Software-update: OPNsense 21.7

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 21.7 uitgebracht met de volgende aankondiging:

OPNsense 21.7 released

For more than 6 and a half years, OPNsense is driving innovation through modularising and hardening the open source firewall, with simple and reliable firmware upgrades, multi-language support, fast adoption of upstream software updates as well as clear and stable 2-Clause BSD licensing.

21.7, nicknamed "Noble Nightingale", is one of the largest iterations of code changes in our recent history. It will also be the last release on HardenedBSD 12.1. We are planning to start the work on FreeBSD 13 as soon as next week for the 22.1 series.

The installer was replaced to offer native ZFS installations and prevent glitches in virtual machines using UEFI. Firmware updates were partially redesigned and the UI layout consolidated between static and MVC pages. The live log now contains the actual rule ID to avoid mismatches after adjusting your ruleset and the firewall aliases now also support wildcard netmasks. For a complete list of changes see below.

Here are the full patch notes:
  • system: Norwegian translation
  • system: correctly enforce "Disable writing log files to the local disk" when circular logs are not used
  • system: allow to edit gateway entries with non-conforming names
  • system: add HA sync entry for live log templates
  • system: lock config writes during HA merges
  • system: raised PHP memory limit to 1G
  • system: raised encryption standard for encrypted config.xml export
  • system: removed NextCloud backup from core functionality
  • system: allow more characters in the certificate/authority organization fields
  • system: default gateway failure state killing is now disabled by default
  • system: circular logs are now disabled by default
  • system: removed unused traffic API dashboard feed
  • system: prevent use of client certificates in web GUI
  • system: lock config writes during HA merges
  • system: hide far gateway option for IPv6
  • system: isvalidpid() is not required for a single killbypid()
  • system: fix PHP 7.4 deprecated warning in IPv6 library
  • system: do not split XMLRPC password into multiple pieces
  • system: enable group sync for LDAP servers that do not return memberOf
  • system: prevent excessive config writes on LDAP import
  • system: allow cron-based restarts of all "restart" action providers
  • interfaces: improve GRE/GIF configuration handling and dynamic reload behaviour
  • interfaces: remove duplicated handling of PPP IPv6 interface detection
  • interfaces: refactored address removal into interfaces_addresses_flush()
  • interfaces: flush IPv6 addresses on the correct IPv6 interface when it differs from the IPv4 interface
  • interfaces: do not check for existing CARP interfaces midstream
  • interfaces: remove non-tunnel restriction from address collection
  • interfaces: set tunnel flag for IPv4 tunnel plus cleanups
  • interfaces: allow interface-based overrides of hardware checksum settings
  • interfaces: refactor DNS lookup and add PTR to output (contributed by Maurice Walker)
  • interfaces: deprecate SLAAC addresses on linkdown
  • firewall: set label for obsolete rule in live log (contributed by kulikov-a)
  • firewall: MVC rewrite of the states diagnostics pages under "States"
  • firewall: MVC rewrite of the pfTop diagnostics pages under "Sessions"
  • firewall: renamed "pfTables" diagnostics to "Aliases"
  • firewall: add quick link to states counter from firewall rule inspection
  • firewall: add manual reply-to configuration to rules
  • firewall: delete related rules when an interface group is removed
  • firewall: rename source/destination networks when group name changes
  • firewall: possibility to filter nat/rdr action in live log
  • firewall: use permanent promiscuous mode for pflog0
  • firewall: add live log support for new filterlog format
  • dhcp: remove ::/0 route from router advertisements
  • dhcp: always deprecate prefixes in automatic router advertisements
  • dhcp: fix table header sorting in lease pages
  • dhcp: lock access to settings pages when interface is not suitable for running a DHCP server
  • dhcp: assorted improvements surrounding dhcpd_staticmap() for real world operation
  • firmware: introduced connectivity check
  • firmware: confirm plugin removal dialog
  • firmware: static template for firmware upgrade message
  • firmware: add version/date header into check script as well
  • firmware: mask subscription in GUI output
  • firmware: add "-q" option for in-place opnsense-bootstrap run
  • firmware: fix grep call on FreeBSD 13
  • firmware: correct return code on type change in opnsense-update
  • installer: assorted wording improvements
  • intrusion detection: fix alert reads from eve.json
  • ipsec: adhere to system defaults for route-to and reply-to when creating automatic VPN rules
  • ipsec: switched to explicit type selection for identities
  • network time: added NTPD client mode
  • openvpn: offer the ability to export a user without a certificate
  • openvpn: increase consistency between export types
  • openvpn: fix invalid rules generated by wizard
  • unbound: fix domain overrides for private address reverse lookup zones
  • unbound: add "unbound check" backend action
  • unbound: allow to retain cache on service reload
  • unbound: fix /var MFS dilemma for DNSBL after boot
  • unbound: remove deprecated custom options setting
  • unbound: switch model to integrate full DNS over TLS support
  • unbound: add qname-minimisation-strict option
  • unbound: renamed "blacklist" to "blocklist" for clarity
  • console: throw error when opnsense-importer encounters an encrypted config.xml
  • mvc: allow to unset attribute via setAttributeValue()
  • mvc: catch all errors including syntax and class not found errors
  • mvc: reduce differentials in config.xml when saving models
  • rc: opnsense-beep melody database directory
  • shell: fix IPv4 /31 assignment
  • ui: improved JS hook_ipv4v6() to jump to /64 on IPv6 and back to /32 on IPv4
  • ui: inject default tooltips into bootgrid formatters
  • ui: prevent translation line breaks from breaking JS
  • ui: removed $main_buttons magic handler
  • ui: switch firewall category icon for clarity
  • ui: work on unification of add buttons by minifying them and adding primary color markup
  • plugins: os-acme-client 2.6
  • plugins: os-etpro-telemetry 1.5 exclude stale data from telemetry upload
  • plugins: os-fetchmail 1.0
  • plugins: os-freeradius 1.9.15
  • plugins: os-frr 1.22
  • plugins: os-haproxy 3.4
  • plugins: os-maltrail 1.8
  • plugins: os-net-snmp 1.5
  • plugins: os-nextcloud-backup 1.0
  • plugins: os-nut 1.8
  • plugins: os-postfix 1.9
  • plugins: os-radsecproxy 1.0
  • plugins: os-telegraf 1.11.0
  • plugins: os-tftp 1.0
  • plugins: os-zabbix-agent 1.9
  • src: dhclient support for VLAN 0 decapsulation
  • src: FreeBSD updates for the pf(4) and iflib(4) subsystems
  • src: FreeBSD updates for Intel e1000, ixgbe and ixl drivers
  • src: compatibility shim for upcoming rtsold "-M" command line option
  • src: separately log NAT and firewall rules in pf(4)
  • src: libcasper: fix descriptors numbers
  • src: linux: prevent integer overflow in futex_requeue
  • src: axgbe: make sure driver works on V1000 platform and remove unnecessary reset
  • ports: drop hardening options to ease migration to FreeBSD ports tree
  • ports: clog 1.0.2 fixes garbage header write on init
  • ports: curl 7.78.0
  • ports: filterlog adds CARP IPv6 support and moves label to previously reserved spot
  • ports: libxml 2.9.12
  • ports: nettle 3.7.3
  • ports: nss 3.68
  • ports: openvpn 2.5.3
  • ports: php 7.4.21
  • ports: phpseclib 2.0.32
  • ports: python 3.8.10
  • ports: sudo 1.9.7p1
  • ports: suricata 5.0.7
  • ports: syslog-ng 3.33.2
Known issues and limitations:
  • NextCloud backup feature moved from core to plugins. Please reinstall if needed.
  • IPsec identities are now set using their explicit type. See StrongSwan documentation for the old automatic defaults.
  • Unbound custom options setting has been discontinued. Local override directory /usr/local/etc/unbound.opnsense.d exists.


Versienummer 21.7
Releasestatus Final
Besturingssystemen Linux, BSD
Website OPNsense
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

29-07-2021 • 20:49

8 Linkedin

Submitter: Rolfie

Bron: OPNsense


Reacties (8)

Wijzig sortering
Wacht nog even met installeren of upgraden als je de igb netwerk driver gebruikt, hier zitten een paar serieuze bugs in mbt tot Sensei en VLANs.
Wow, bijna had ik de upgrade gedaan met mijn igb nic drivers......
Goed dat ik vantevoren jouw berichtje las. :)

"Unbound custom options setting has been discontinued."
Hm.....dat is jammer want ik heb hier wel een paar regels config instaan.
Je kunt het ook in een local config file zetten:

En dan bij het kopje ‘Advanced configuration’.
OPNsense team released 21.7.1 today. We've been able to verify that this release solves outstanding issues related to the igb driver.

All systems go for an upgrade :)

Voorlopig doet bij mij ntpd het niet meer, na upgrade naar 21.7.
Leuk weetje: Deciso b.v. is het bedrijf achter OPNsense. En dat is een 100% Nederlands bedrijf :)

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.

Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack,, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.


Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details


    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details