Software-update: OPNsense 22.1.9

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 22.1.9 uitgebracht met de volgende aankondiging:

OPNsense 22.1.9 released

Today we are addressing kernel memory leaks that occur when reading firewall rule information from the system. It seems that these leaks even slipped into the FreeBSD 13.1 release so we are happy to see them fixed now.

22.7 is very much on track. Our final target is getting ready for the PHP 8 upgrade but the timing is unclear as we wait for an official Phalcon 5 release version that supports it. Other than that please enjoy the summer and hydrate responsibly.

Here are the full patch notes:
  • system: improve gateway subnet validation to fix IPv6 edge cases
  • system: dpinger support for IPv6 aliases
  • system: support 1500000 baudrate selection for ARM
  • system: non-functional cleanups for upcoming move to PHP 8
  • interfaces: add unique constraint for tag+if on VLANs
  • firewall: bring back missing toggle button in aliases
  • firewall: exclude internal aliases on import
  • firewall: fix alias removal
  • captive portal: add missing validation message for empty interface selection
  • dhcp: revert back to not adding an IP to static lease creation from leases page
  • openvpn: add domain search option to servers and overrides
  • unbound: disabling the first DNS override entry invalidates config
  • unbound: make blocklist additions/removals dynamic to prevent a restart
  • unbound: zero_ttl is no longer a valid statistic (contributed by David Mora)
  • plugins: os-ddclient 1.7
  • plugins: os-debug 1.5 fixes deprecated xdebug syntax
  • plugins: os-frr 1.29
  • plugins: os-nginx 1.28
  • plugins: os-wireguard 1.11
  • src: pf: fix memory leaks in nvlist usage
  • src: pf: stop resolving hosts as dns that use ":" modifier
  • src: e1000: Increase rx_buffer_size to 32b
  • src: igc: Increase rx_buffer_size local variable to 32b
  • src: assorted non-functional cleanups and typo corrections
  • ports: krb5 1.20
  • ports: lighttpd 1.4.65
  • ports: nss 3.79
  • ports: openvpn 2.5.7
  • ports: php 7.4.30
  • ports: py-certifi 2022.5.18.1
  • ports: sqlite3 3.38.5
  • ports: sudo 1.9.11p2
  • ports: unbound 1.16.0

OPNsense

Versienummer 22.1.9
Releasestatus Final
Besturingssystemen Linux, BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

24-06-2022 • 20:45

20 Linkedin

Submitter: terradrone

Bron: OPNsense

Update-historie

Reacties (20)

Wijzig sortering
Wat is het grote voordeel van opnsense tov pfsense? (if any?) ik gebruik zelf pf en bevalt me erg goed, maar toch benieuwd hiernaar
Beide pakketten werken prima, zit voornamelijk in de benadering van hoe het product in de markt word gezet.

Heb het in ieder geval het idee dat de ontwikkeling van Opnsense een stuk sneller gaat.
Alhoewel ik pfSense draai - vind ik de "split" tussen pfSense CE en pfSense Plus een teken aan de wand. Het is mij niet geheel helder welke kant Netgate hiermee op wil. Maar ik vermoed het ergste en ik denk dat ik op een gegeven moment wel over zal stappen naar OPNsense...

maar ik ben helaas toch echt een verstokte pfSense gebruiker. Snort + pfBlockerNG vind ik toch wel prettig... en ik zal onder OPNsense zaken moeten uitzoeken zoals instellen GRE tunnel en dergelijke.

Ik vind de controverse omtrent pfSense vs OPNsense vooral onprettig. Wat dat betreft voel ik mij prettiger bij OPNsense.
Ze zijn beide goede firewalls. Meestal heeft OPNsense als eerste bepaalde functies. Als het iets belangrijks is zie je dat het een paar maanden later ook in pfSense aanwezig is.

Het ding is, de meeste nieuwe functies zijn eerder gimmicks. Deze firewalls zijn op een punt gekomen dat ze beide al de belangrijkste taken goed kunnen uitvoeren. pfSense wordt vaker gebruikt in enterprises omdat stabiliteit en betrouwbaarheid daar cruciaal is, en pfSense heeft daar een licht voordeel.

[Reactie gewijzigd door FateTrap op 25 juni 2022 19:24]

Dat is eigenlijk een goeie vraag. Ik draai ook pfSense en ik heb OPNsense een aantal keren geprobeerd - maar ik kan er niet aan wennen. Ik mis dan vooral pfBlockerNG en de interface is onwennig. Maar misschien is het een kwestie van doorbijten en wennen? Ook viel mij op dat de WAN/LAN interfaces net andersom zitten (??). Ik ben wel blij dat er een alternatief is voor pfSense - maar ik zie (op dit moment) geen voordelen om over te stappen. De geschiedenis van pfSense - ten opzichte van OPNsense - is overigens niet prettig en een aantal vreemde keuzes uit het verleden zetten mij er zo nu en dan toe om toch alternatieven te bekijken... maar tot nu toe blijven hangen bij pfSense. Er zijn voor mij geen overtuigende voordelen.
OPNsense heeft Sensei dat (volgens de OPNsense fans) beter is. Het voordeel van OPNsense is dat het sneller updates en nieuwe functies heeft. Hoewel veel mensen dit sowieso als een nadeel zien voor persoonlijk gebruik.

Het voordeel van pfSense is dat het meestal stabieler is. Het heeft ook een betere UI, hoewel OPNsense gebruikers iets anders denken.

Je zou verwachten dat ze gelijkaardige prestaties bieden, maar ik hoor vaak dat OPNsense minder goed lijkt te presteren: https://forum.opnsense.org/index.php?topic=15553.0 Het kan ook zijn dat het de configuratieverschillen zijn die OPNsense trager maken. Maar je ziet dat andere mensen ook constateren dat OPNsense iets trager lijkt te zijn.

De betaalde versie van pfSense zou nog sneller moeten zijn dat wat je in bovenstaande link ziet, dus pfSense heeft momenteel waarschijnlijk de hoogste prestaties, in beide versies.

[Reactie gewijzigd door FateTrap op 25 juni 2022 20:32]

Ik gebruik nu een jaartje pfsense. Werkt prima, en ik heb hiervoor gekozen met het idee een stabielere oplossing, zonder elke maand te moeten updaten. Ik merk nu dat er wel erg weinig updates zijn en maak me zorgen om kwetsbaarheden die nog niet gepatched zijn in deze gratis pfsense. Binnenkort van kabel naar glasvezel en dat is een mooi moment om ook opnsense te gaan ervaren.
Dat er weinig updates uitkomen betekent niet dat het product kwetsbaar is:
https://www.cvedetails.co...1763/Pfsense-Pfsense.html

Toevoeging: met iedere update kun je ook weer nieuwe kwetsbaarheden introduceren ;-)

[Reactie gewijzigd door boukej op 25 juni 2022 15:20]

Let erop dat die lijst niet volledig is. Zo staat in de release notes van PFSense 2.4.5-p1 dat er enkele CVE's zijn opgelost, maar deze worden niet op cvedetails.com genoemd. Ik vermoed omdat ze in een herbruikt pakket zitten (unbound / json / freebsd) en niet in door pfsense toegevoegde code.
Als je de lijst met patches doorleest is het voornamelijk bug fixing van de eigen software.
Echte gaten zijn er niet bij dit keer. En als ik de beide Sense versies naast elkaar zet dan worden bij beide serieuze bugs net zo snel gepatched.
Inderdaad, veel mensen maken de logica-fout dat software die minder vaak met updates komt stabieler (en veiliger) is.
Modernere ui en Api (uberhaupt een API) , frequentere releases en adequaat acteren op bugs waren de redenen voor mij om over te stappen naar opnsense
Geen dag spijt van gehad.
Gebruik zelf OPNsense de laatste jaren. Vergeleken met pfSense vind ik het veel makkelijker te gebruiken, met goede 3rd party integratie zoals ZeroTier, Adguard, Let's Encrypt en Wireguard.

Geavanceerde opties vereisen inderdaad vaak een blik op de documentatie die zeker beter kan maar pfSense heeft de optie vaak niet eens.
WireGuard gaat waarschijnlijk eerder een argument voor pfSense zijn omdat het lange tijd veel trager draaide op OPNsense: https://forum.opnsense.org/index.php?topic=22326.0
- PFsense wireguard saturates my client with 600mbit/s
- OPNsense wireguard reaches only 40mbits with 100% cpu on OPNsense.

Apart the fact on same vm I got 600mbit with PFsense now I have rebuilt the VM with fully dedicated 8 core high performance xeon. The VM now costs 10 times more.
Guess what? Peak transfer now 54 on OPNsense, not 40....

Met de overstap naar FreeBSD 13 heeft OPNsense nu ook een snellere implementatie, maar lange tijd was WireGuard veel te traag op OPNsense.

ZeroTier is iets dat ook makkelijk te gebruiken is op pfSense: https://discuss.zerotier....nd-pfsense-with-ospf/6740

pfBlockerNG werkt op de router tussen u en het internet, dus kan worden toegepast ondanks welke DNS-server een client probeert te gebruiken (door transparante DNS in te stellen). Adguard lijkt een ander apparaat op het netwerk te zijn (een andere aanvalsvector).

pfBlockerNG heeft ook een firewall level block evenals DNS, dus kan blokkeren op basis van land, reputatie etc. en communicatie voorkomen. Het ondersteunt IPv6, maar heel weinig lijsten hebben IPv6 omdat er niet te veel spam voor bestaat.

Let's Encrypt installeren en gebruiken op pfSense is eveneens erg simpel. OPNsense ondersteunde trouwens onveilige cryptografie in IPsec: https://docs.opnsense.org/releases/CE_22.1.html

Op gebied van belangrijke opties, pfSense heeft die zo goed als allemaal. Sommige opties zijn makkelijker te configureren op OPNsense, andere opties zijn veel makkelijker te configureren op pfSense.
Ik zit even snel te kijken maar voor Adguard met je een repro bij een externe site halen zonder dat je weet wat deze doet. En een grote waarschuwing NIET in productie gebruiken. En dat op de firewall die direct aan internet hangt.
Wireguard kan zo geinstalleerd worden uit de packetmanager.
Voor Let's Encrypt kun je ACME gebruiken. Zit ook in de packetmanager.
Alleen voor ZeroTier zul je wat meer kunstgrepen moeten uithalen. Ja het kan. Maar niet klik en play.
Mooi product, OPNsense. Komende week eens kijken voor een update.. ben erg blij met de ZeroTier integratie in elk geval.

[Reactie gewijzigd door DigitalExorcist op 24 juni 2022 21:00]

Eerlijk gezegd zeer fijn, heb het een paar keer getest en zeer fijn. En alle functies die je maar zou willen je kan ze well vinden. Gebruik het niet dagelijks op dit moment, maar in de toekomst misschien een low power amd64 device halen en hem dan daar voor gebruiken.
Opensense krijg ik zonder handleiding niet aan de praat. Met PfSence wel in 1 keer alles werkend. Wellicht is de interface van OpenSense net even anders als een normale router. Ik vind het wel jammer dat je niet meer grafieken (monitoring) kan krijgen in de standaard layout van PfSense. Misschien is dat bij Opensense beter?
Ik gebruik OpnSense als enige tijd en deze update was de eerste keer dat er twee zaken 'omvielen'. De ACME certificaten waren niet meer gekoppeld aan de interfaces/services. Die waren vervangen voor OpnSense selfsigned certificaten. Die ACME's bleken ook uit de Cert/CA stores te zijn verdwenen. Dus die moesten vanuit de ACME service opnieuw gekoppeld/geïmporteerd worden en toen werkte dat weer.
Ander puntje is dat NGINX stopte met een config file error. Dat was op te lossen door tijdelijk terug te gaan naar de vorige versie (cli commando).
Ik gebruik PfSense thuis in een VM. De WAN-kant hangt gewoon in mijn data-netwerk en de LAN-kant hangt in een specifiek VLAN. Verder draait er een VPN verbinding naar PIA op.

Alles in dat VLAN hangt dus aan een PIA verbinding. Mijn gastenwifi hangt bijvoorbeeld aan dat VLAN.

Verder heb ik nog een site volledig draaien op een OPNsense router (VM) inclusief Site-2-site naar mijn thuisrouter (Tomato). Daar gebruik ik ook verschillende VLANs voor camera’s, WiFi APs, management en gasten-WiFi.

Ik vind beide producten eigenlijk we prima en heb bij beiden over stabiliteit niet te klagen.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee