Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Software-update: OPNsense 21.1.1

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 21.1.1 uitgebracht met de volgende aankondiging:

OPNsense 21.1.1 released

The 21.1 series debut looks pretty good so far. Thanks again for your input and comments! We will be spending a lot of time this year improving and adapting the code base. As a first glimpse, the changes of this stable update are a mix of security and reliability updates coupled with preparations for the update framework revamp we have planned for 21.7. The roadmap is still not final, but will likely contain long-yearned-for features. Stay tuned.

Here are the full patch notes:
  • firewall: change order of shaper delay parameter to prevent parser errors
  • firewall: fix multiple PHP warnings regarding category additions
  • firewall: fix icon toggle for block and reject (contributed by ElJeffe)
  • interfaces: unhide primary IPv6 in overview page
  • interfaces: fix IPv6 misalignment in get_interfaces_info()
  • reporting: fix sidebar menu collapse for NetFlow link (contributed by Maurice Walker)
  • captive portal: validate that static IP address exists when writing the configuration
  • firmware: add product status backend for upcoming firmware page redesign
  • firmware: opnsense-code will now check out the default release branch
  • firmware: opnsense-update adds "-R" option for major release selection
  • firmware: opnsense-update will now update repositories if out of sync
  • firmware: opnsense-update will attempt to recover from fatal pkg behaviour
  • firmware: opnsense-update now correctly redirects stderr on major upgrades
  • firmware: opnsense-update now retains vital flag on faulty release type transition
  • intrusion detection: clean up rule based additions to prevent collisions with the new policies
  • monit: minor bugfixes and UI changes (contributed by Manuel Faux)
  • unbound: update documentation URL (contributed by xorbital)
  • ui: format packet count with toLocaleString() in interface statistics widget (contributed by bleetsheep)
  • ui: add compatibility for JS replaceAll() function
  • rc: support reading JSON metadata from plugin version files
  • plugins: provide JSON metadata in plugin version files
  • plugins: os-dyndns GratisDNS apex domain fix (contributed by Fredrik Rambris)
  • plugins: os-nginx upstream TLS verification fix (contributed by kulikov-a)
  • plugins: os-theme-cicada 1.26 (contributed by Team Rebellion)
  • plugins: os-theme-vicuna 1.2 (contributed by Team Rebellion)
  • src: panic when destroying VNET and epair simultaneously
  • src: uninitialized file system kernel stack leaks
  • src: Xen guest-triggered out of memory
  • src: update timezone database information
  • ports: dnsmasq 2.84
  • ports: lighttpd 1.4.59
  • ports: krb5 1.19
  • ports: monit 5.27.2
  • ports: perl 5.32.1
  • ports: sqlite 3.34.1

OPNsense

Versienummer 21.1.1
Releasestatus Final
Besturingssystemen Linux, BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

10-02-2021 • 12:11

39 Linkedin

Submitter: terradrone

Bron: OPNsense

Update-historie

Reacties (39)

Wijzig sortering
De jongens (en meiden, natuurlijk) van OPNSense zijn wel gru-we-lijk snel zeg...
Nog geen week geleden alles op 21.1 gezet, nu alweer een update...
op wat draai jij OPNsense?
En zijn er hier nog mensen die het gebruiken?
Zo ja, op wat?

Ik wil graag ids/ips doen, maar niet ten koste van mijn internetverbinding (ik heb nu 300/30 Mbit).
En de hardware moet ook toekomstgericht zijn als de lijnsnelheden worden opgekrikt.
Ik weet niet welke hardware ik zou moeten kopen.

En andere vraag: ken er iemand een goede site die je connectie test op open poorten, fails in firewall, etc?
Ik draai het op https://protectli.com/ hardware (specifiek de FW4B). Erg tevreden.

Voor testen op open poorten gebruik ik shieldsUp van grc.com. Er zullen ongetwijfeld betere mogelijkheden zijn, maar voor mijn huis-, tuin- en keukengebruik voldoende. Voor fails in firewall heb ik niet niets. Maar bij mij staat op een VPN na, alles dicht.

[Reactie gewijzigd door MrEd79 op 10 februari 2021 13:25]

Gebruik je hem ook voor wifi, of alleen voor firewall en VPN taken?
Pfsense/opnsense hebben geen wifi drivers. Met Pfsense plus zou dat moeten worden geïntroduceerd:

6. What kinds of new capabilities are envisioned?

pfSense Plus will grow to incorporate features - like the following - requested by our end-user and managed service provider customers:

Business level dashboard / reporting
802.11ac and 802.11ax wireless access point support
Improved packet filter performance

New GUI architecture
GUI / device control separation, which facilitates multi-instance management
Modernized look and feel
Zero Touch Provisioning for easier drop ship of unprovisioned appliances


bron: https://www.netgate.com/blog/announcing-pfsense-plus.html
Ik zag op de site van protectli dat ze ook een wifi-module verkopen voor hun systemen, dus ik dacht dat er inmiddels wel een (fatsoenlijke) wifi driver beschikbaar was.. Maar op de pagina van een van die wifimodules staat het volgende:
Note that the BSD driver for this card only works in B/G mode, so support for wireless N in BSD based systems (including pfSense® CE and OPNsense) may be limited. This adapter only works on the 2.4GHz band. Also note that this wireless adapter, while conforming to a PCIe form factor, is USB connected. Therefore, mini PCIe WiFi cards that are not designed for USB communication are not compatible with the Vault.

Bron: https://protectli.com/product/wap01k/
Jammer, want ik wil graag mijn huidige fritzbox vervangen door een OPNsense doos maar ik wil dan ook alles in 1 hebben en niet een los accesspoint
Weet niet exact wat je bedoeld met "geen wifi drivers". Heb jaren geleden een qutom Mini PC Q190G4 gekocht via aliexpress, er zit een wifi module in, die in pfsense gewoon als een interface te voorschijn komt. De settings van de interface zijn uiteraard een beetje veschillend van een ethernet interface, maar voor de rest behandel je de inteface gewoon als alle andere LAN / OPT interfaces. Werkt prima...
Ik gebruik alleen de router functies. Ik heb een aparte WiFi access point.
Odroid H2. Prima: snel en stabiel.
Wat is je ervaring OPNsense met realtek nics?
(heb je H2 of de H2+ ?)
Ik heb de H2. En mijn ervaringen zijn prima: ik heb echt nul problemen. De problemen die gerapporteerd zijn betreffen uitsluitend(?) oude problemen die opgelost zijn sinds de Realtek driver meegenomen wordt. Bij pfSense is dit nog wel steeds een probleem.
Hier als virtueel machine onder unraid op mijn home server (AMD 3600X). Wel 2 van de 4 porten van een 4 ports NIC hardwarematig aan de VM gekoppeld.
Throughout van 600 Mb is geen probleem.
Een pc engines board: https://www.applianceshop.eu/parts/pc-engines-apu2e4.html
Draait ook goed.
Minder geschikt om ics/ids te doen denk.
Ik gebruik het hier virtueel binnen Hyper-V. Bouw nog weleens wat Windows machines en wil eigenlijk dat deze niet vrij op mijn thuisnetwerk rond kunnen browsen.

Zo heeft elke omgeving een eigen private vSwitch met een gateway naar buiten via de OPNsense.

Ik doe dus eigenlijk alleen maar NAT met een beetje firewalling.
Ik heb een Sophos 210 (duocore 2,7ghz/8gb) en een Sophos 125w, en 200/200 glas. OpenVPN haal ik wel de volle snelheid op de 210, niet op de 125w.

Hieronder zie ik ook vragen over wifi, BSD heeft geen drivers voor wifi a/c en 5ghz. Daarvoor ben ik bezig om via bhyve een linux openwrt te draaien speciaal als 'AP'. Handleiding die ik probeer: https://lists.freebsd.org...ers/2020-June/056170.html

Op de 20.1 had ik wat stabiliteitsuitdagingen, nu op 20.1.1 zo stabiel als een zonnetje.

[Reactie gewijzigd door Melones op 11 februari 2021 14:53]

Zelf draai ik OPNsense op een oude AMD E350. Misschien niet het meest gangbare processortje en ook alweer vrij antiek, maar ik moet zeggen dat het echt als een zonnetje loopt!

Er zit een reepje van 4GB RAM in, dat had ik toch nog ongebruikt liggen en hiermee in OPNsense alle caching opties geactiveerd (niet achter UPS dus kan mogelijk een risico vormen) en een 32GB SATA SSD'tje.

Ik gebruik zelf niet de onboard NIC van het systeem, maar een 2-poorts Broadcom 5709 Gbit kaartje.

Onlangs wel teruggegaan in lijnsnelheid, maar 500Mbit was voor het ding geen probleem. De belasting gaat uiteraard wel wat omhoog, maar heb geen vertragingen gemerkt. Ook bij veel connecties merk je dat het redelijk stabiel blijft. En bij "regulier" werk vooral kantoor gebaseerd dan staat hij vrijwel altijd uit zijn neus te vreten :).

Het liefst zou ik dit een keer willen upgraden voor een PC Engines bordje en dan het liefst de apu2e0, maar ik vind het voor nu de investering eigenlijk niet waard omdat alles nog goed loopt. Stroomverbruik zal wel wat lager worden, maar dat gaat geen honderden euro's schelen.
krijg de indruk dat de ontwikkeling hiervan aanzienlijk sneller gaat dan pfsense, die hangt nog op FreeBSD 11.3-STABLE
Dat komt door dat NetGate al een tijdje in de uitknijp-fase zit en met hardware en licenties geld wil verdienen en pfSense minder aantrekkelijk wil maken :+

Zo gek is dat niet, dat gebeurt met zo'n beetje elk Amerikaans bedrijf dat een manier gevonden heeft om ergens geld uit te halen. Wel jammer als je kijkt haar het oorspronkelijke open-source project voor dat het commercieel werd.

De vraag is natuurlijk of OpnSense niet ook die kant op gaat, maar ik denk dat dat met de Nederlanders die daar achter zitten kans maakt om gewoon goed door te lopen en toch geld te verdienen aan zinvolle zaken zoals threat feeds, hardware en support (naast gewoon een goede BSD-based Firewall distro onderhouden).
De ontwikkelaars van opnsense zijn erg open source minded en zien liever dat hun product gebruikt word dan dat ze er rijk van worden. Niet voor niks dat ze het project geforked hebben.

Hopelijk houden ze vast aan hun kernwaarden :)
Maar ze zijn (vaak) totaal niet community-minded. Ze hebben hun eigen ideeën en zijn vaak voor geen enkele discussie daarin vatbaar. Dat is hun goed recht overigens, want hun product, maar ze zouden soms eens wat meer open kunnen staan voor opbouwende kritiek / discussie.

Overigens is dat bij pfSense niet beter. Maar wij wilden een paar jaar terug betaald opnSense gaan doen, en we draaiden toen pfsense en opnsense langs elkaar met een gelijke ruleset. Maar juist toen kwam er een breaking change (voor ons) en ook toen was het 'wij vinden dat het zo moet dus zoek het maar uit'. Geen contract uitgkomen :-) overigens achteraf erg blij dat we bij pfSense zijn gebleven. De gui van pfSense scheelt ons erg veel tijd doordat we daat descriptions in aliassen kunnen gebruiken en bv kunnen dubbelklikken op rules om ze te editen. Maar ook iets simpels als seperator lines. opnSense ziet er wat fancier uit maar dat heeft totaal geen waarde voor ee firewall. Functionaliteit en productiviteit wel.
Dat is wel jammer, wat beweren ze op de site en een interview op youtube wel te zijn.
Ik ben van PFsense overgestapt omdat ik het idee had dat de ontwikkeling dood is.
https://twitter.com/pfsense/status/1359231466425704449
(te) laag pitje. Maar het is niet dood.

[Reactie gewijzigd door Rataplan_ op 10 februari 2021 14:12]

Maar ook hun eigen hardware met pfsense krijgt geen update. Wat voor bedrijven ook geen enkele reden meer is om deze te kopen.
TNSR wel uiteraard, maar dat's nogal closed.
Ik denk dat dat een beetje van je wensen afhangt, maar ik ben er doorgaans wel blij mee dat dat updates voor al mn kritieke (netwerk) infra meer naar de conservatieve kant leunen.

Hoge updatefrequenties zijn toch vooral voor je gevoel. En in je homelab waar er best wel wat om mag donderen is het zelfs leuk om er mee te pielen.
Maar in professionele context waar er onmiddelijk stress is als iets niet werkt zie ik toch vooral extra werk in software die constant bijgewerkt moet worden.

Ik zie bijvoorbeeld niet echt waarom ik het boeiend moet vinden op welke versie van onderliggend OS ze functioneren.

[Reactie gewijzigd door Polderviking op 10 februari 2021 13:12]

Sterker nog, lees hier en hier

Wat ik er uit opmaak is dat de community edition niet langer alle features zal kunnen gebruiken.

Ook is er, voor de zoveelste keer, de aankondiging van pfsense v2.5 (quote: pfSense CE Release 2.5, in early February 2021). De maand is ondertussen bijna halfweg, dus early February 2021 is mijns inziens voorbij. Helaas nog niets gezien.

In het verleden zag je ook in de RSS feed af en toe security patches aangemeld, die je handmatig (dus geen automatische update) moest / kon installeren met specifieke commando's (command line). Daar zijn ze blijkbaar ook van afgestapt, al bijna 1,5 jaar niets meer gezien, RSS -> reclame feed...
Moet dat elke keer onder elke software update van Opnsense?

Elke 2 weken het hart van je netwerken rebooten, erg irritant juist. Hoe meer er in de core zit hoe groter je attack surface.
Niet iedere update heeft een reboot nodig. Hooguit een herstart van services.
Je kan ze natuurlijk in HA zetten zodat je altijd kan updaten zonder downtime :9

@KRGT
Elke 2 weken het hart van je netwerken rebooten, erg irritant juist. Hoe meer er in de core zit hoe groter je attack surface.
Dat is niet pertinent waar, veelal zijn ook bugfixes die gepushed worden. Wil je echt een small core dan kun je beter zelf aan de slag gaan en de gui er sowieso vanaf slopen ;).

[Reactie gewijzigd door powerboat op 10 februari 2021 12:56]

Wat jammer is dat HAProxy states niet (of niet goed) gesynct worden tussen HA nodes. Alle sessies die gewoon gerouteerd of geNAT zijn lopen perfect door, maar alles wat door HAProxy loopt, gaat reconnecten. Dit betekent dat je niet per definitie altijd een cutless failover kunt doen.
Ah okay, ik gebruik HAProxy in een aparte VM achter de router. Maar inderdaad wel iets om rekening mee te houden.
Daarnaast hoef je niet elke update te installeren, tenzij je bepaalde nieuwe features of bugfixes nodig hebt. Deze sla ik ook over, want zit niks in wat ik nodig heb en er zijn geen vulnerabilities gepatched.
Een reboot op een beetje fatsoenlijke hardware duurt nog geen twee minuten. Lijkt me niet echt een probleem. Als je geen twee minuten downtime kunt hebben draai je HA en dan maakt het ook niet uit.
Ja? Ooit een fysieke server ala DL360 gen8 of 9 gereboot? Ben je zo 4 a 5 minuten verder. Vanaf gen10 gaat het wel wat sneller.
Ik ben sinds vorige week overgestapt van PfSense naar OPNSense. Veel overeenkomsten (logisch want fork).
Overweeg al langer de overstap van pfsense naar OPNsense, maar heb hier géén ervaring mee.

Volgende vragen over packages (package manager) en features:
- SURICATA in IPS (inline mode), mits intel netwerk adapter?
- PFblockerNG (gebruik alleen het IP deel)?
- IPv6 NAT (om redirects te doen, bv. DNS request 2001:4860:4860::8888 (google) -> local DNS (pihole)?

andere voordelen (behoudens de frequentie van de updates)
Je kan met OPNsense gewoon de IP-blocklists toevoegen bij een alias en gebruiken in een firewall regel. Je kan daarbij ook de update frequency aangeven. Dat werkt perfect. Ik gebruik mijn blocklists in een floating rule, zodat ze bij alle interfaces actief zijn.

Volgens mij kan Suricata gewoon zoals je wilt, Suricata is geen apart package in OPNSense, maar is een onderdeel. Geen ervaring met IPv6 NAT, want dat gebruik ik niet.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True