Software-update: OPNsense 21.1.1

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 21.1.1 uitgebracht met de volgende aankondiging:

OPNsense 21.1.1 released

The 21.1 series debut looks pretty good so far. Thanks again for your input and comments! We will be spending a lot of time this year improving and adapting the code base. As a first glimpse, the changes of this stable update are a mix of security and reliability updates coupled with preparations for the update framework revamp we have planned for 21.7. The roadmap is still not final, but will likely contain long-yearned-for features. Stay tuned.

Here are the full patch notes:
  • firewall: change order of shaper delay parameter to prevent parser errors
  • firewall: fix multiple PHP warnings regarding category additions
  • firewall: fix icon toggle for block and reject (contributed by ElJeffe)
  • interfaces: unhide primary IPv6 in overview page
  • interfaces: fix IPv6 misalignment in get_interfaces_info()
  • reporting: fix sidebar menu collapse for NetFlow link (contributed by Maurice Walker)
  • captive portal: validate that static IP address exists when writing the configuration
  • firmware: add product status backend for upcoming firmware page redesign
  • firmware: opnsense-code will now check out the default release branch
  • firmware: opnsense-update adds "-R" option for major release selection
  • firmware: opnsense-update will now update repositories if out of sync
  • firmware: opnsense-update will attempt to recover from fatal pkg behaviour
  • firmware: opnsense-update now correctly redirects stderr on major upgrades
  • firmware: opnsense-update now retains vital flag on faulty release type transition
  • intrusion detection: clean up rule based additions to prevent collisions with the new policies
  • monit: minor bugfixes and UI changes (contributed by Manuel Faux)
  • unbound: update documentation URL (contributed by xorbital)
  • ui: format packet count with toLocaleString() in interface statistics widget (contributed by bleetsheep)
  • ui: add compatibility for JS replaceAll() function
  • rc: support reading JSON metadata from plugin version files
  • plugins: provide JSON metadata in plugin version files
  • plugins: os-dyndns GratisDNS apex domain fix (contributed by Fredrik Rambris)
  • plugins: os-nginx upstream TLS verification fix (contributed by kulikov-a)
  • plugins: os-theme-cicada 1.26 (contributed by Team Rebellion)
  • plugins: os-theme-vicuna 1.2 (contributed by Team Rebellion)
  • src: panic when destroying VNET and epair simultaneously
  • src: uninitialized file system kernel stack leaks
  • src: Xen guest-triggered out of memory
  • src: update timezone database information
  • ports: dnsmasq 2.84
  • ports: lighttpd 1.4.59
  • ports: krb5 1.19
  • ports: monit 5.27.2
  • ports: perl 5.32.1
  • ports: sqlite 3.34.1

OPNsense

Versienummer 21.1.1
Releasestatus Final
Besturingssystemen Linux, BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 10-02-2021 12:11
39 • submitter: terradrone

10-02-2021 • 12:11

39

Submitter: terradrone

Bron: OPNsense

Update-historie

10-09 OPNsense 25.7.3 2
21-08 OPNsense 25.7.2 7
31-07 OPNsense 25.7.1 18
24-07 OPNsense 25.7 9
22-07 OPNsense 25.1.12 16
16-07 OPNsense 25.1.11 4
01-07 OPNsense 25.1.10 0
18-06 OPNsense 25.1.9 1
12-06 OPNsense 25.1.8 8
19-05 OPNsense 25.1.7 6
Meer historie

Lees meer

OPNsense

geen prijs bekend

5 van 5 sterren
Beveiliging en antivirus

Reacties (39)

-Moderatie-faq
39
39
31
1
0
5
Wijzig sortering

Sorteer op:

Weergave:
Sandolution 10 februari 2021 12:58
De jongens (en meiden, natuurlijk) van OPNSense zijn wel gru-we-lijk snel zeg...
Nog geen week geleden alles op 21.1 gezet, nu alweer een update...
webside007 @Sandolution10 februari 2021 13:14
op wat draai jij OPNsense?
En zijn er hier nog mensen die het gebruiken?
Zo ja, op wat?

Ik wil graag ids/ips doen, maar niet ten koste van mijn internetverbinding (ik heb nu 300/30 Mbit).
En de hardware moet ook toekomstgericht zijn als de lijnsnelheden worden opgekrikt.
Ik weet niet welke hardware ik zou moeten kopen.

En andere vraag: ken er iemand een goede site die je connectie test op open poorten, fails in firewall, etc?
PerlinNoise @webside00710 februari 2021 13:20
Zelfbouw project: Firewall / Router / AP
MrEd79 @webside00710 februari 2021 13:23
Ik draai het op https://protectli.com/ hardware (specifiek de FW4B). Erg tevreden.

Voor testen op open poorten gebruik ik shieldsUp van grc.com. Er zullen ongetwijfeld betere mogelijkheden zijn, maar voor mijn huis-, tuin- en keukengebruik voldoende. Voor fails in firewall heb ik niet niets. Maar bij mij staat op een VPN na, alles dicht.

[Reactie gewijzigd door MrEd79 op 24 juli 2024 00:17]

_Eend_ @MrEd7910 februari 2021 14:38
Gebruik je hem ook voor wifi, of alleen voor firewall en VPN taken?
PerlinNoise @_Eend_10 februari 2021 14:42
Pfsense/opnsense hebben geen wifi drivers. Met Pfsense plus zou dat moeten worden geïntroduceerd:

6. What kinds of new capabilities are envisioned?

pfSense Plus will grow to incorporate features - like the following - requested by our end-user and managed service provider customers:

Business level dashboard / reporting
802.11ac and 802.11ax wireless access point support
Improved packet filter performance

New GUI architecture
GUI / device control separation, which facilitates multi-instance management
Modernized look and feel
Zero Touch Provisioning for easier drop ship of unprovisioned appliances

bron: https://www.netgate.com/blog/announcing-pfsense-plus.html
_Eend_ @PerlinNoise10 februari 2021 15:25
Ik zag op de site van protectli dat ze ook een wifi-module verkopen voor hun systemen, dus ik dacht dat er inmiddels wel een (fatsoenlijke) wifi driver beschikbaar was.. Maar op de pagina van een van die wifimodules staat het volgende:
Note that the BSD driver for this card only works in B/G mode, so support for wireless N in BSD based systems (including pfSense® CE and OPNsense) may be limited. This adapter only works on the 2.4GHz band. Also note that this wireless adapter, while conforming to a PCIe form factor, is USB connected. Therefore, mini PCIe WiFi cards that are not designed for USB communication are not compatible with the Vault.

Bron: https://protectli.com/product/wap01k/
Jammer, want ik wil graag mijn huidige fritzbox vervangen door een OPNsense doos maar ik wil dan ook alles in 1 hebben en niet een los accesspoint
jpgview @PerlinNoise10 februari 2021 17:49
Weet niet exact wat je bedoeld met "geen wifi drivers". Heb jaren geleden een qutom Mini PC Q190G4 gekocht via aliexpress, er zit een wifi module in, die in pfsense gewoon als een interface te voorschijn komt. De settings van de interface zijn uiteraard een beetje veschillend van een ethernet interface, maar voor de rest behandel je de inteface gewoon als alle andere LAN / OPT interfaces. Werkt prima...
MrEd79 @_Eend_12 februari 2021 14:05
Ik gebruik alleen de router functies. Ik heb een aparte WiFi access point.
Videopac @webside00710 februari 2021 13:27
Odroid H2. Prima: snel en stabiel.
EverLast2002 @Videopac10 februari 2021 16:58
Wat is je ervaring OPNsense met realtek nics?
(heb je H2 of de H2+ ?)
Videopac @EverLast200210 februari 2021 19:39
Ik heb de H2. En mijn ervaringen zijn prima: ik heb echt nul problemen. De problemen die gerapporteerd zijn betreffen uitsluitend(?) oude problemen die opgelost zijn sinds de Realtek driver meegenomen wordt. Bij pfSense is dit nog wel steeds een probleem.
Bartjo @webside00710 februari 2021 13:37
https://protectli.com/ , ook de FW4B
misterbennie @webside00710 februari 2021 13:39
Hier als virtueel machine onder unraid op mijn home server (AMD 3600X). Wel 2 van de 4 porten van een 4 ports NIC hardwarematig aan de VM gekoppeld.
Throughout van 600 Mb is geen probleem.
dannyvz @webside00710 februari 2021 13:52
Een pc engines board: https://www.applianceshop.eu/parts/pc-engines-apu2e4.html
Draait ook goed.
Minder geschikt om ics/ids te doen denk.
SimplyNoise @webside00710 februari 2021 20:02
Ik gebruik het hier virtueel binnen Hyper-V. Bouw nog weleens wat Windows machines en wil eigenlijk dat deze niet vrij op mijn thuisnetwerk rond kunnen browsen.

Zo heeft elke omgeving een eigen private vSwitch met een gateway naar buiten via de OPNsense.

Ik doe dus eigenlijk alleen maar NAT met een beetje firewalling.
Melones @webside00711 februari 2021 14:41
Ik heb een Sophos 210 (duocore 2,7ghz/8gb) en een Sophos 125w, en 200/200 glas. OpenVPN haal ik wel de volle snelheid op de 210, niet op de 125w.

Hieronder zie ik ook vragen over wifi, BSD heeft geen drivers voor wifi a/c en 5ghz. Daarvoor ben ik bezig om via bhyve een linux openwrt te draaien speciaal als 'AP'. Handleiding die ik probeer: https://lists.freebsd.org...ers/2020-June/056170.html

Op de 20.1 had ik wat stabiliteitsuitdagingen, nu op 20.1.1 zo stabiel als een zonnetje.

[Reactie gewijzigd door Melones op 24 juli 2024 00:17]

langerak @webside00715 februari 2021 12:43
Zelf draai ik OPNsense op een oude AMD E350. Misschien niet het meest gangbare processortje en ook alweer vrij antiek, maar ik moet zeggen dat het echt als een zonnetje loopt!

Er zit een reepje van 4GB RAM in, dat had ik toch nog ongebruikt liggen en hiermee in OPNsense alle caching opties geactiveerd (niet achter UPS dus kan mogelijk een risico vormen) en een 32GB SATA SSD'tje.

Ik gebruik zelf niet de onboard NIC van het systeem, maar een 2-poorts Broadcom 5709 Gbit kaartje.

Onlangs wel teruggegaan in lijnsnelheid, maar 500Mbit was voor het ding geen probleem. De belasting gaat uiteraard wel wat omhoog, maar heb geen vertragingen gemerkt. Ook bij veel connecties merk je dat het redelijk stabiel blijft. En bij "regulier" werk vooral kantoor gebaseerd dan staat hij vrijwel altijd uit zijn neus te vreten :).

Het liefst zou ik dit een keer willen upgraden voor een PC Engines bordje en dan het liefst de apu2e0, maar ik vind het voor nu de investering eigenlijk niet waard omdat alles nog goed loopt. Stroomverbruik zal wel wat lager worden, maar dat gaat geen honderden euro's schelen.
himlims_ 10 februari 2021 12:28
krijg de indruk dat de ontwikkeling hiervan aanzienlijk sneller gaat dan pfsense, die hangt nog op FreeBSD 11.3-STABLE
johnkeates @himlims_10 februari 2021 12:31
Dat komt door dat NetGate al een tijdje in de uitknijp-fase zit en met hardware en licenties geld wil verdienen en pfSense minder aantrekkelijk wil maken :+

Zo gek is dat niet, dat gebeurt met zo'n beetje elk Amerikaans bedrijf dat een manier gevonden heeft om ergens geld uit te halen. Wel jammer als je kijkt haar het oorspronkelijke open-source project voor dat het commercieel werd.

De vraag is natuurlijk of OpnSense niet ook die kant op gaat, maar ik denk dat dat met de Nederlanders die daar achter zitten kans maakt om gewoon goed door te lopen en toch geld te verdienen aan zinvolle zaken zoals threat feeds, hardware en support (naast gewoon een goede BSD-based Firewall distro onderhouden).
powerboat @johnkeates10 februari 2021 12:50
De ontwikkelaars van opnsense zijn erg open source minded en zien liever dat hun product gebruikt word dan dat ze er rijk van worden. Niet voor niks dat ze het project geforked hebben.

Hopelijk houden ze vast aan hun kernwaarden :)
Rataplan_ @powerboat10 februari 2021 13:02
Maar ze zijn (vaak) totaal niet community-minded. Ze hebben hun eigen ideeën en zijn vaak voor geen enkele discussie daarin vatbaar. Dat is hun goed recht overigens, want hun product, maar ze zouden soms eens wat meer open kunnen staan voor opbouwende kritiek / discussie.

Overigens is dat bij pfSense niet beter. Maar wij wilden een paar jaar terug betaald opnSense gaan doen, en we draaiden toen pfsense en opnsense langs elkaar met een gelijke ruleset. Maar juist toen kwam er een breaking change (voor ons) en ook toen was het 'wij vinden dat het zo moet dus zoek het maar uit'. Geen contract uitgkomen :-) overigens achteraf erg blij dat we bij pfSense zijn gebleven. De gui van pfSense scheelt ons erg veel tijd doordat we daat descriptions in aliassen kunnen gebruiken en bv kunnen dubbelklikken op rules om ze te editen. Maar ook iets simpels als seperator lines. opnSense ziet er wat fancier uit maar dat heeft totaal geen waarde voor ee firewall. Functionaliteit en productiviteit wel.
powerboat @Rataplan_10 februari 2021 13:59
Dat is wel jammer, wat beweren ze op de site en een interview op youtube wel te zijn.
Ik ben van PFsense overgestapt omdat ik het idee had dat de ontwikkeling dood is.
Rataplan_ @powerboat10 februari 2021 14:11
https://twitter.com/pfsense/status/1359231466425704449
(te) laag pitje. Maar het is niet dood.

[Reactie gewijzigd door Rataplan_ op 24 juli 2024 00:17]

Z80 @johnkeates10 februari 2021 13:28
Maar ook hun eigen hardware met pfsense krijgt geen update. Wat voor bedrijven ook geen enkele reden meer is om deze te kopen.
johnkeates @Z8010 februari 2021 13:52
TNSR wel uiteraard, maar dat's nogal closed.
Polderviking @himlims_10 februari 2021 13:07
Ik denk dat dat een beetje van je wensen afhangt, maar ik ben er doorgaans wel blij mee dat dat updates voor al mn kritieke (netwerk) infra meer naar de conservatieve kant leunen.

Hoge updatefrequenties zijn toch vooral voor je gevoel. En in je homelab waar er best wel wat om mag donderen is het zelfs leuk om er mee te pielen.
Maar in professionele context waar er onmiddelijk stress is als iets niet werkt zie ik toch vooral extra werk in software die constant bijgewerkt moet worden.

Ik zie bijvoorbeeld niet echt waarom ik het boeiend moet vinden op welke versie van onderliggend OS ze functioneren.

[Reactie gewijzigd door Polderviking op 24 juli 2024 00:17]

jpgview @himlims_10 februari 2021 17:59
Sterker nog, lees hier en hier

Wat ik er uit opmaak is dat de community edition niet langer alle features zal kunnen gebruiken.

Ook is er, voor de zoveelste keer, de aankondiging van pfsense v2.5 (quote: pfSense CE Release 2.5, in early February 2021). De maand is ondertussen bijna halfweg, dus early February 2021 is mijns inziens voorbij. Helaas nog niets gezien.

In het verleden zag je ook in de RSS feed af en toe security patches aangemeld, die je handmatig (dus geen automatische update) moest / kon installeren met specifieke commando's (command line). Daar zijn ze blijkbaar ook van afgestapt, al bijna 1,5 jaar niets meer gezien, RSS -> reclame feed...
Vorkie @himlims_10 februari 2021 12:32
Moet dat elke keer onder elke software update van Opnsense?

Elke 2 weken het hart van je netwerken rebooten, erg irritant juist. Hoe meer er in de core zit hoe groter je attack surface.
freshy98 @Vorkie10 februari 2021 12:33
Niet iedere update heeft een reboot nodig. Hooguit een herstart van services.
powerboat @freshy9810 februari 2021 12:47
Je kan ze natuurlijk in HA zetten zodat je altijd kan updaten zonder downtime :9

@Vorkie
Elke 2 weken het hart van je netwerken rebooten, erg irritant juist. Hoe meer er in de core zit hoe groter je attack surface.
Dat is niet pertinent waar, veelal zijn ook bugfixes die gepushed worden. Wil je echt een small core dan kun je beter zelf aan de slag gaan en de gui er sowieso vanaf slopen ;).

[Reactie gewijzigd door powerboat op 24 juli 2024 00:17]

Rataplan_ @powerboat10 februari 2021 13:53
Wat jammer is dat HAProxy states niet (of niet goed) gesynct worden tussen HA nodes. Alle sessies die gewoon gerouteerd of geNAT zijn lopen perfect door, maar alles wat door HAProxy loopt, gaat reconnecten. Dit betekent dat je niet per definitie altijd een cutless failover kunt doen.
powerboat @Rataplan_10 februari 2021 14:00
Ah okay, ik gebruik HAProxy in een aparte VM achter de router. Maar inderdaad wel iets om rekening mee te houden.
Zenix @freshy9812 februari 2021 20:31
Daarnaast hoef je niet elke update te installeren, tenzij je bepaalde nieuwe features of bugfixes nodig hebt. Deze sla ik ook over, want zit niks in wat ik nodig heb en er zijn geen vulnerabilities gepatched.
t_o_c @Vorkie10 februari 2021 13:44
Een reboot op een beetje fatsoenlijke hardware duurt nog geen twee minuten. Lijkt me niet echt een probleem. Als je geen twee minuten downtime kunt hebben draai je HA en dan maakt het ook niet uit.
Rataplan_ @t_o_c10 februari 2021 19:40
Ja? Ooit een fysieke server ala DL360 gen8 of 9 gereboot? Ben je zo 4 a 5 minuten verder. Vanaf gen10 gaat het wel wat sneller.
MrUnknown1898 10 februari 2021 14:58
Ik ben sinds vorige week overgestapt van PfSense naar OPNSense. Veel overeenkomsten (logisch want fork).
jpgview @MrUnknown189810 februari 2021 18:44
Overweeg al langer de overstap van pfsense naar OPNsense, maar heb hier géén ervaring mee.

Volgende vragen over packages (package manager) en features:
- SURICATA in IPS (inline mode), mits intel netwerk adapter?
- PFblockerNG (gebruik alleen het IP deel)?
- IPv6 NAT (om redirects te doen, bv. DNS request 2001:4860:4860::8888 (google) -> local DNS (pihole)?

andere voordelen (behoudens de frequentie van de updates)
Zenix @jpgview12 februari 2021 20:29
Je kan met OPNsense gewoon de IP-blocklists toevoegen bij een alias en gebruiken in een firewall regel. Je kan daarbij ook de update frequency aangeven. Dat werkt perfect. Ik gebruik mijn blocklists in een floating rule, zodat ze bij alle interfaces actief zijn.

Volgens mij kan Suricata gewoon zoals je wilt, Suricata is geen apart package in OPNSense, maar is een onderdeel. Geen ervaring met IPv6 NAT, want dat gebruik ik niet.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq