OPNsense 21.7.6

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 21.7.6 uitgebracht met de volgende aankondiging:

OPNsense 21.7.6 released
This smallish update introduces Suricata 5-based versions for Emerging Threats rulesets as well as shipping the latest Suricata 6.0.4 with an additional change for the Netmap API version 14. Please do let us know how that impacts your IPS performance numbers via the forum if you notice anything.

The upgrade to 22.1-BETA2 is also included in the bundled development version.
Here are the full patch notes:

system: move logging remnants of Relayd/HAProxy to plugin code

system: support XMLRPC authentication using API keys

system: escape shell parameters in cron jobs

system: system log widget auto-refresh (contributed by kulikov-a)

interfaces: make is_linklocal() properly detect all link-local addresses (contributed by Per von Zweigbergk)

firewall: properly translate "any" port to upper or lower port bound

firewall: support any-to-X ranges for rules port input (contributed by kulikov-a)

firewall: drop policy based routing validation on interface rules

captive portal: missing tooltip in session window

captive portal: "connected since" malformed due to datetime already being converted

dhcp: add current IPv4 address to static lease creation (contributed by Taneli Leppa)

intrusion detection: switch to ET-Open Suricata 5 rulesets

intrusion detection: support multiple policy property in metadata

ipsec: inline only caller of get_configured_vips_list()

ipsec: avoid VTI device recreation when using hostnames

backend: add configctl "-d" and "-q" options for future use

plugins: os-acme-client 3.5

plugins: os-dyndns 1.27

plugins: os-etpro-telemetry 1.6 switches to Suricata 5 rulesets

plugins: os-frr 1.24

plugins: os-nginx 1.24

plugins: os-telegraf 1.12.3

plugins: os-wireguard 1.9

plugins: os-zabbix-agent 1.10

plugins: os-zabbix-proxy 1.6

ports: suricata 6.0.4 with Netmap API version 14 enabled

OPNsense

Lees meer

Reacties (18)

Ernieball_d 28 november 2021 01:58

Zijn er mensen die ervaring hebben met Wireguard op opnsense? Ondanks verschillende tutorials krijg ik het niet aan de praat. Benieuwd of het aan mij ligt of dat meer mensen hier tegen aangelopen zijn..

Rataplan_ @Ernieball_d • 28 november 2021 08:52

Dan ligt het aan jou

Wij draaien wireguard tussen twee datacenters (wel op pfSense overigens) en moeten m overigens knijpen, anders vreet ie de hele uplink op. OpenVPN kwam niet verder dan 80/90Mbps.
Wat zeggen je logs? Volg anders eens de video's van Lawrence, https://m.youtube.com/channel/UCHkYOD-3fZbuGhwsADBd9ZQ dat is wel pfSense maar dat is grootdeels gelijk allemaal.

[Reactie gewijzigd door Rataplan_ op 24 juli 2024 16:58]

Ernieball_d @Rataplan_ • 28 november 2021 14:48

Thanks.. ik ga die eens proberen

mocem @Ernieball_d • 28 november 2021 09:43

Werkt hier ook prima. Wat gaat er mis?

Ernieball_d @mocem • 28 november 2021 14:53

Ik krijg geen handshake. De ene tutorial geeft aan dat er een outbound nat nodig is en de andere weer niet. Iets bomen en het bos niet meer zien

Ik ga het filmpje vqn Rataplan eens goed doornemen en dan van scratch af aan opnieuw beginnen

Jerie

@Ernieball_d • 29 november 2021 09:49

Probeer het eens met CLI door te doen wat men bij wireguard.com/quickstart/ doet. Eenvoudiger kan haast niet (wg-quick is ietsje makkelijker maar veel scheelt het niet).

mOrPhie 27 november 2021 11:19

Mensen die van pfsense overstapten op opnsense, jullie mening?

SuperPietje @mOrPhie • 27 november 2021 12:07

Voor mij de grootste dealbreakers 2 jaar geleden:
- Geen seperator lines mogelijk in de firewall/nat rules.
- Geen beschrijvingen mogelijk bij entries in firewall aliassen/groeps

Mijn voorkeur blijft voorlopig nog altijd uitgaan naar pfSense, maar ik blijf geïnteresseerd in OPN, en eens in de zoveel tijd installeer ik het weer om te kijken of de dealbreakers weg zijn. Voor m'n gevoel wordt tegenwoordig wel meer energie in OPN gestopt door Deciso dan Netgate in PF stopt.

Ik volg de download posts ook altijd van OPN en PF om ervaringen/gevoel van andere te lezen

witchdoc @SuperPietje • 27 november 2021 13:51

Je kan gewoon een description geven bij aliases.
Begrijp ik je verkeerd of bedoel je wat anders?

Die seperator lijnen in FW rules mis ik wel ja. Ook al ergens gelezen dat dit niet geïmplementeerd zal worden .

Rataplan_ @mOrPhie • 28 november 2021 08:45

Zie Rataplan_ in 'downloads: OPNsense 19.7.9'

Helaas nog steeds zo. Ik vind de release en daarmee security patch schedule van opnSense beter dan die van pfSense. Maar pfSense is gewoon véél productiever voor ons. Geen fatsoenlijke descriptions bij de alias entries is voor ons dé dealbreaker.

Rolfie

27 november 2021 09:21

Upgrade gedaan op 2 systemen.

Geen reboot nodig gehad.

Eens kijken of ik nu wel de VTI ipsec werkend krijg.

Mich 27 november 2021 09:47

Iemand hier met ervaring met suricata. Is het de moeite waard hier voor te betalen? Beschermt het de gewone burger tegen iets? Kan je bijvoorbeeld pakketten inspecteren die toch stiekem met Google DNS verbinding blijven maken? Of met China?

SuperPietje @Mich • 27 november 2021 10:12

Het blokkeren van Google DNS zou je gewoon met een reguliere firewall regel kunnen afvangen. Verbinding met China geen idee op opnsense, op pfsense zou ik dat regelen met pfBlockerNG

Ik heb zelf wel wat ervaring met Suricata op pfSense i.c.m. Snort (betaalde en gratis variant) i.p.v. ET Pro wat opnsense volgens mij gebruikt. En op de wat drukkere omgevingen zie ik dat er zeker wel rotzooi afgevangen wordt. Maar het is bedoeld als Threat Protection, dus bied (gedeeltelijke) bescherming tegen exploit pogingen, compromised hosts of tor netwerken.

IJsbeer @SuperPietje • 27 november 2021 14:54

GEO blokeren zit standaard in OPNSense. Je kunt gewoon de landen in de firewall aanvinken en klaar, geen verkeer meer mogelijk.
Suricate werkt idd als 'exploit/malware' filter. Bekende IP adressen en / of SSL certificaten worden geblokeerd. Je kan lijsten aanvinken welke daarvoor gebruikt moeten worden. Ook bij thuisgebruik zie ik dat er soms verkeer wordt geblokked daardoor.

Dacuuu @Mich • 27 november 2021 12:17

Misschien begrijp ik je vraag niet helemaal goed. Maar je kan Geoip toepassen op je firewall rules. Dan stel je toch in dat je je bereiding verbinding mag maken met de hele wereld behalve China?

https://docs.opnsense.org/manual/how-tos/maxmind_geo_ip.html

Harmen @Mich • 27 november 2021 14:09

Heb zelf Sensei geïnstalleerd, die filtert ook genoeg voor een thuis gebruiker. Kijk maar eens op de volgende site: https://homenetworkguy.com/tags/sensei

Tr1pke @Mich • 27 november 2021 09:55

Testen is weten

powerboat 27 november 2021 16:58

Weet iemand of surricate 6 inmiddels werkt met virtio netwerk kaarten?

Op dit item kan niet meer gereageerd worden.

Versienummer	21.7.6
Releasestatus	Final
Besturingssystemen	Linux, BSD
Website	OPNsense
Download	https://opnsense.org/download/
Licentietype	Voorwaarden (GNU/BSD/etc.)

09-05	OPNsense 25.1.6	16
10-04	OPNsense 25.1.5	10
26-03	OPNsense 25.1.4	1
13-03	OPNsense 25.1.3	10
28-02	OPNsense 25.1.2	12
13-02	OPNsense 25.1.1	11
01-02	OPNsense 25.1	10
15-01	OPNsense 24.7.12	8
18-12	OPNsense 24.7.11	18
03-12	OPNsense 24.7.10	7

Software-update: OPNsense 21.7.6

Update-historie

Lees meer

Reacties (18)

Sorteer op:

Weergave: