Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 20.7.1

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 20.7 uitgebracht met de volgende aankondiging:

OPNsense 20.7.1 released

Small update here with security advisories, multicast fixes and logging reliability patches amongst others. Overall, the jump to HardenedBSD 12.1 is looking promising from our end. From the reported issues we still have more logging quirks to investigate and especially Netmap support (used in IPS and Sensei) is lacking in some areas that were previously working. Patches are being worked on already so we shall get there soon enough. Stay tuned. Here are the full patch notes:

  • system: split log process name into separate column
  • system: filter new style log directories accordingly
  • system: add delay to improve syslog-ng startup
  • system: properly switch login page to latest jQuery 3.5.1
  • firewall: add select boxes for static filters in live log
  • firmware: ignore mandoc.db files in health output as the system will regenerate them weekly
  • firmware: bring back Chinese Aivian mirror
  • firmware: remove defunct opn.sense.nz and RageNetwork mirrors
  • web proxy: add JSON output following Elastic Common Schema (sponsored by Incenter Technology)
  • backend: cap log messages to 4000 characters to prevent longer messages from vanishing
  • plugins: os-acme-client 1.35[1]
  • plugins: os-frr 1.15[2]
  • plugins: os-postfix 1.15[3]
  • plugins: os-udpbroadcastrelay 1.0 (contributed by Team Rebellion)
  • src: set the current VNET before calling netisr_dispatch() in ng_iface(4)
  • src: assorted multicast group join/leave corrections
  • src: fix vmx driver packet loss and degraded performance[4]
  • src: fix memory corruption in USB network device driver[5]
  • src: fix multiple vulnerabilities in sqlite3[6]
  • src: fix sendmsg(2) privilege escalation[7]
  • ports: perl 5.32.0[8]
  • ports: squid 4.12[9]

OPNsense

Versienummer 20.7.1
Releasestatus Final
Besturingssystemen Linux, BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

18-08-2020 • 06:53

31 Linkedin

Submitter: terradrone

Bron: OPNsense

Update-historie

Reacties (31)

Wijzig sortering
Is echt goed om te zien dat er nog updates voorbij komen voor dit soort software.

Ben ook van plan om een Qotom Mini Pc aan te schaffen met 6 poorten, lijkt me een prima firewall oplossing voor thuis.
ik zou dit ook willen kopen, maar ik weet niet welk model...

Ik heb een 300/30 Mbit lijn en als ik packet inspection en andere opties aanzet, ben ik bang dat ik mijn lijn ga vertragen. En dat wil ik niet.
Vertraging op de lijn zal je altijd moeten accepteren. Inspectie en packet matching kost nou eenmaal veel tijd. En hoe meer regels je toevoegt hoe meer tijd je kwijt bent.

Packet inspection met Snort of Suricata is vooral afhankelijk van het type CPU. Vooral Snort heeft belang bij een zeer snelle CPU aangezien dit programma al een tijdje meegaat en van nature een single-threaded applicatie is*. Suricata is veel moderner en multi-threaded en zal weer profiteren van een multi-core systeem.

Werkgeheugen is een tweede punt van aandacht. Je hebt a) voldoende nodig, en b) snel geheugen. Hoeveel voldoende is hangt weer compleet af van hoeveel regels je wilt gaan toepassen en de snelheid van je lijn. Hoe meer regels hoe meer geheugen en hoe hoger de snelheid hoe meer packets er gebufferd moeten worden. Meerdere gigabytes erin gooien is tegenwoordig prima te veroorloven.
Geheugensnelheid is ook belangrijk. Hoe sneller hoe beter. De DPI regels zullen nooit in een processor cache passen dus er zal heel veel met het geheugen gecommuniceerd moeten worden. Voor de doorvoertijd is sneller geheugen dus beter.

Ik zelf heb een hele tijd Snort gedraaid op een pfSense systeem en om de regels in te laden had ik zo'n 8GB nodig. Nadat alle regels omgezet waren naar geheugenstructuren was het gebruik minder dan een 1GB. Op een 100/100 lijn heb ik, voor zover ik me kan herinneren, nooit meer dan een gig of 2 in gebruik gezien.

Dit systeempje had ook een Celeron G1800 (dual-core) in combinatie met een aantal realtek kaarten. Driver support voor hardware offloading was slecht toentertijd (veel beter met nieuwe FreeBSD versies tegenwoordig) dus dat had ik uitgeschakeld. Tijdens belastingtesten had ik wel altijd een core vol bezig met Snort. De andere core had verder niet zo veel moeite met het afhandelen van het netwerkverkeer.
Ik haalde nog wel de 100/100 snelheid maar het zal er dus om gehouden hebben. Mijn inschatting is dat de Qotom modellen met een J1900 of een Atom processor niet voldoende zullen zijn voor moderne high-speed lijnen.

Met mijn nieuwe pfSense router doe ik alleen nog maar aan traffic shaping en DNS filtering. Packet inspection had ik geen zin meer in om allemaal opnieuw uit te gaan lopen zoeken en eigenlijk werkt dit voor huis/tuin/keukengebruik ook meer dan prima. pfBlockerNG werkt echt supergoed om een heleboel meuk er uit te halen.

Wat ik wel nog even kwijt wil over DNS filtering is dat je lijsten één voor één toevoegt en test. Zo had ik zelf heel veel problemen met de Firehol L1 lijst. Nagenoeg 100% van alles wat ik intypte werd geblokt. Ook sites als nos.nl en tweakers.

*Je kan zelf flink gaan knutselen en meerdere instanties draaien die elk een interface afhandelen. Maar dan zit je al diep in de krochten van het OS te rommelen.
Ik herinnerde me net nog een ArsTechnica artikel uit 2016 waarin meerdere (koop en DIY) routers en Qotom achtige systeempjes werden vergeleken. De uitkomsten zijn zeker nog van toepassing vandaag de dag en het is zo wie zo een lekker stuk om te lezen. :-)
Ik vraag me eerlijk gezegd ook af waarom je als thuisgebruiker Deep Packet Inspection nodig hebt.

DPI is soms nuttig voor servers of edges van kantoornetwerken waar je snel last hebt van allerlei gerichte en ongerichte aanvallen, bots en andere ongein.

Hoe groot is de kans dat het waardevol verschil maakt op je Ziggo thuisverbindinkje waar je een beetje emailt, browst, films kijkt en misschien een game speelt en waar je IP ook nog eens regelmatig verandert?
Mmmhhh, bedankt voor je feedback. Ik zie dat pfBlockerNG echter enkel voor pfsense beschikbaar is. Is er ook een tegenhanger voor OPNsense? En als je nu zou moeten kiezen, ga je dan voor PFsense of OPNsense?
pfBlockerNG is een prachtig in elkaar gezette plugin met een zeer goede user interface. Ik gebruik het vooral voor de DNSBL mogelijkheden en het blokkeren van gevaarlijke IP addressen. GeoBlocking en zo doe ik verder niks mee.

Ik heb wel gekeken naar OPNsense als een mogelijke vervanger van pfSense. Hierbij kwam ik wel tegen dat je BIND kan inzetten voor DNSBL. Het is dan niet zo fancy als pfBlockerNG maar het werkt nagenoeg hetzelfde.

Als ik nu een keuze moet maken zou ik dat doen op basis van mijn volgende noden:
1) De router moet om kunnen gaan met VLANs. (Ik heb mijn T-Mobile modem/router combi aan de kant geknikkerd.)
2) Het moet traffic shaping makkelijk kunnen toepassen.
3) Het moet functioneren als DNS server/filter.
4) Het moet gewoon werken (a.k.a.: ik wil mijn vrouw niet horen klagen.)

OPNsense tikt wel punt 1 af. Punt 2 ook maar heeft lang niet zoveel mogelijkheden als pfSense en punt 3 is ook lang niet zo netjes uitgewerkt als pfBlockerNG. Dit alles gecombineerd met punt 4 blijf ik voorlopig nog bij pfSense. (Al wil ik wel nog eens een VMtje gaan inrichten om met OPNsense te gaan spelen.)
Ja, ik heb nu ook een vm draaien maar twijfel ook om toch PFsense ook te proberen. Ik zal eerst eens gaan experimenteren met Bind, bedankt voor je ervaring en mening.
Ligt er aan, denk dat een i5 7th gen genoeg is met bijvoorbeeld 8GB en 256gb opslag, of 128gb opslag.

De Qotom PC's hebben vaak een intel Lan kaart ipv een Realtek kaart wat dus een stuk beter is.

https://qotom.en.alibaba....ordpanyb.2.7aa3699anWp9Uq

[Reactie gewijzigd door theduke1989 op 18 augustus 2020 09:38]

ok, bedankt.
Maar wat kost dit dan in totaal?
En welk model juist?
En ivm douane... :?
Daar komen nog best wat kosten overheen:
https://www.postnl.nl/ont...akket-uit-het-buitenland/

Denk er ook aan dat als je zulke boxen in china gaat kopen, je op geen enkele manier beschermd bent door het consumentenrecht, dus geen garantie hebt, etc. Als het ding stukgaat en de verkoper wil niet meewerken ben je de klos. Wil de verkoper wel meewerken, kan je hem naar china terugsturen (kostbaar), beweert de verkoper vervolgens dat er niets is aangekomen, ben je geld + verzendkosten kwijt. Allemaal zaken om over na te denken.

Kunt natuurlijk ook in de shop van de opnsense makers winkelen:
https://www.deciso.com/product-catalog/

Of tenminste iets in europa kopen:
https://www.thomas-krenn....-systems/les-network.html
Of koop een Odroid H2+ bij pollin.de of antratek.nl.
Wat wil je daarmee doen? De 2.5gbit realtek nic's op de odroid h2+ zijn helemaal niet supported onder freebsd!
https://www.reddit.com/r/...nse_and_realtek_rtl8125b/
Daar kan opnsense niets mee.
De nieuwste Realtek FreeBSD driver is nu van 2020/07/09, versie 1.96.04. Die heeft ondersteuning voor deze 2.5gbps nic.

Dus die kan je nu zelf al installeren en anders moet je even wachten tot OPNsense het zelf mee levert, zijn ze al mee bezig :)

https://gathering.tweaker...message/63438870#63438870

[Reactie gewijzigd door job_h op 18 augustus 2020 19:56]

De vraag is alleen , of je zoiets, wat erg nieuw is, en waarvan de stabiliteit en werking nog moet blijken, moet willen aanbevelen aan iemand die op zoek is naar een apparaat om opnsense op te draaien. Leuk dat de odroid nu net met de hakken over de sloot functioneel is, maar zoiets kan je natuurlijk niet aanbevelen als stabiel product.

Er is pas net een eerste versie van een driver uit, het ding is net pas bruikbaar met opnsense. Wie weet wat er nog allemaal boven water komt als mensen hem 24/7 gaan gebruiken. Zoiets moet een tijd in gebruik zijn wil je überhaupt iets over stabiliteit en performance kunnen zeggen. Voor nu kan je zoiets simpelweg niet aanbevelen.

Ik weet dat het leuk is om als early adopter met nieuwe hardware in de weer te gaan. Pionieren , nieuwe gronden verkennen. Zoiets doe je hobbymatig. Mensen die een stabiele firewall voor 24/7 use zoeken kunnen beter bijvoorbeeld in de deciso webshop een apparaat aanschaffen waarvan zeker is dat het goed en stabiel functioneert.
Akkoord. In potentie is de H2+ een ideaal stukje elektronica voor een OPNsense firewall, maar daar is de komende maanden weinig met zekerheid over te zeggen.
ben je geld + verzendkosten + aankoop kwijt
Hier iets meer dan een jaar een Qotom Q515g6 in gebruik.

Heel erg tevreden mee, en heeft mij het volgende gekost:
Aanschaf: €138,48
Verzendkosten: €27,82
Douane kosten: €51,78
Totaal: €218,08

Daarna in NL een SSD en reepje DDR4 gekocht.
Waarom zijn Intel NICs een stuk beter? Omdat jaren geleden Realtek geen goede BSD driver had? Die problemen zijn allang opgelost.
Het zal je nog vies tegenvallen. Vorige jaar nog op een HP thinclient pfsense geprobeerd, hele vage netwerk crashes gehad.

Realtek en FreeBSD zijn geen goede combinatie.

Al heb ik persoonlijk liever altijd gewoon een Intel chipset. Ik heb daar nog nooit problemen mee gehad. Broadcom, realtek, als het niet hoeft, dan liever niet..
pfSense maakt om onduidelijke redenen (voor mij dan) geen gebruik van de tot voor kort nieuwste Realtek drivers (v1.95). OPNsense doet dat wel en bij mij en vele anderen is dit superstabiel.
Die Qotom PC's zien er leuk uit, maar ligt het aan mij dat ik nergens prijzen kan vinden op hun website?
(Of kijk ik gewoon niet goed genoeg).
Je kan ze het beste bekijken op Aliexpress, of direct op Alibaba vaak een paar tientjes goedkoper.

https://qotom.en.alibaba....ordpanyb.2.7aa3699anWp9Uq

[Reactie gewijzigd door theduke1989 op 18 augustus 2020 09:38]

Ik snap niet hoe mensen die hardware zo kunnen stressen. Ik draai PFSense op een mega oude HP t620 AMD GX-217GA SOC AES-NI met 4GB ram (30% in gebruik)en een simpele SSD, Snort op LAN en WAN, openVPN, pfblockerNG, vlans en heb echt nooit problemen. CPU 17%.
Realtek onboard Nic, en een ugreen USB Nic. Werken out of the box, bij OpnSense werkte de NIC niet.
Hoe betrouwbaar is het ? En de AES-NI heeft elke pc of ?

Daarnaast de Ugreen usb-lan aansluiting werkt dat goed want ik neem aan dat je ook een switch wat vlan support ook heb gekocht?

[Reactie gewijzigd door theduke1989 op 20 augustus 2020 05:34]

AES-NI heeft niet elke cpu. Kun je nakijken. En je uiteraard switch met vlans.
Toevallig een nieuwe installatie van 20.7 gedaan vorig weekend. Ik was verbaast over de vele foutmeldingen in de webinterface maar deze zijn nu gefixed. Wel is de Wireguard ondersteuning zeer basic.

Tot nu toe wel tevreden. Moderne en duidelijke firewall maar wel een kleine leercurve en veel zaken missen goede afwerking. Zo moet je bij VLAN wijzigingen de interface volledig resetten. Als je een foutje maakt dan moet je dus volledig opnieuw beginnen.

Op dit item kan niet meer gereageerd worden.


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True