Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 21.1

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 21.1 uitgebracht met de volgende aankondiging:

OPNsense 21.1 released

For more than 6 years, OPNsense is driving innovation through modularising and hardening the open source firewall, with simple and reliable firmware upgrades, multi-language support, HardenedBSD security, fast adoption of upstream software updates as well as clear and stable 2-Clause BSD licensing.

21.1, nicknamed "Marvelous Meerkat", is the relentless continuation of open source dedication. The last 6 years were not always easy, but we are happy to be where we are now and have the community to thank for it.

New and improved are the firewall rules and NAT categories, the traffic graphs supporting IPv6 along with a visual refresh, intrusion detection rule management by policies, an alias for MAC addresses and NAT over IPsec with all phase 2 you could ever want. Last but not least, the serial image now supports UEFI as well.

For those wondering, the WireGuard plugin has been available since 2019 and receives continuous improvements by its maintainer and various users alike. And that is unlikey to change in the future.

As we continue to deprecate custom configuration inputs for a number of reasons, Dnsmasq has been switched to a pluggable file-based approach with Unbound to follow in the upcoming 21.7 series.

Here are the full patch notes against 20.7.8:
  • system: use authentication factory for web GUI login
  • system: allow case-insensitive matching for LDAP user authentication
  • system: removed unused gateway API dashboard feed
  • system: removed spurious comma from certificate subject print and unified underlying code
  • system: harden web GUI defaults to TLS 1.2 minimum and strong ciphers
  • system: generate a better self-signed certificate for web GUI default
  • system: allow self-signed renew for web GUI default (using "configctl webgui restart renew")
  • system: allow subdirectories in NextCloud backup
  • system: first backup is same as current so ignore it on GUI and console
  • system: optionally allow TOTP users to regenerate a token from the password page
  • system: set hw.uart.console appropriately
  • system: reconfigure routes on bootup
  • system: relax gateway name validation
  • system: ignore disabled gateways in dpinger services
  • system: choose a better bind candidate for IPv4 in dpinger
  • interfaces: defer IPv6 disable in interface code to ensure PPP interfaces do exist
  • interfaces: no longer assume configuration-less interfaces can reach static setup code
  • interfaces: fix PPP links not linking to its advanced configuration page
  • interfaces: read deprecated flag, allow family spec in (-)alias calls
  • interfaces: fix address removal in IPv6 CARP case
  • interfaces: pick proper route for 6RD and 6to4 tunnels
  • interfaces: support 6RD with single /64 prefix
  • firewall: support category filters for firewall and NAT rules
  • firewall: add live log "host", "port" and "not" filters
  • firewall: create an appropriate max-mss scrub rule for IPv6
  • firewall: fix anti-spoof option for separate bridge interfaces
  • firewall: display zeros and sort columns in pfTables
  • firewall: relax schedule name validation
  • reporting: prevent calling top talkers when no interfaces are selected
  • reporting: cleanup deselected interface rows in top talkers
  • dhcp: hostname validation now includes domain
  • dhcp: use same logic as menu figuring out if DHCPv6 page is reachable from leases
  • dhcp: correct DHCPv6 custom options unsigned integer field
  • dhcp: added toggle for disabling RDNSS in router advertisements
  • dhcp: removed the need for a static IPv4 being outside of the pool
  • dhcp: add min-secs option for each subnet
  • dnsmasq: remove advanced configuration in favour of plugin directory
  • dnsmasq: use domain override for static hosts
  • firmware: disable autoscroll if client position differs
  • firmware: remove spurious *.pkgsave files and offload post install bits to rc.syshook
  • firmware: repair display of removed packages during release type transition
  • firmware: add ability to run audits from the console
  • firmware: show repository in package and plugin overviews
  • intrusion detection: replace file-based policy changes with detailed filters
  • ipsec: NAT with multiple phase 2
  • ipsec: prevent VTI interface to hit spurious 32768 limit
  • ipsec: allow mixed IPv4/IPv6 for VTI
  • openvpn: added toggle for block-outside-dns
  • openvpn: hide "openvpn_add_dhcpopts" fields when not parsed via the backend
  • unbound: allow /0 in ACL network
  • unbound: default to SO_REUSEPORT
  • web proxy: add GSuite and YouTube filtering
  • mvc: do not discard valid application/json content type headers
  • mvc: make sure isArraySequential() is only true on array input
  • mvc: speed up processing time when over 2000 users are selected in a group
  • mvc: add locking in JsonKeyValueStoreField type
  • mvc: change LOG_LOCAL4 to LOG_LOCAL2 in base model
  • images: use UFS2 as the default for nano, serial and vga
  • images: support UEFI boot in serial image
  • ui: add tooltips for service control widget
  • ui: move sidebar stage from session to local storage
  • ui: upgrade Tokenize2 to v1.3.3
  • plugins: os-acme-client 2.3
  • plugins: os-bind 1.16
  • plugins: os-frr 1.21
  • plugins: os-maltrail 1.6
  • plugins: os-smart adds cron jobs for useful actions
  • plugins: os-telegraf 1.8.3 adds ping6 ability
  • src: fix AES-CCM requests with an AAD size smaller than a single block
  • src: introduce HARDEN_KLD to ensure DTrace functionality
  • src: refine pf_route* behaviour in PF_DUPTO case for shared forwarding
  • src: assorted upstream fixes for ipfw, iflib, multicast processing and pf
  • src: netmap tun(4) support adds pseudo addresses to ethernet header emulation
  • src: add a manual page for axp(4) / AMD 10G Ethernet driver
  • src: fix traffic graph not showing bandwidth when IPS is enabled
  • ports: dnsmasq 2.83
  • ports: igmpproxy 0.3
  • ports: nss 3.61
  • ports: openldap 2.4.57
  • ports: py-netaddr 0.8.0

OPNsense

Versienummer 21.1
Releasestatus Final
Besturingssystemen Linux, BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

28-01-2021 • 20:20

23 Linkedin

Submitter: Muncher

Bron: OPNsense

Update-historie

Reacties (23)

Wijzig sortering
Ik heb net , speciaal voor opnsense , dit toestel gekocht.

https://www.argonautcompu...ini-pc-s/products/ventura

Gaat dit krachtig genoeg zijn ? Ik heb wel een 1Gbit lijn hier liggen.
Heb je daar $700,- voor neergelegd? :X

(PS. Ik heb van de week een Yanling 4 port J3160 voor €160,- incl shipping gekocht. Protectli zijn rebranded Yanlings, je kunt er ook de coreboot BIOS opzetten van Protectli.)

[Reactie gewijzigd door PerlinNoise op 28 januari 2021 22:48]

Nee nee heb daar 2dehands 100 euro voor betaald :-).
Topper :z

Kan ik rustig slapen. :)

[Reactie gewijzigd door PerlinNoise op 28 januari 2021 22:49]

Maar 1gbit gaat ie niet trekken denk ik. Dan zou ik voor minimaal een i5 gaan.
Heb dezelfde Yanling toevallig deze week binnen gekregen. :)
Kan ik mooi met deze nieuwe versie van OPNsense gaan stoeien. Deze gaat ingezet worden als vervanging voor een UDM-Pro.
Ik heb gewoon een NUC en een managed switch.

De NUC zit met zijn netwerkport op meerdere VLAN's die in de switch worden gesplitst (one armed router).

Hierdoor hoef ik geen hele bijzondere hardware aan te schaffen en voldoet elke NUC + managed switch. Daarnaast kun je de meeste NUC's met VESA plaat en al vrij makkelijk in de meterkast ophangen :)

Qua snelheid haalt hij een throughput van 747 mbit (de port is immers full duplex). Dat is ruim voldoende voor mijn 100 mbit lijntje :)

Ter vergelijking: een relatief dure DrayTek Vigor 2927 - die als gigabit router wordt verkocht - haalde in mijn tests met iperf3 een throughput van 792 mbit. Dus die was maar een beetje sneller dan mijn cheap ass NUC van tig jaar geleden (DN2820FYKH, 2013?).

[Reactie gewijzigd door Lethalis op 28 januari 2021 22:44]

Wut... $725?!?!
https://gathering.tweaker...message/65861878#65861878
En dat gaat uitstekend met Ziggo en veel lokaal verkeer ivm home automation en private cloud.
Gelukkig maar dat je het 2ehands hebt gekocht. Anders is het te veel :+

Heb zelf deze minisys/yangling van aliexpress. Kwam nog wel invoer rechten/btw overheen. Had zelf wel RAM (4Gb) en een SSD(128Gb) liggen. Werkt super stabiel bij mij met in dit geval PfSense en als packages suricata, squid en squidguard.
Ik heb 250/50mbit van ziggo en doet dan 40-50% cpu gebuik bij full load van verbinding.
Denk dat ik met de huidige config geen 1/1gbit ga halen :+ Dan zal suricata een tandje lager moeten.

Zelf wil ik OPNSense nog wel een keer proberen lijkt er op dat ze al een paar jaar heel hard aan de weg aan het timmeren zijn. Paar jaar geleden geprobeerd maar toen was het nog net niet en sindsdien nog altijd PFsense gebruikt.

[Reactie gewijzigd door mcsushi op 29 januari 2021 00:12]

Zal met zijn 79 KG (!) dat ie weegt volgens de specs best krachtig mogen zijn... Heb je al aan de postzegels gedacht... ;-)

Wellicht ook om over na te denken is het stroomverbruik.
Mijn Netgate SG-2220 (Pfsense) doet het met ong. 8W.
Ik heb hiervoor een Protectli Vault 6 gekocht en dat draait naast een DC en een Docker server. De minimale eisen zitten flink onder jouw toestel
Iemand ervaring met de HP T620 Plus als Opnsense firewall ? https://www.servethehome....d-firewall-vpn-appliance/
Ja gebruik ik als firewall met pfsense, maar de versie zonder plus. Dus als router on a stick.
Ik had deze icm een pfsense versie draaien. Maar ik had veel netwerkkaart issues (realtek).
Niet met de HP T620 Plus zelf maar ik gebruik een HP 290 G1 zonder enig probleem deze heb ik voor dezelfde prijs gekocht als een T620 via ebay. De T620 Plus wordt zeer vaak gebruikt in combinatie met opnsense/pfsense.
Man, man: wat duur: voor zo'n 300 euro heb je een Odroid H2+, met 16GB RAM en SDD waarmee je je Gbit lijn helemaal dicht trekt en dus niet blijft hangen op 930-940Mbit zoals met 1GB NIC oplossingen het geval is.
Heb er 100 euro 2dehands voor betaald :-)
Ik heb de Qotom Q555G6 genomen. werkt prima als vmware host met onder andere opnsense.
Als je cheap gaat, altijd ODM bestellen zoals Qotom. Niet een rebadge of een whitelabel rebrand whateverthefuck zoals Protectli doet.

Qua hardware moet je een beetje goede IPC hebben, en als het even kan RDRAND achtig spul en AES acceleration. Goede NICs helpt ook, scheelt weer CPU load en brakke drivers (waar je vaak achter komt als je een basis NIC zoals een low-end Realtek neemt die prima werkt op een werkstation maar traffic van een router niet slikt).

Voor ~300 euro heb je 4 tot 8 Intel NICs, een i5 en 8GB RAM en een ~16GB? SSD, komt met DHL naar NL. Moet soms nog 50 euro belasting bij. Maar dan zit je dus ~10 jaar goed tot dat je meer dan 2x1Gbit trunk voltrekt. En intern nog een mini PCIe vrij, daar kan je dus prima een 10GbE kaartje in prikken om zo nog harder te gaan. Tegenwoordig is er heel veel mogelijk.

Aan de andere kant roepen mensen dan dat het 'te ingewikkeld' wordt. Op dat moment kan je je ook afvragen of zelf een stukje hardware en software regelen en configureren dat aan het internet hangt een goed plan is.
Ben al een aantal maanden overgestapt. Ben er nog steeds zeer tevreden over. Ik zie op korte termijn steeds meer mensen overstappen naar OPNsense aangezien PfSense meer gaat focussen op closed source met PfSense Plus. https://www.reddit.com/r/.../announcing_pfsense_plus/

Ik gebruik OPSense in combinatie met Proxmox op een Microserver Gen10 Plus.
Gisteren van 20.7.8 naar 21.1 geupgrade.
Dit ging niet goed. Zorg dat je vantevoren een config backup maakt zodat je die kan restoren.
Bij mijn APU2C4 bleef de update in het webmenu op een oneindige "updating and rebooting" boodschap staan.
Toen ik mijn seriele kabel aansloot en kon zien wat er aan de hand was, bleef de opnsense startup hangen op een error (die ik helaas niet heb genoteerd).
In ieder geval is bij mij de upgrade mislukt en heb ik een clean install gedaan, en daarna de config gerestored.
-edit : de upgrade kan langere tijd duren. Toch ook berichten van mislukte upgrades.

info:
https://forum.opnsense.org/index.php?topic=21165.0

[Reactie gewijzigd door EverLast2002 op 29 januari 2021 14:06]

Ik draai dit op mijn unraid server onder een VM met 4 ports Nic. Werkt prima. Leuk om mee te spelen. Voordeel is dat je een nieuwe versie uit kan proberen en in een jiffy terug kan op een oudere/werkende versie.

[Reactie gewijzigd door misterbennie op 29 januari 2021 13:18]

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True