Software-update: pfSense 2.5.2

pfSense logo (75 pix)Versie 2.5.2 van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewalltaken. Het is verkrijgbaar in de gratis Community Edition en een Plus-uitvoering, die voorheen als Factory Edition werd aangeboden. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. Waar WireGuard uit voorzorg uit versie 2.5.1 was verwijderd, keert deze in 2.5.2 weer terug, zij het als experimentele optie. De changelog voor deze uitgave ziet er als volgt uit:

Security

This release includes corrections for the following vulnerabilities in pfSense software:

General
  • Added: WireGuard experimental add-on package
pfSense CE Aliases / Tables
  • Added: PHP shell playback script to modify Alias contents #11380
Authentication
  • Added: Copy button for Authentication Server entries #11390
Backup / Restore
  • Added: Randomize time of scheduled AutoConfigBackup runs #10811
  • Fixed: Automated corruption recovery from cached config.xml backup files should check multiple backups #11748
  • Fixed: AutoConfigBackup schedule custom hour value lost on page load #11946
Captive Portal
  • Added: Redirect Captive Portal users to login page after they logout #11264
  • Fixed: Captive Portal post-auth redirect is not properly respected #11842
  • Fixed: Potential XSS vulnerability in Captive Portal redirurl handling #11843
Certificates
  • Fixed: Certificate Manager does not report Unbound as using a certificate #11678
  • Fixed: PHP error on certificate list due to unreadable private key #11859
  • Fixed: Export P12 icon is missing if certificate is not locally renewable #11884
Configuration Upgrade
  • Fixed: PHP error in upgrade_212_to_213() when upgrading certain IPsec tunnels #11801
Console Menu
  • Changed: Allow reroot on ZFS from console and GUI reboot menu entries #11914
DHCP (IPv6)
  • Fixed: dhcp6withoutra_script.sh does not get executed when advanced options are set #11883
DNS Forwarder
  • Fixed: Disable DNSSEC option for dnsmasq #11781
  • Fixed: Update dnsmasq to 2.85 to fix CVE-2021-3448 #11866
DNS Resolver
  • Fixed: Unbound Python Integration repeatedly mounts dev without unmounting #11456
  • Fixed: Stale hostname registration data for OpenVPN clients is not deleted from the DNS Resolver configuration at boot #11704
  • Changed: Temporarily move back to Unbound 1.12.x due to instability on Unbound 1.13.x #11915
Dashboard
  • Fixed: Thermal sensors widget no longer shows values from certain hardware #11787
  • Fixed: IPsec Dashboard widget only displays first P2 subnet when using a single traffic selector #11893
  • Fixed: Editing widgets on Dashboard causes a PHP Warning #11939
Diagnostics
  • Fixed: ARP Table populates hostname values using expired DHCP lease data #11510
  • Fixed: Sanitize OpenVPN Client Export certificate password in status output #11767
  • Fixed: Sanitize Captive Portal RADIUS MAC secret in status output #11769
  • Fixed: MAC address OEM information missing from ARP table #11819
  • Fixed: State table content on diag_dump_states.php does not sort properly #11852
Dynamic DNS
  • Added: New Dynamic DNS Provider: Mythic-Beasts #7842
  • Added: New Dynamic DNS Provider: one.com #11293
  • Added: New Dynamic DNS Provider: Yandex PDD #11294
  • Added: New Dynamic DNS Provider: NIC.RU #11358
  • Added: New Dynamic DNS Provider: Gandi LiveDNS IPv6 #11420
  • Fixed: Automatic 25-day forced Dynamic DNS update removes wildcard domain #11667
  • Fixed: Digital Ocean Dynamic DNS help text is incorrect #11754
  • Fixed: NoIP.com Dynamic DNS update failure is not detected properly #11815
  • Fixed: Dynamic DNS edit page incorrectly hides username field when switching away from Digital Ocean #11840
Gateways
  • Added: Input validation to prevent setting a load balancing gateway group as default #11164
Hardware / Drivers
  • Changed: Deprecate old cryptographic accelerator hardware which is not viable on modern systems #11426
  • Fixed: Using SHA1 or SHA256 with AES-NI may fail if AES-NI attempts to accelerate hashing #11524
High Availability
  • Fixed: Incorrect RADVD log message on HA event #11966
IGMP Proxy
  • Fixed: IGMP Proxy restarts unnecessarily after IPv6 gateway events #11904
IPsec
  • Added: GUI option to set RADIUS Timeout for EAP-RADIUS #11211
  • Added: Option to switch IPsec filtering modes to choose between enc and if_ipsec filtering #11395
  • Changed: Move custom IPsec NAT-T port settings to Advanced Options #11518
  • Fixed: strongSwan configuration always contains user EAP/PSK values #11564
  • Added: IPsec GUI option to control Child SA start_action #11576
  • Fixed: Error when adding both IPv4 and IPv6 P2 under an IPv4 or IPv6 only IKEv1 P1 #11651
  • Fixed: Cannot disable IPsec P1 when related P2s are in VTI mode and enabled #11792
  • Fixed: IPsec VTI interface names are not properly formed for more than 32 interfaces #11794
  • Fixed: Applying IPsec settings for more than ~30 tunnels times out PHP #11795
  • Fixed: ipsec_vti() does not skip disabled VTI entries #11832
  • Fixed: IPsec GUI allows creating multiple identical Phase 1 entries when using FQDN for remote gateway #11912
  • Fixed: Mobile IPsec advanced RADIUS parameters do not allow numeric values with a decimal point #11967
IPv6 Router Advertisements (RADVD)
  • Added: Use virtual link local IP address as RA source address for HA environments #11103
  • Added: Shortcut buttons for service control and logs on RADVD configuration #11911
  • Fixed: RADVD breaks on SIGHUP #11913
Interfaces
  • Fixed: DHCP interfaces are always treated as having a gateway, even if one is not assigned by the upstream DHCP server #5135
  • Fixed: Interfaces page displays MAC Address field for interfaces which do not support L2 #11387
  • Fixed: CLI interface configuration without IPv6 leaves RA enabled #11609
  • Fixed: Incomplete PPPoE custom reset values lead to invalid cron entry #11698
  • Fixed: Error when changing MTU if the interface is used for both IPv4 and IPv6 default routes #11855
  • Added: VLAN list sorting #11968
L2TP
  • Fixed: Unused L2TP VPN files are not removed when the service is disabled #11299
  • Added: GUI option to set MTU for L2TP VPN server #11406
NTPD
  • Fixed: NTP widget displays incorrect status #11495
  • Fixed: NTP authentication input validation rejects valid keys #11850
Notifications
  • Fixed: Invalid HTML encoding in modal Notices window #11765
OpenVPN
  • Added: Allow the firewall to use DNS servers provided to an OpenVPN client instance #11140
  • Fixed: OpenVPN Wizard does not support gateway groups #11141
  • Added: Set Explicit Exit Notify to 1 by default for new OpenVPN client instances #11521
  • Added: Support for Cisco AVPair {clientipv6} template in firewall rules returns by RADIUS #11596
  • Changed: Set explicit-exit-notify option by default for new OpenVPN server instances #11684
  • Fixed: OpenVPN does not clean up parsed Cisco-AVPair rules on non-graceful disconnect #11699
  • Fixed: OpenVPN does not kill IPv6 client states on disconnect #11700
  • Fixed: OpenVPN client starts when CARP VIP is in BACKUP status when bound to Virtual IP aliased to CARP VIP #11793
  • Fixed: Certificate validation with OCSP always fails in openvpn.tls-verify.php #11830
  • Changed: Update OpenVPN to 2.5.2 #11844
  • Fixed: OpenVPN client startup error if IPv6 Tunnel Network is defined in TAP mode #11869
Operating System
  • Added: Kernel modules for alternate congestion control algorithms #7092
  • Added: Kernel module for RTL8153 driver #11125
  • Added: Xen console support #11402
  • Fixed: Unquoted variable in dot.tcshrc can cause proxy password to be printed #11867
Routing
  • Fixed: IPv4 link-local (169.254.x.x) gateway does not function #11806
Rules / NAT
  • Added: Support for IPv6 firewall entries with dynamic delegated prefix and static host address #6626
  • Fixed: Disabling all interfaces associated with a floating rule causes the firewall to generate an incorrect pf rule #11688
  • Fixed: Input validation prevents creating 1:1 NAT rules on IPsec #11751
  • Fixed: Invalid combinations of TCP flag matching options cause pfctl parser error #11762
  • Fixed: Port forward rules only function through the default gateway interface, reply-to does not work for Multi-WAN (CE Only) #11805
  • Fixed: Error loading rules in certain cases where an interface is temporarily without an address #11861
  • Fixed: NAT 1:1 fail to validate aliases #11923
Traffic Shaper (ALTQ)
  • Fixed: Harmless error when enabling traffic shaper #11229
  • Fixed: Segmentation fault when loading ALTQ traffic shaping rules using FAIRQ #11550
Traffic Shaper (Limiters)
  • Fixed: Unused Limiter entries with schedules create unnecessary cron jobs #11636
  • Fixed: Error when setting queue limit on CODELQ limiter #11725
Upgrade
  • Fixed: Language presented to user during upgrade is misleading #11897
Web Interface
  • Added: Replace HTTP links with HTTPS in the GUI #11228
  • Fixed: Ambiguous text in help and input validation error for system domain name #11658
  • Fixed: PHP error if PHP_error.log file is too large #11685
  • Fixed: RAM Disk Settings shows Kernel Memory at 0 Kb and does not allow the user to create RAM disks #11702
  • Fixed: HTTP Referer error message text is incorrect #11873
  • Fixed: Missing /0 subnet when cloning repeatable CIDR mask controls #11880
  • Fixed: Update NGINX to address CVE-2021-23017 #12061
WireGuard
  • Fixed: Ignore WireGuard configurations under <installedpackages></installedpackages> #11808
Wireless
  • Added: GUI options for WPA Enterprise with identity/password #2400
  • Fixed: wpa_supplicant uses 100% of a CPU core at boot #11453
XMLRPC
  • Fixed: XMLRPC synchronization restarts all OpenVPN instances on the secondary node when making any change on the primary node #11082
  • Fixed: XMLRPC Client does not honor its default timeout value #11718

pfSense 2.3.3 screenshot (810 pix)

Versienummer 2.5.2
Releasestatus Final
Besturingssystemen BSD
Website pfSense
Download https://www.pfsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

07-07-2021 • 15:45

17

Submitter: Theone098

Bron: pfSense

Update-historie

Reacties (17)

17
17
14
0
0
3
Wijzig sortering
Na onlangs een paar maanden pfSense gebruikt te hebben er toch weer vanaf gehaald. Fijne firewall met een grote community en veel uitbreidingsmogelijkheden, maar helaas toch minder geschikt voor particulier gebruik en dan met name wanneer je online wilt gamen met meerdere game units te gelijk. Dit zou te maken hebben met een, naar een veel genoemde oorzaak in de community, brakke upnp implementatie in BSD.

Nu over gestapt naar een Linux based Firewall (Untangle) appliance en mijn problemen met online gamen zijn verdwenen. Heb in het verleden veel met pfSense gewerkt, maar had toen de eis van meerdere game units niet. (iets met ouder worden en kinderen enzo).
Ik had daar vroeger ook wel wat problemen mee maar de laatste tijd eigenlijk helemaal niet meer. Op de playstations nat 2 en 1 werken gewoon. Op het werk laatst 4 race simulatoren die ook werken op nat type-2.

Ik ben nu zelfs aan het denken om die Netgate 3100 box te kopen. Hoeft het niet virtueel meer.
Je weet dat dat een arm-based appliance is? Daarmee beperk je je tot pfsense; kan je waarschijnlijk nooit andere software op draaien. Als pfsense ooit stopt te bestaan (of je bent het zat) kan je hem wegkiepen. Kies je voor iets x86-64 , ben je vrij om net te draaien wat je wil: pfsense, opnsense, ipcop, routeros, openwrt, ddwrt, noem maar op. En voor $400,- koop je tegenwoordig een heel leuk x86-64 machientje.
Dit is niet correct. Ook opnsense (BSD basis, zelfde als pfsense) draait op de Netgate.
Wel zijn die dingen te duur voor wat je krijgt. Oud pctje of even bij ali kijken voor een bakje met meerdere netwerkaansluitingen, heb je voor het zelfde geld veel meer power en mogelijkheden.
Je krijgt er wel "support" bij. Zelf heb ik een qotom mini pc met 4 poorten die ik eerst als htpc heb gebruikt voor een jaar of 2 voordat ik mijzelf eindelijk heb geforceerd pfsense erop te smijten. Persoonlijk zou ik ook liever een x86 of x86_64 machine hebben al is het maar dat ik het gevoel krijg dat ARM altijd een 2nd class citizen gaat zijn. En de SG 5100 en daarboven zijn veel te duur.
1 boxje erbij, redelijk low power. Plug, configure and play.

Ik heb maar een server waarop alles draait, zonder die server ook geen routing.
Met dit heb ik weer een losse gateway.

Kan wel een systeem in elkaar zetten, maar dan kost het vrij veel om het stil en mooi in 1u te krijgen.
Deze router kan ik op een al bestaande 1u plaat plaatsen.
Kan er de huidige backups op plaatsen en het route voldoende gbit over L3.
Open VPN is ook gewoon handig zonder directe client limit en best rap (400m) aldus de website.

Ik geloof niet dat het over 5 jaar weg is. Dat is ver genoeg.

[Reactie gewijzigd door Core2016 op 22 juli 2024 18:12]

Ik heb 'm inmiddels 3 jaar op een fanless x86 supermicro IoT gateway draaien.

Mijne heeft een Quad core Intel Atom E3940. In plaats van dual core Cortex A9 van SG-3100.
Voor nagenoeg hetzelfde geld. Er zijn inmiddels vast snellere opties.
- Bij Nederlandse webshop
- Link supermicro

- Hier vanuit gaande (2012!!) komt de A9 soort van in de buurt van de Atom N450
- En hier de N450 uitgezet tegenover de E3940

Nog meer dual nic opties:
https://tweakers.net/bare...7JQqtUBSZogJA3gkmZKtbW1AA

[Reactie gewijzigd door discy op 22 juli 2024 18:12]

Er is een groot verschil tussen "draait" (iemand heeft de source door een compiler getrokken) en een stabiele supported release. Die laatste is er niet. Op dit moment is opnsense er enkel voor x86-64 (en dan bedoel ik een officiële release, niet iets compiled vanaf github)
Duidelijk. Zo had ik er nog niet over nagedacht.
Kreeg je manuele port forwards niet werkend ? Persoonlijk disable ik uPNP, NAT-PMP en consorten.
Alles wat out-of-the-box mogelijk was geprobeerd, toen ik op fora stuitte op work arounds waarbij het over manueel patchen van uPNP gesproken werd had ik mijn "I'm Out" momentje, dat kan niet de oplossing zijn en is het voor mij duidelijk dat consumer niet de doelgroep is waarop de focus ligt.

Wanneer je statische poorten gaat forwarden dan beperk je je tot 1 console. Call of Duty wil per client poort 3074 hebben, wat leidde tot 1 console met open NAT en de console kon CoD Multiplayer helemaal niet meer opstarten.
Alles wat out-of-the-box mogelijk was geprobeerd, toen ik op fora stuitte op work arounds waarbij het over manueel patchen van uPNP gesproken werd had ik mijn "I'm Out" momentje, dat kan niet de oplossing zijn en is het voor mij duidelijk dat consumer niet de doelgroep is waarop de focus ligt.
Absoluut met zo'n dingen maken ze zich belachelijk. Ook de kwaliteitscontrole van de plugins laat vaak te wensen over en iedere upgrade is er mogelijk een plugin of functionaliteit vervangen of verwijderd.
Wanneer je statische poorten gaat forwarden dan beperk je je tot 1 console. Call of Duty wil per client poort 3074 hebben, wat leidde tot 1 console met open NAT en de console kon CoD Multiplayer helemaal niet meer opstarten.
Ach zo vraag mij af hoe uPNP dat flikt achter de schermen ?
UPnP is het probleem :+ niet de oplossing.
Recentelijk OpnSense geïnstalleerd op een oude computer. Ik zat te twijfelen tussen pfSense en OpnSense. Nu ik lees dat WireGuard niet te gebruiken was tot nu ben ik blij dat ik toch voor OpnSense gekozen heb omdat ik WireGuard als vpn gebruik.

Gisteren of vandaag is ook voor OpnSense een update (21.1.8) uitgebracht waarvan nog geen blog post is gemaakt.
Het gaat een beetje gelijk op. Ik heb pfSense gehad en ben later overgegaan op OPNSense. Ik had wel een paar kleine dingen die niet meteen werkten, maar dat heb ik uiteindelijk kunnen oplossen.

De interface van OPN vind ik persoonlijk net even prettiger, qua functionaliteit ligt het heel erg dicht bij elkaar.
Changed: Temporarily move back to Unbound 1.12.x due to instability on Unbound 1.13.x #11915
Dat is snel gefixed. /sarcasm

In december begon , na een update van PFsense (unstable > stable nota bene), unbound constant te herstarten. Gevolg: DNS resolving haperde of gaf time-outs , en een klagende vrouw en kinderen ('internet doet het niet!')
Het was al gauw duidelijk dat er meer mensen last van hadden.
Lijkt me een issue dat prioriteit moet krijgen.

Toen er na 3 maanden nog geen patch of workaround was , ben ik overgestapt op OPNSense.
Die hadden dit specifieke issue ook al eens gehad, maar vrij direct gepatcht.
https://redmine.pfsense.org/issues/11316

Ben er blij mee. Ook fijn dat er een aardige API op OPNSense zit. Het is allemaal net een beetje moderner.
Dat terzijde, dit is een PFSense topic ;)

Op dit item kan niet meer gereageerd worden.