deep packet inspection vind ik trouwens niet ongewoon voor een kleinzakelijke firewall. Iedere 'smart' ;( firewall heeft deze functionaliteit wel (gelimiteerd) aan boord samen met een AV scanner.

Ik ga denk ik voor een Intel NUC al moet ik eerlijk zeggen dat die AliExpress dingen met meerdere netwerkpoorten er ook mooi uitzien. Weet iemand of die apart configureerbaar zijn?
Kijk uit met die aliexpress pc'tjes. Je weet niet wat voor kwaliteit uefi er aanwezig is. Waar wij in dit deel vd wereld gewend zijn aan vendorsupport in de vorm van bios/uefi (firmware) updates zie je vaak bij die ali pc'tjes dat ze geleverd worden "as is", de fabrikant onvindbaar/onbekend is en er zomaar hele lelijke fouten in de firmware kunnen bestaan. Dan zit je met iets wat niet werkbaar is en je een mooie deurstop met 5 nics in huis hebt.

Zo had ik laatst te maken met een tronsmart mini pc'tje, waar een gruwelijk slecht uefi in zat, die maakte dat wanneer het machientje uit een sleep state ontwaakte hij niet naar het os terugkeerde maar naar het uefi!!! En daarbij werkte de ethernet poort gewoon vrijwel niet! Bij navraag bij tronsmart luidde het antwoord: "our support department has left our company"!! wtf!!?!?

En dat is dan nog tronsmart, een firma met een "naam" die te herleiden is. Die merkloze doosjes daar is vaak helemaal geen vendor van te vinden. En dan kan je je nog afvragen wat men nog meer in de firmware heeft toegevoegd, waar je geen weet van hebt. Je mag nooit zomaar uitgaan van de "goede bedoelingen". Dus KIJK UIT!
Goed punt inderdaad. Het is natuurlijk wel je router...
Is er dan een goed en vooral een betrouwbaar alternatief? Het liefst bestel ik ook niet bij Ali. En een slechte uefi is ook een security risico. Het apparaat hangt natuurlijk wel direct aan het internet.
Bijvoorbeeld de bouwers van opnsense zelf bezoeken?? https://www.deciso.com/product-catalog/
OPNsense werkt uitstekend op een apu board. Ik draai het op een apu2c4.
Met pfSense had ik problemen icm apu, overgestapt naar OPNsense en werkt vlekkeloos.
Ik deed het voorheen ook net zoals jij met een seriele kabel en de console.
Flashen kan ook doodsimpel vanuit het pfSense/OPNsense menu:
https://teklager.se/en/knowledge-base/apu-bios-upgrade/

Net gedaan, ging top.
Na de flash even je apu herstarten en klaar.
Mja, wat is een 'hele pc'?.....

Je kan op Aliexpress shoppen voor een fanless mini-pc van bv. 'Qotom', dan heb je een i3, i5 of i7 in een heel klein formaat. Voordeel van een 'hele pc' is wel dat je maximale performance kan bereiken (afhankelijk van hoe snel je internetverbinding is, of je ook deep packet inspection, etc. wil gaan doen ).

Hier draait OPNSense op een Shuttle DH310 barebone met een i3 CPU en 16 GB RAM als een 'KVM VM' onder Proxmox VE. De OPNSense VM heeft 2 cores en 8 GB RAM toegewezen gekregen en kan hiermee de volle Gigabit van mijn Tweak verbinding up en down routeren, OpenVPN, HAProxy om HTTPS sites en OpenVPN gedeeld op TCP poort 443 te hebben, etc. Alleen (nog) geen IPS / IDS aan.
Waar het mij om gaat is met name het energieverbruik. Ik zal het niet super zwaar belasten (Ziggo 500/40) en het gaat daarbij vooral om de goede Firewall en de VPN mogelijkheden. Dus het energieverbruik moet vergelijkbaar zijn met standaard routers. De tip van henkNL voor de Qotom is interessant. Die hebben 4 netwerkpoorten. Maar ook de Shuttle DH310 ziet er ook mooi uit.

Ik heb weer wat te onderzoeken. Dank!
Ik heb hier een DH310 met een i3 8100, 16GB RAM en MX500 ssd staan en die verbruikt op zijn laagst (met Windows) +/-6W. Geen idee wat een reguliere router deze dagen verbruikt, de enige die ik ooit heb gehad was een Asus WL500g-deluxe met Oleg firmware, maar voor een pc is dat erg laag :)
Bijna zelfde config hier dus :D.

En idd, Idle en tijdens 'normaal' internetverkeer ongeveer 5-6 W....
De Qotom (als je alls wat je niet gebruikt uitzet) gebruikt ook maar een 'paar' watt. Als je een type met een i3 of i5 neemt en power settings op energy saving zet zal je waarschijnlijk minder gebruiken dan bijv. nighthawk r7000 van netgear (die zit rond de 8W idle). Nu is zo'n netgear niet perse het beste voorbeeld, maar veel van het spul wat je als alternatief zou kunnen inzetten gebruikt toch ook behoorlijk wat energie. Een edgerouter x zit idle ook rond de 6W.
Heb een Qotom en ben bezig met Proxmox om oa de routerfunctie te realiseren.
Voornamelijk ervaring met OpentWRT maar zit te twijfelen om over te stappen naar OPNSense.

Vind het moeilijk vergelijkingen te vinden tussen beide omdat het uitgangspunt van de projecten wat anders is. (arm/x86/x64 vs x86/x64).

Any input welcome :)
Ik heb alleen ervaring met OpenWRT op routers. Ik weet dat er ook een X86 port van bestaat en heb, voordat ik op OPNSense ging settlen, ook nog wel wat linux-based firewall distro's bekeken (omdat ik Linux nou eenmaal beter ken dan FreeBSD), Maar uiteindelijk werkt OPNSense gewoon perfect voor mij :)

OpenWRT blijft voor mij een beetje aanvoelen als een 'samenraapsel' van allerlei packages, met daarop een slechts matig geintegreerde web interface (no offense aan OpenWRT fans ;) ).

OPNSense kan daarentegen wat 'overwhelming' aanvoelen, maar als je het eenmaal door hebt werkt het gewoon mooi.
Ok dank.

Ik ga er mee aan de slag. :)
Weet je wat het verbruik is van jouw DH310 in die configuratie?
Zie ook hierboven, reactie van @Raven

Ongeveer 5-6 W.

Dat is wel idle / tijdens 'normaal' internetverkeer, dus geen heavy routing of connectiontracking van 1000 tcp connecties voor torrents, etc. Verder draait er in de Proxmox omgeving slechts 1 Linux container met daarop een simpele NodeJS applicatie.

Als de I3 flink wordt belast, dan kan het verbruik zo richting 50 schieten :P

[Reactie gewijzigd door eymey op 6 april 2020 11:31]

Raspberry pi is een mogelijkheid of een VM
RPI met maar 1 onboard nic en sdcard zou ik niet zo snel inzetten met OPNsense.
Maar het is wel een mogelijkheid, alhoewel ik ook weleens heb gezien dat mensen er een domme switch opzetten voor het gebruik met PFsense &OPNsense.
Sinds afgelopen weekend draait dit op mijn Qotom q515g6 met 4 GB ddr4 en 120 GB SSD.

Tot voorheen (sinds juni 2019) draaide er pfSense op, nu toch ook maar de overstap gemaakt vanwege o.a. een frequenter update beleid en ik wil aan de slag met wireguard (niet zeker of dat op pfSense ook niet kan intussen)

[Reactie gewijzigd door henkNL op 6 april 2020 09:22]

Waar heb je het systeem besteld? Ali?
Idd Ali, deze heeft een Celeron 3865 en 6 Intel I211 nics, ik gebruik er maar 2.
Deze toen gekozen vanwege prijs, AES-NI en dat deze Celeron toen van een latere cpu generatie was tov de toen goed verkrijgbare i3/i5's.
Voor mij meer dan voldoende power.

[Reactie gewijzigd door henkNL op 6 april 2020 16:35]

Hier een VM op mijn Hyper-V omgeving thuis.

OPNSense is in gebruik als gateway/firewall direct achter mijn modem, maar ook VPN-server voor onze mobiele hardware (laptops, telefoons, enz) waar we dan ook op wifi of 3/4/whatever-G zitten.
Als VM op een ESXi server. Extra resource / stroomverbruik van een extra VM'tje is nagenoeg verwaarloosbaar, de boel staat toch al 24/7 aan.
Draai overigens nog wel pfSense, de overstap nog niet gemaakt...

[Reactie gewijzigd door dhrto op 6 april 2020 11:28]

Odroid H2. Werkt prima. Te koop bij Pollin.de of Antratek.nl.

[Reactie gewijzigd door Videopac op 6 april 2020 15:31]

Hier meerdere draaien; 1x fysiek op een J1900 bordje en 1x als VM (als failover/backup). In een datacenter draait er nog 1 als VM.

Wat betreft tips als het om hardware gaat: ik zou wegblijven van Realtek kaarten. Voor clients zijn ze nog wel bruikbaar, maar qua performance in een firewall/router doosje halen ze het niet bij Intel of desnoods Broadcom.
Kun je me hier meer over vertellen? De performance en stabiliteitsproblemen van Realtek NICs zijn jaren geleden al opgelost.
Nu draai ik al een redelijk aantal jaar OPNSense, en toen ik deze doos inrichtte viel me dat op. Intel en Broadcom gewoon gigabit data verstouwen, Realtek kwam ik maar tot 70%. Nu ben ik het met je eens dat dat alweer even geleden is, maar ik heb iets meer dan een jaar geleden nog wat testen gedaan en toen was het nog steeds zo dat ik op een realtek kaartje maar tot een 750/800 Mbit kwam, terwijl ik op een Intel gewoon 1000 Mbit/s kon halen. Getest met meerdere types Realtek en enkele types Intel.
apu2c4, en draait prima met enkele plugins extra geinstalleerd.
CPU belasting is minimaal, throughput is uitstekend.
Heb pfSense draaien op een thinclient (hp620) en dan vlan tagging op de ethernet poort, kan ook 2e nic via usb
usb nic's moet je ten alle tijden vermijden. Die dingen zijn instabiel en je creëert alleen maar een extra onzekerheid. beter is zoeken naar een low power machientje met 2 nics. er is genoeg aanbod, kwestie van zoeken (en dat hoeft echt niet uit china te komen).
Die setup ken ik. Maar optimaal is dit niet te noemen, zeker wanneer je een USB nic erbij gebruikt.
Maar dat het kan klopt wel ja.
Is een dergelijk programma voor een gewone gebruiker (die het programma aanzet en verdere niks doet) beter dan de firewall in Windows of Bitdefender?
Nee. Dit is een standalone firewall die je ergens in je netwerk plaatst (fysiek of virtueel) met giga veel opties en mogelijkheden..
Nee, dit is een router, maar er al tijden gebruik van. Zit idd een firewall in en veel opties zoals IDS en IPS maar is een router.
Je kan het ook gebruiken zonder routing functies en zonder firewalling, met alleen NAT en DHCP, dan is het geen router en geen firewall 8)7

Het is een... netwerk appliance. Of een gateway...

Zelf zeggen ze:
OPNsense is an open source, easy-to-use and easy-to-build HardenedBSD based firewall and routing platform.

[Reactie gewijzigd door johnkeates op 6 april 2020 10:13]

Dat zijn echt 2 verschillende dingen, je draait opnsense niet onder Windows maar op een losse computer, je kunt dit beter zien als een zeer uitgebreide router
Ik denk wel dat het beter is, maar je zult je er wel in moeten verdiepen. Het is geen kwestie van aanzetten zonder verder iets te doen. Gelukkig is er veel uitgebreide documentatie over te vinden. En uiteindelijk zijn we daar ook tweakers voor, toch?
Ik gebruik OPNSense omdat ik pfSense maar niet stabiel kreeg op mijn Hyper-V omgeving i.v.m. IO-SRV. Het is enkel in gebruik als firewall + wat port forwarding en OpenVPN voor remote toegang.

Erg tevreden mee, enorm stabiel en het kan tegen een stootje.
Werk al een paar jaar met OPNSense in Proxmox naar alle tevredenheid. Is thuis mijn main router, firewall, VPN concentrator, DHCP server etc etc.
Heeft vele mogelijkheden en is voornamelijk rete stabiel.

Dikke aanrader!
offtopic.........deze versie kwam al uit op 18-03 jl, en op 06-04 komt het hier eindelijk eens op Tweakers....
:?
geweldig stuk software. ik kom van een USG pro en heb met OPNsense toch echt meer vrijheid (zowel op software als hardware) Voor thuisgebruik best wel overkill, maar wel heel erg Tweaker waardig. (heb er een 'God-mode" gevoel bij)
draait op een ryzen 2200G en het verpletterd de usg pro, IPS staat dusdanig op scherp dat het zelfs Rosetta@home blokkeerde :+
Heeft er iemand ervaring met een VM met FreeBSD afnemen en die dan laten ombouwen tot een OPNsense installatie? Volgens de docs moet het kunnen met de installer maar ben benieuwd of er hier mensen zijn die het gedaan hebben en die het wel of niet bevallen is.
Ik draai zelf op een Barracuda F18, gaat prima, al is dat wel een apparaat waar Intel processoren met de C2000 bug in zitten, dus liever niet inzetten voor mission critical toepassingen.

Die APU dingen zijn nogal traag, die zou ik alleen nemen voor hele basic functionaliteit (DNS, DHCP, routing/NAT/firewalling zonder uitgebreide logging/accounting). Voor gebruik met Snort/Suricata is het echt niet genoeg, ook niet voor zwaar VPN gebruikt, of uitgebreide logging/accounting van traffic.

Wat ook een mooie oplossing is, is om een mini-PC te te gebruiken. Deze hebben vaak het nadeel dat ze maar met 1 ethernetpoort geleverd worden en niet makkelijk uitbreidbaar zijn. Om dit te omzeilen worden ze gebruikt in combinatie met een managed switch (met VLAN support), waardoor je toch met 1 poort op je firewall toe kunt.

[Reactie gewijzigd door Spearhead op 6 april 2020 19:50]

Ik wil nog even melden dat ik uiteindelijk de Protectli Vault 4 via Amazon heb besteld. Hopelijk begint mijn OPNSense avontuur begin volgende week. Bedankt voor alle tips.

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True