Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 20.1.6

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben eerder OPNsense 20.1.6 uitgebracht met de volgende aankondiging:

OPNsense 20.1.6 released

Quick update as planned. Here are the full patch notes:

  • system: add data length option to gateway monitor settings
  • firewall: avoid greedy matching with live log parsing regression from 20.1.5
  • firmware: detect runtime defaults when using "make upgrade" with core.git
  • firmware: clean up packaging code and support ".link" file extension
  • firmware: use CORE_FLAVOUR instead of FLAVOUR when using opnsense-bootstrap
  • firmware: enable to optionally reach master branch when using opnsense-boostrap
  • firmware: allow overriding CORE_ABI when using opnsense-bootstrap
  • firmware: copy make.conf instead of linking when using opnsense-code
  • firmware: always fetch tools.git when using opnsense-code
  • rc: use "onifexists" for VGA TTY instead of "on"
  • rc: missing ntpd user on 20.7 / 12.1
  • plugins: os-unbound-plus DoT validation fix (contributed by Michael Muenz)
  • src: fix ipfw invalid mbuf handling
  • ports: libyaml 0.2.4
  • ports: openssl 1.1.1g
  • ports: py-yaml 5.3.1
  • ports: radvd 2.18
  • ports: sqlite 3.31.1
  • ports: squid 4.11
  • ports: suricata 4.1.8

Versienummer 20.1.6
Releasestatus Final
Besturingssystemen Linux
Website OPNsense
Download https://opnsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

15-05-2020 • 14:54

47 Linkedin

Submitter: terradrone

Bron: OPNsense

Update-historie

Reacties (47)

Wijzig sortering
Wat is een goed maar klein kastje voor OPNsense ?

of is PFsense een betere variant want het is afkomstig van OPNsense.
Als je het goedkoop wil houden, een intel nuc met bv een usb netwerk adapter werkt prima.

Draait hier al meer dan een jaar met een 2006 nuc i3, proxmox, pfsense en nog een paar VM's.
Waarom zo'n knutseloplossing kiezen als je voor zo'n 200 euro ook een zuinige SBC-oplossing met dubbele NIC kunt kopen?
Omdat ik thuis al een nuc had en voor werk moest ik via een bepaalde supplier hardware aanschaffen en daar was een nuc ook de meest praktische oplossing.

Al die goedkope mini pc's hebben trouwens allemaal een Celeron oid. Word je ook niet blij van als je bv een VPN wil draaien.
Odroid H2 heeft een Intel J4105 met AES-NI, dus ge-encrypte VPN verbindingen zijn geen probleem.
Da's behoorlijk vloeken in de kerk wat je daar doet. usb nics zijn werkelijk een no-go. Als je daar op een *sense forum over begint wordt je levend gevild :)

Zonder gekheid: een usb nic is nooit een optie; instabiel en vaak brakke drivers, overhead door usb controller en onnodige latency. Als het dan toch niet veel mag kosten zijn er genoeg 2e hands machientjes in omloop, zoals inderdaad de t610 thinclient , industriele doosjes, of een sff desktopje. er is genoeg te koop.
Dat zal best maar is het ook gebaseerd op de werkelijkheid?

Pfsense heb ik hier op proxmox draaien dus geen probleem met drivers, daar zorgt proxmox voor. Latency nooit getest maar transfer speed zit gewoon tegen de 1gbps aan met een usb3 ethernet adapter.

Werkt ook al sinds dag 1 zonder problemen.

Voor thuis is het prima. Die NUC had ik al en een adapter kost je een tientje. Waarom meer uitgeven?
Absoluut, en als je mij niet gelooft, kijk zelf in de forums wat hier over gezegd wordt. En niet alleen de *sense forums, ook de algemene linux gemeenschap is niet bepaald erg positief over die dingen.

Het is niet zo dat ik dit hier zomaar uit m'n duim zit te zuigen... ;)
Tja zoals ik al aangaf, het draait hier al een jaar lang zonder problemen. Heb op tientallen lokaties ook adapters in gebruik zonder problemen. Al gaat daar hooguit een paar MB per dag over heen.

Dat je niet met USB adapters gaat klooien in een fatsoenlijke productie omgeving lijkt me logisch maar doen alsof USB ethernet adapters per definitie niet betrouwbaar zijn en niet fatsoenlijk presteren is gewoon niet waar.

Lijkt me eerder een typisch geval waarin iedereen elkaar napraat omdat het jaren geleden niet goed werkte.
Ik heb geen verstand van deze materie. Vanaf de zijlijn bekeken vind ik vooral jou niet luisteren.

Ongetwijfeld zullen fora vol staan met klachten, dat geloof ik best. Maar als het bij t_o_c verder prima werkt, begrijp ik werkelijk het punt niet dat je wil maken.

[Reactie gewijzigd door KoffieAnanas op 16 mei 2020 19:39]

"Ik heb geen verstand van deze materie"
Ja nou wordt hij helemaal mooi! Je hebt geen idee waar je het over hebt en nu val je mij aan??

usb nics zijn notoir onbetrouwbaar, zijn ALTIJD een slecht idee om te gebruiken. Dit is op zo ongelofelijk veel plaatsen al uitgelegd, niet alleen door gebruikers maar ook door ontwikkelaars.

Als je een doosje met een usb nic neerzet waar nauwelijks traffic doorheen gaat kan je uberhaupt geen oordeel geven over of iets "prima werkt".

En als je een klein beetje weet wat je aan het doen bent gebruik je twee vlans en heb je die hele usb nic niet nodig, kwestie van een kleine switch erbij zetten.

"USB network adapter is usually accompanied with the word issues, replace it or use vlans"

"USB Ethernet is bad and will always be bad"

https://forum.netgate.com...usb-to-ethernet-adapter/6

https://forum.netgate.com...b-nic-or-managed-switch/3

https://forum.netgate.com...et-adapter-setup-issues/5
Als je nou een punt wil maken, post dan links waarin mensen na een fatsoenlijke test een USB nic niet kunnen gebruiken.

Dit zijn drie jaar oude posts waar een enkele user zonder enig bewijs aangeeft dat het potentieel niet werkt. In een van die links zegt een user trouwens dat een USB nic bij hem prima werkt.

Je kan wel slim proberen te doen door te roepen dat het niet werkt (schijnbaar alleen omdat andere roepen dat het misschien niet werkt), maar waarom draait het hier dan prima?

Ipv een random nic te gebruiken, koop er eentje met driver ondersteuning in het OS.
Als je echt slim wilt doen, gebruik je een aantal vlans en kiep je die usb nic weg ;) . De enige goede oplossing voor een 1 nic device is het gebruik van vlans met een (kleine) managed switch. Wat jij doet, een usb nic gebruiken, is aanmodderen en enkel meer potentiele storingselementen toevoegen. En als je dit op tientallen locaties aan het doen bent, dan ben je echt hele slechte oplossing aan het leveren. Beter eerst inlezen in de materie. Want hoe je reageert blijkt dat je kennelijk geen enkele ervaring met *sense hebt ; als je jarenlange gebruiker was geweest, de ontwikkeling had meegemaakt en mee had gekregen hoe er over bepaalde zaken gedacht werd dan had je geweten dat wat je nu aan het doen bent simpelweg een heel "vieze" oplossing is, die simpelweg niet nodig is (kleine managed switches kosten tegenwoordig geen drol).

Ik ga mijn tijd hier niet langer aan verdoen, als je eigenwijs wilt blijven dan doe dat.

[Reactie gewijzigd door terradrone op 17 mei 2020 14:23]

Je kan wel koppig je gelijk proberen te halen maar laat nou eens bewijs zien dat een USB nic per definitie niet goed kan werken. Als ik jou zo hoor moet dat heel makkelijk zijn want je laat het doen alsof het altijd ruk werkt.

Als je een adapter koopt met goede ondersteuning is er geen reden waarom dat niet fatsoenlijk zou kunnen werken.

Feit is dat het gewoon prima werkt, helemaal als je pfsense virtueel draait.

Dat het niet perse de beste oplossing is, dat ontkent ik niet. Maar de beste oplossing is niet altijd een reëele optie.

Met goedkope switches werken is trouwens ook niet perse een aanrader en met vlans halveer je ook sowieso al je maximale performance.
Potverdorie wat verkondig je toch een onzin; er is niets mis met "een goedkope switch", kleine managed switches zijn simpelweg betaalbaar geworden, daar is niets mee is. Waarom zou dit geen aanrader zijn? Ga je nou zomaar zaken verzinnen?

Met vlans halveer je performance? Als je de zaken goed inregelt loopt de nic op 1gbit full duplex, knap als je daar last van gaat krijgen; terwijl een usb nic zoveel meer potentiele "points of failure" in het geheel introduceert. Je kiest voor de meest slechte optie.
Om te beginnen delen veel van die switches hardware dus 1gbps per poort simultaan is vaak niet mogelijk.

Als je een apparaat hebt met maar 1 NIC en je gaat met vlans werken, en pfsense doet wan en lan, dan gaat er effectief twee keer zoveel traffic over die enkele poort. Duplex geeft daar weinig mee te maken.

Nogmaals, dat hoeft helemaal geen slechte optie te zijn. Maar hetzelfde geld voor een USB adapter.

Jij wil gewoon koppig zijn en perse je gelijk halen.
Ik gebruik zelf de 4 ports Protectli. Wat duurder, maar wel een heel mooi en robuust systeem.

https://protectli.com/
Bedankt voor de tip, interessant!

Ziet er vergelijkbaar uit als de Quotom apparatuur maar dan met ondersteuning en garantie vanuit een westers bedrijf.
Idem: 4-Ports Protectli. Mooie apparaatje. OPNSense er op zetten redelijk eenvoudig en initiële config ging soepel. Ik gebruik maar twee van de vier poorten. Advies is om een switch erachter te gebruiken ipv softwarematig bridge mode (minder efficiënt en meer verbruik). Vandaag toevallig 2FA aangezet i.c.m. OpenVPN. Allemaal als een zonnetje.
Ik gebruik deze voor OPNsense. Heeft 2 Intel NICs, werkt prima. pricewatch: Shuttle XPC DS10U (Celeron 4205U)

Er zijn goedkopere opties met meer netwerkpoorten te krijgen uit China (zie de andere reacties), ik ben voor een oplossing gegaan die ik lokaal kon kopen.

[Reactie gewijzigd door job_h op 15 mei 2020 15:56]

Heb deze zelf ook goedkoop op de kop kunnen tikken.
Prima (stil) bakje voor OPNsense.
Het is juist andersom, OPNsense is afgeleid van PFsense.
De argumenten van OPNsense waarin ze anders (en wellicht beter) zijn:
- De gehele PHP interface is herschreven en draait standaard onder een low privileged user, bij PFsense is dit root, wat betekend dat kwetsbaarheden in de web interface als gevolg kunnen hebben dat een aanvaller root rechten verkrijgt en de gehele firewall kan compromitteren.
- Het component wat kan netwerk sniffen / een IDS is in PFsense is gebaseerd op snort. Vroeger kon Snort alleen traffic analyseren tot en met OSI-Laag 4 dus enkel transport poorten. OPNsense maakt gebruik van suricata, de code base is beter geparalelliseerd en geoptimaliseerd door de boost library, en suricata kan in OSI-Laag 5 DPI uitvoeren.

https://docs.opnsense.org/history/thefork.html

Dit was ruim 4 jaar geleden zo. Kan goed zijn dat dit inmiddels is achterhaald.
Ter info pfsense kan beide. Suricata en Snort.
Dat is nieuwe info voor me. Thx!
Ik draai het bij meerdere klanten op https://www.pcengines.ch/apu2c4.htm devices.

Update: Helemaal vergeten te melden: Ik gebruik PfSense. Daarnaast geen DPI oid, maar wel VPN's (obv openvpn). Dit werkt goed. We verbinden 2 kantoren met elkaar, daarnaast een aantal on-the-road client.

[Reactie gewijzigd door mterwoord op 15 mei 2020 18:28]

Hoeveel gb is nodig voor thuis gebruik? 4gb en 64gb is voldoende toch.

Ik heb misschien 20 gebruikers totaal online en niet tegelijkertijd...
Hangt er helemaal af wat je wilt gaan doen. Als je opnsense "standaard" als firewall wilt draaien is 4gb ram en 64gb flash voldoende. Wil je zoiets als DPI of Sensei (application based filtering) gaan doen , dan schieten de hardware eisen wel redelijk vlot omhoog:
https://help.sunnyvalley....373-Hardware-Requirements

Dus, zeg aan de éne kant van het gebruikersspectrum de basis config met firewall en nat, dan heb je aan eenvoudige hardware genoeg. Maar er zijn ook gebruikers die wireguard en openvpn, DPI en Sensei draaien, wat nog meer. Dan wordt het verhaal steeds spannender en eindig je wellicht met een i7 machine met een berg ram en storage.
Ik heb een lange tijd OPNSense gedraaid op een thin client met een extra netwerkkaart. Draaide als een zonnetje! Ik had toen de Thin client HP T610 gebruikt. Dit was wel voor thuisgebruik.
Ik heb zelf zo een voor mijn opnsense, ik wou genoeg ethernet poorten en een x86 om applicaties te kunnen draaien, maar wel passief gekoeld. Voor mijn doel is deze prima

https://m.aliexpress.com/item/4000186712104.html
Kijk eens naar Protectli of Qotom.

[Reactie gewijzigd door Patatjemet op 15 mei 2020 15:56]

Hier ook een Qotom in gebruik, helemaal prima. Wordt nauwelijks warm met de passieve koeling en is 100% stil.
Hier deze Qotom Q515G6 in gebruik met 4GB ram en 120GB ssd.

Edit:
Ik dacht gelijk update doorvoeren... geen update gevonden. Blijkt dat 20.1.6 er al op staat.
Op 1-5-2020 om 5:30 al automatisch geupdate via een cronjob 8)7

[Reactie gewijzigd door henkNL op 15 mei 2020 16:17]

Protectli heeft mooie passive cooled kastjes: https://protectli.com/vault-4-port/

En hier halen zij ze zelf vandaan:
https://nl.aliexpress.com...042311.0.0.27424c4dijTA8x
Voor OPNsense: Odroid H2. Niet voor pfSense, want die ondersteunt Realtek NICs slecht.
Ik gebruik zelf een kastje met OPNsense voorgeïnstalleerd van https://www.applianceshop.eu/.
Misschien iets duurder dan de andere oplossingen hier aangedragen. Maar dat ligt er maar helemaal aan hoeveel tijd je hebt. Plus je steunt de ontwikkelaar van OPNsense,
Heb zelf een 10+ jaar oude Core Duo met 2GByte aan RAM voor OPNsense gebruikt. Daar hangen zo'n 60 devices aan (computers, tablets, telefoons, en APs) en een 20-tal VMs. Host een eigen web server, NextCloud, mailserver, VPN, DNS, etc. Ook veel firewall regels, bandbreedte management etc.

RAM gebruik schommelt tussen de 20 en 30 procent, CPU tussen 1 en 25 procent. Heb een 4-poorts Intel NIC in die machine gepropt en werkt als een zonnetje. Weinig onderhoud nodig na initiele configuratie.

OPNSense is een fork van pfSense, niet andersom. Beide zijn in principe uitstekende router pakketten.

Als noot zou ik wel willen vermelden dat het allemaal toch net even wat lekkerder werkt met Intel NIC's dan met NICs van andere merken.

Computer was allang afgeschreven, de Intel NIC kwam zo'n beetje uit op 75 Euro (aanschaf Amazon, creditcard kosten en transport). De tijd die de initiele configuratie kostte was zeker niet gering, maar wel een goede investering. Wat de werkelijke kosten zijn, is daardoor moeilijk te bepalen.

Bovenstaand relaas is alleen bedoeld om aan te geven dat OPNSense (en pfSense) niet al te hoge hardware eisen heeft qua CPU en RAM. Ook met RealTek NICs werkt het goed en betrouwbaar, maar met Intel NICs toch net even wat beter. Je hebt wel minstens 2 NICs nodig.
De Qotom pc's hebben 4 nics met I211 model. Dit zijn volgens mij geen realtek? Dan moet het prima zijn.

Ga dan binnenkort een i5 / 4GB met 64GB halen rond de 320,- en dan OPNsense installeren. Hoor betere berichten over OPNsense dan PFsense.
Zo'n 12 jaar terug ben ik begonnen met de Sophos firewall op een Pentium 1 klasse computer. Maar de uitbaters daarvan begonnen ne een jaar of 3 toch wel erg veel functionaliteit te verstoppen achter hun betaalmuur.

Al alternatief overgestapt naar pfSense. Wat toen op zich ook goed werkte, maar wel met een vreselijk oudbollig vormgegeven web-interface. Eisen aan mijn kant begonnen na een jaar 3 te veranderen en kwam toen OPNSense tegen, wat er beter uitzag.

Sinds 2014 overgestapt op OPNSense en ben niet op zoek naar een alternatief.

pfSense daarentegen is opgekocht en de huidige uitbaters willen voornamelijk hardware doosjes met hun software aan je verkopen. Forum werd ook een stuk minder na de verkoop. OPNSense geeft een vriendelijkere impressie af naar hun gebruikers toe.
Draait hier thuis op een Qotom Q470S met 8GB RAM en 64 GB SSD. Afmetingen zijn 156*128*48mm(L*W*H).
dit zag ik ook voorbij komen qua merk als eerste hit op AliE.
Ik zag dan de 7th Gen generatie. Maar voor thuisgebruik is 5th Gen ook wel voldoende?
daarnaast hoeveel GB opslag is nodig 64gb of 128gb of 256gb dit is voor thuis gebruik dus niet zoveel end-users.
Ik draai zelf OpnSense/PfSense op een Pentium Gold G5400 (passief gekoeld) met 4GB ram en een 60GB SSD'tje die ik nog had liggen. CPU gebruik komt zelden boven de 5%, en qua geheugen/opslag is ook slechts 5% in gebruik.
Als je de boel in een VM wilt gaan draaien dan is een 5th gen minimaal wel nodig. Ikzelf heb een 4th gen, die mist wat VT opties tov 5th gen; maar daar maak ik toch geen gebruik van, dus voor mij geen gemis. Deze 4th gen cpu is voor mij voldoende, trekt alles prima.

Mocht je een VPN willen opzetten (client en/of server) dan is het wel van belang dat je een CPU kiest met AES-NI ondersteuning, anders gaat je CPU een bottleneck zijn voor je VPN performance.

Qua opslag heeft Opnsense niet zoveel nodig, er is bij mij nu nog geen 10GB in gebruik + 8 GB gereserveerd voor swap.
Qua geheugen denk ik dat je blij wordt van 8GB of meer. Meestal zit het hier rond de 4GB in gebruik, maar ik zie het wel eens naar 6 a 7GB schieten.

Oh en ik lees her-en-der dat je voor een model met Intel NICs moet kiezen omdat die minder buggy zouden zijn... wel, daar zal een kern van waarheid inzitten maar ik kan je uit eigen ervaring vertellen dat de Realtek 8111E NICs in mijn bakkie het prima doen onder Opnsense.
Bij meerdere klanten een Qotom draaien (zowel op OPNsense als op PfSense).
Laatste paar jaar allemaal met de i7-5550U en 8GB geheugen (17w idle verbruik!).

Gigabit routing throughput en VPN die ook makkelijk 500mbit+ plus doet (dankzij de intel rdrand engine).

op een kapotte SSD na nog geen machines gehad die kapot zijn gegaan en sommige zijn echt mishandeld.

Als je een Qotom koopt moet je wel even opletten dat je er 1 besteld met een intel I211 netwerk poort, dat zijn de beste nics in een qotom die je kan hebben. Zoals met alles in China, als het niet expliciet vermeld staat dat die er in zit moet je er niet vanuit gaan dat er 1 in zit.

[Reactie gewijzigd door hp197 op 15 mei 2020 17:10]

Mocht je VPN tunnels willen gebruiken en je ook nog wat bandbreedte verstookt, zorg dan voor hardware AES ondersteuning in de processor. Anders schiet het processorgebruik omhoog.

Mijn VM met opensense:
4GB RAM
2 processors
I7 4790S host

350 Mbps over meerdere VPN tunnels geeft zo'n 50% belasting op CPU.
Straf dat niemand hier vermeld dat deze ook als business kastjes te krijgen zijn van een Nederlandse maker: Deciso.
Tot het niveau van MKB oplossing vind ik ze top, maar OPNsense mist natuurlijk een deftige central management solution.
Besturingssystemen Linux

Zelf zeggen ze dat het op https://www.hardenedbsd.org/ draait...


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True