Software-update: OPNsense 22.7.3

OPNsense logo (79 pix)Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 22.7.3 uitgebracht en deze versie gaat vergezeld met de volgende aantekeningen:

OPNsense 22.7.3 released

Pick up the new FreeBSD security advisories while also introducing assorted reliability improvements. CRL now works again for elliptic curve with the adoption of version 3 of phpseclib. Wireless handling was improved due to PHP 8 errors and coding style issues. It is also the subject of further work for 23.1.

Here are the full patch notes:
  • system: migrate CRL handling to phpseclib version 3
  • system: run monitor reload inside system_routing_configure()
  • system: fix IPv6 link-local HTTP_REFERER check (contributed by Maurice Walker)
  • system: fix assorted PHP 8 warnings in the codebase
  • system: extend nameservers script return for debugging purposes, i.e. "configctl system list nameservers debug"
  • system: lighttpd obsoletion of server listing directive, disabled by default
  • system: decode stored CRL data before display (contributed by kulikov-a)
  • interfaces: update link-local matching pattern
  • interfaces: PPP is an exception, only created after interface configuration
  • interfaces: only remove known primary addresses in interface_bring_down()
  • interfaces: improve shell banner address return in prefix-only IPv6 case
  • interfaces: improve problematic node handling
  • interfaces: DHCP does not signal RELEASE
  • interfaces: web GUI locale sorts files differently when invoking ifctl
  • interfaces: improve legacy_interface_listget()
  • interfaces: only parse actual options in legacy_interfaces_details(), not nd6 options
  • firewall: implement a router file read fallback for new ifctl :slaac suffix
  • firewall: stick-address only in effect with pool option and multiple routers
  • firewall: remove dead pptpd server code
  • captive portal: lighttpd deprecation of legacy SSL options, disabled by default
  • dhcp: allow rapid-commit message exchange in IPv6 server (contributed by Maurice Walker)
  • firmware: major upgrade "pkgs" set was still unknown to plugin sync
  • intrusion detection: fix enable rule button and present active detail overwrite if present
  • ipsec: fixed widget link (contributed by Patrik Kernstock)
  • unbound: improve FQDN handling when address is moving in DHCP watcher
  • unbound: prevent DNS rebinding check and DNSSEC validation on explicit forwarded domains
  • unbound: restrict creation of PTR records for both the system domain and host overrides
  • unbound: add AAAA-only mode (contributed by Maurice Walker)
  • lang: fix syntax errors in French translation (contributed by kulikov-a)
  • ui: fix type cast issue in Bootgrid
  • plugins: os-ddclient relaxes validation of description field
  • plugins: os-frr 1.30
  • plugins: os-nginx now uses simplified NAME_setup service handling
  • plugins: os-wireguard 1.12
  • plugins: os-zabbix-agent 1.13
  • plugins: os-zabbix-proxy 1.9
  • src: rc: improve NAME_setup integration
  • src: zlib: fix a bug when getting a gzip header extra field with inflate()
  • src: tzdata: import tzdata 2022b and 2022c
  • ports: ldns 1.8.3
  • ports: liblz4 1.9.4
  • ports: libxml 2.10.1
  • ports: nss 3.82
  • ports: phpseclib 3.0.14

OPNsense

Versienummer 22.7.3
Releasestatus Final
Besturingssystemen Linux, BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 03-09-2022 07:29
31 • submitter: henkNL

03-09-2022 • 07:29

31 Linkedin

Submitter: henkNL

Bron: OPNsense

Update-historie

15:54 OPNsense 23.1.4 0
17-03 OPNsense 23.1.3 2
08-03 OPNsense 23.1.2 9
17-02 OPNsense 23.1.1 1
26-01 OPNSense 23.1 3
18-01 OPNsense 22.7.11 2
22-12 OPNsense 22.7.10 2
04-12 OPNsense 22.7.9 4
18-11 OPNSense 22.7.8 0
05-11 OPNsense 22.7.7 7
Meer historie

Lees meer

OPNsense

geen prijs bekend

Score: 5

Beveiliging en antivirus

Reacties (31)

-Moderatie-faq
31
31
18
0
0
5
Wijzig sortering
Praetorian
3 september 2022 09:16
Ik ben momenteel heel erg aan het twijfelen of ik moet overstappen van Pfsense naar Opnsense. Ik ben erg tevreden over Pfsense maar die geven op de community versie 1 a 2 updates per jaar. Met zo weinig updates zit je mijn inziens niet op volledige mitigigering van alle CVE's. Als je gewend bent aan Pfsense is het wel lastig om alles snel terug te vinden in de GUI van Opsense trouwens.
MrHarry
@Praetorian3 september 2022 09:24
Zit precies hetzelfde te denken, draai ook pfsense en het gebrek aan updates voor de community baart me zorgen. Maar om nu weer te switchen en nieuwe firewall te leren/zoeken naar waar alles verborgen zit heb ik ook weinig zin in :/
Rolfie
@MrHarry3 september 2022 09:28
Hoe langer je dit uitstelt, hoe langer je nieuwe dingen zal moeten leren.

Ik ben een aantal jaren geleden overgestapt en nooit spijt van gehad.
Interface van PF werkte altijd iets lekkerder, maar een OPN ben ik ondertussen ook volledig aan gewend.

Ontwikkeling van OPN gaat gewoon veel sneller.

Vannacht ging de update ook weer automatisch op mijn thuis systeem, morgen de eerste productie automatisch en overmorgen de rest. Ik zou echt niets anders meer willen draaien.

[Reactie gewijzigd door Rolfie op 3 september 2022 09:29]

nielsn
@Rolfie3 september 2022 09:57
Op welke hardware heb je dit draaien in productie omgevingen?

Thuis heb ik een protectli clone, maar wil je zoiets in productie hebben draaien?
Rolfie
@nielsn3 september 2022 15:02
Ik heb het hier op een Super Micro C2758 draaien. Ik moet er nog wel eens naar kijken, want de pppoe snelheid zou sneller moeten kunnen op dit systeem.

Ik draai het ook op een oude SUN server en een HP DL360 Gen7.

Maar heb het ook op ESXi draaiend gehad een aantal jaren.

[Reactie gewijzigd door Rolfie op 3 september 2022 15:03]

freshy98
@Rolfie3 september 2022 20:05
Welke BIOS versie draai jij op die Supermicro C2758?
Als ik update na de laatste versie krijg ik spontane reboots, ongeacht het OS.
Met de versie er voor geen enkel probleem.
misterbennie
@nielsn3 september 2022 13:42
Ikzelf heb het in een VM met een 4 ports Intel NIC draaien (unRAID AMD 3600X) en het werkt heel stabiel. Switchen tussen 2 versies is een "piece of cake". Daarnaast nog een OpenWrt VM draaien, voor de lol ;-).
Remie
@MrHarry3 september 2022 11:45
Je kan ook gratis Pfsense+ voor home registreren op de website van Netgate en dan heb je wat meer updates per jaar én ben je er meer zeker van dat er geen grote of gekke bugs in de software zitten.
Thomas H
@Remie3 september 2022 18:32
Dank voor de tip! Ben overgestapt zonder issues :-)
Rataplan_
@Remie4 september 2022 11:56
én ben je er meer zeker van dat er geen grote of gekke bugs in de software zitten.
Dat is nogal een aanname... ondanks dat ik pfSense absoluut prefereer boven OPNsense, komen ook in de plus versie van pfSense natuurlijk bugs voor. Niet te voorkomen met een dergelijk complex product. Afgezien van dat, voor zover ik weet kan je die alleen op hun hardware of in de cloud krijgen. Als ik 'm (zakelijk) op eigen hardware kon draaien hadden we dat al lang gedaan. Maar ze kunnen op eigen hardware (begrijpelijk) niet de support afgeven die ze willen bieden.

[Reactie gewijzigd door Rataplan_ op 4 september 2022 12:02]

morphje
@MrHarry3 september 2022 14:52
Het was voor mij de reden om direct te kiezen voor OPNsense. De updatesnelheid lag een stuk hoger.

En gelukkig maar, want de intel x710 nics vertoonde wat issues onder de vorige versie die in de nieuwe release opgelost waren. En nu staan die doosjes lekker te rammelen en zelfs 10 gbit is geen enkel probleem voor ze.

Ja sommige dingen zitten op een wat onlogische plek verstopt, maar daar kom je snel genoeg achter.

hardware: Dell R350, dual 6Core, 32 GB en 4x 10gbit. (oke, beetje overkill, maar het was de simpelste Dell doos met redundant powersupply)
Jack Flushell
@Praetorian3 september 2022 09:48
Ben 2 jaar geleden overgestapt. Beetje wennen, maar dat is zo gepiept. Ik vind de interface van OPNSense handiger uiteindelijk. Updates elke 2 a 4 weken en als je een probleem hebt melden op GitHub en vaak is het zo opgelost. Ze zijn onlangs weer terug gegaan naar FreeBSD als basis, eerder was dat HardenedBSD - dus de OS updates gaan nu ook soepeler. Ik denk niet perse minder veilig (al is dat lastig meetbaar). Nieuwe features zie je eeder in OPNSense. Laast zelf een stukje code bijgedragen op de ACME plugin. Binnen 2 weken kan iedereen ervan genieten.

[Reactie gewijzigd door Jack Flushell op 3 september 2022 09:50]

Muncher
@Praetorian3 september 2022 10:31
Dit komt zo te zien bij elke versie voorbij. :)

Als je door de comments van de afgelopen 3 versies scrolled, dan heb je een redelijke afweging te pakken volgens mij.
Fairy
@Praetorian3 september 2022 12:08
Overstappen is niet zo moeilijk. Ik moest even wennen aan de dnsblock instellingen die iets anders zijn en ik heb lcdproc nooit aan de gang gekregen, zodat ik het display op mijn Sophos router kan aansturen, maar dat was op zich geen showstopper, maar wel fijn geweest als het had gewerkt.
FateTrap
@Praetorian3 september 2022 11:41
Hoeveel updates je krijgt heeft niks (als in letterlijk 0.000) te maken met de beveiliging.

Neem bvb Thunderbird dat heel de tijd updates krijgt en neem Claws Mail dat veel minder frequent updates krijgt. Volgens jouw redenering gaat Thunderbird beter beveiligd zijn, enkel dit is niet de realiteit:
https://thehackernews.com...l-signature-spoofing.html

Iedere update introduceert mogelijk nieuwe kwetsbaarheden, dus op gebied van beveiliging introduceer je misschien best niet al te veel updates, en focus je best om de updates goed te controleren kwalitatief gezien.

Als eindgebruiker is het ook beter dat je weinig updates krijgt, minder tijdverlies en minder kans dat het ergens fout loopt.
stijnos1991
@FateTrap3 september 2022 16:39
En je time to patch dan? Als er een ernstig lek wordt gedicht, maar je moet maanden wachten op het uitbrengen van de patch, Dan hebben we het zeker wel over de beveiliging van een product. Ik ben het niet helemaal eens met je post, eigenlijk vind ik het ronduit gevaarlijk wat je propageert hier.
FateTrap
@stijnos19913 september 2022 17:19
Kijk naar Docker, het krijgt heel de tijd updates en patches, maar het is al erg vaak gebeurt dat deze nieuwe veiligheidspatches op hun beurt nieuwe beveiligingsproblemen introduceerden.

Wat ik bedoel is dat er niks mis is met updates, maar ze moeten veel beter getest worden dan hoe bvb windows en macOS het momenteel doet. Ook voor veiligheidspatches is dat van toepassing. Die worden te vaak overhaast naar buiten gebracht.

Bij macOS zie je dat nieuwe features en veranderingen aan het systeem niet meer beschikbaar worden wanneer ze afgewerkt zijn, maar gewoon om de zoveel tijd. Vroeger was dit een totaal andere filosofie die macOS hanteerde en macOS was toen een vele malen beter product.
hub0
@Praetorian3 september 2022 18:28
Interessant idee. Welke CVE's zitten er in de actuele versie van pfsense community die nog niet zijn gepatcht?
SVMartin
@Praetorian3 september 2022 19:01
Enkele maanden terug ben ik van pfsense naar opnsense overgegaan, ook ivm de weinige updates van pfsense (en mijn mening: geen cvs nummer betekent niet dat er toch niet een lek is in een component dat een ssl library gebruikt).

De overstap ging makkelijk, alleen een dyndns kreeg ik niet op de standaard manier aan de praat. Dat is een 1 regel bash geworden in een cronjob. Wireguard was echter zo gepiept en fijner dan OpenVPN op pfsense.

Ik zou zeggen: binnenkort gaat het hopelijk weer regenen :)
Rataplan_
3 september 2022 14:45
Ik copy/paste mijn post van een paar jaar terug nog eens. Helaas nog steeds volledig valide. We draaien mede door onderstaande nog steeds op een pfSense HA setup. Na een tijd fysiek inmiddels beide gevirtualiseerd. Ik overweeg een fysieke setup met hun 'echte' appliances te doen, maar functioneel brengt ons dat verder 0,0. Hier gaan we weer:

Je kunt in opnSense geen descriptions per entry in een alias meer zetten. Wel in de alias zelf, maar niet per entry daarin. Voorheen ging dat wel, ik en anderen hebben er overigens ook een discussie over gehad maar de heren waren niet voor rede vatbaar in deze.
We hadden op het moment dat 18.7 uitkwam (vanaf wanneer de descriptions eruit gingen) een dubbele setup draaien van pfSense en OPNSense. pfSense team had wat rare uitlatingen gedaan, OPNSense team trouwens niet minder. Ik weet niet wat nu de status is, maar ze gunden elkaar het licht niet in de ogen. Hoe dan ook, we wilden OPNSense doen en daar ook voor gaan betalen, maar door deze change is het bij pfSense gebleven.

Voorbeeld:
Alias 'Customer IP's for IMAPS access"
a.a.a.a <klantnaam A external IP>
b.b.b.b <klantnaam B external IP>
c.c.c.c <klantnaam C external IP>
d.d.d.d <klantnaam D external IP>
enz.

Sommige IP's hebben geen reverse DNS, en zo wel is het vaak <iets>.static.kpn.nl of <iets>.ziggozakelijk.nl. Daaraan kan ik niet zien voor welke klant het is. In het verleden in OPNSense, en in het heden nog steeds in pfSense, kan je zoals hier bovenstaand voor elke individuele entry in een alias een description opgeven. Sinds OPNSense 18.7 dus niet meer. Ze stellen 'als een entry de moeite waard is moet je er maar een eigen alias voor aanmaken en die nesten'. M.a.w. in plaats van zoals hierboven, had ik 4 aliassen aan moeten maken, met een description, en die weer nesten in de 'hoofd' alias. Als je dan de aliassen genest hebt, zie je in de 'hoofd'alias nog steeds alleen maar de naam van de geneste aliassen, en niet de description. De naam is weer heel beperkt, mag een hoop tekens niet bevatten. Dubbelklikken oid op een geneste alias is niet mogelijk. Een mouse-over kennen ze ook niet, dus er is geen mogelijkheid de daadwerkelijke description van een geneste alias te zien behalve handmatig naar die alias te browsen.
Erg omslachtig en veel meer complexiteit. Ik heb toen een script gemaakt wat de bestaande aliassen uit elkaar trok, en er geneste entries van maakte zoals ze het bij OPNSense graag hadden. De alias tabel werd daarmee ruim 4x zo groot, en dan zijn wij maar een klein clubje. Met duizenden aliassen lijkt me dat niet goed voor de performance, laat staan voor de complexiteit bij troubleshooten.

Verder had OPNSense (destijds in elk geval) geen seperator lines in de firewall rules. Dat maakte het een grote lange brij aan rules, waar je bij pfSense een gekleurde seperator lijn kunen plaatsen met een tekst erin, waardoor je gemakkelijk bv klanten, servers, subnetten oid kunt 'scheiden' op die manier.

Een kleine andere feature die we missen in OPNSense is het dubbelklikken op een rule of alias om hem te editten. Dat maakt het in pfSense weer een stuk sneller om wijzigingen te doen.

Dit maakt de GUI van pfSense in onze ogen wel degelijk wat vriendelijker, ondanks dat die er ouderwetser uitziet. Maar voor ons geld dat functionaliteit heel veel belangrijker is dan fancy looks.

Voor de rest denk ik dat het beetje lood om oud ijzer is, zowel OPNSense als pfSense hebben hun pluspunten. Voor wat betreft de uiteindelijke werking hebben we totaal geen voorkeur, beide firewalls doen (voor ons) precies wat ze moeten doen.
Rolfie
@Rataplan_3 september 2022 15:01
Descriptions is inderdaad iets lastiger. Maar daar zijn ook alternatieven voor te vinden, API of tabel of cvs.
Geen separators is ook een lastige, aan de andere kant dit kan je voor een gedeelte ook oplossen met category.

maar dit zijn wel de grootste 2 min punten die je noemt.
SuperPietje
@Rataplan_3 september 2022 15:08
Wat Rataplan_ zegt (TL:DR)
- Geen descriptions in aliassen kunnen zetten
- seperator lines (of het ontbreken daarvan)

Voor mij 2 dealbreakers om OPNsense links te laten liggen voor vooral de complexere installaties.
Muncher
@Rataplan_3 september 2022 23:47
Die descriptions klinken vrij essentieel. Heb je dit wel eens voorgelegd op het opnsense forum? De founder reageert meestal snel en duidelijk over waarom bepaalde zaken er (niet) in zitten.
Rataplan_
@Muncher4 september 2022 08:58
Zeker. RGijsen in https://forum.opnsense.org/index.php?topic=9302.0
Lees die maar eens na en je ziet hoe de attitude van dat team is. Ik volg het af en toe nog wel eens en wat dat betreft is er weinig veranderd.
Door met name de descriptions is het product voor ons echt tien stappen terug en zullen we niet overstappen. Ik zie persoonlijk ook het probleem niet van descriptions icm de API. Gewoon een extra veld. Dat tegenover tig procent meer aliassen die verwerkt moeten, voor mij was de keuze duidelijk. Maar de attitude is zeker zo belangrijk zakelijk gezien. Wellicht is er een hele goede reden
om deze functionaliteit eruit te halen, maar zelfs al was dat niet zijn die heren daar waarschijnlijk te arrogant om dat toe te geven. Ik blijf me verder verbazen dat we nog stééds niet kunnen dubbelklikken / doorklikken naar geneste onderdelen, met name in aliassen, maar ook op firewall rules. Erg improductief..

[Reactie gewijzigd door Rataplan_ op 4 september 2022 14:05]

Muncher
3 september 2022 10:33
Er is inmiddels ook een hotfix uit: 22.7.3_2

A hotfix release was issued as 22.7.3_2:

o system: work around phpseclib 3 flagging RSA-PSS as an invalid key alogrithm
o system: check for existing X509 class before doing CRL update
Bulkzooi
@Muncher3 september 2022 13:12
OPNsense 22.7.3 met hotfix kwam na
Investigating a phpseclib issue with RSA-PSS certificates causing the boot to halt..
Is gefixed nou, dus 22.7.3_2 is gewoon weer 22.7.3
Fatal error: Uncaught Error: Class "phpseclib3\Crypt\Common\AsymmetricKey" not found in ../share/phpseclib/Crypt/RSA.php:73

Stack trace:
#0
../etc/inc/certs.inc(34): require_once()
#1
../etc/inc/config.inc(40): require_once('/usr/local/etc/...')
#2
../rc.configure_plugins(35): require_once('/usr/local/etc/...')
#3 {main}
thrown in ../share/phpseclib/Crypt/RSA.php on line 73

Reloading template OPNsense/Wireguard: configd socket missing (@/var/run/configd.socket)
pkg-static: POST-INSTALL script failed
Behalve een eigen versienummer, verdient zo'n feature toch wel wat betere uitleg, met root cause en gerelateerde problemen. In dit geval dus met phpseclib (rsa.php), waardoor POST-INSTALL configd.socket failed.

Overigens, de OPNsense 22.7.x branche "Powerful Panther” features
The upgrade to FreeBSD 13.1, PHP 8.0, Phalcon 5, stacked VLAN and Intel QuickAssist (QAT) support, DDoS protection using SYN cookies, MVC/API pages for IPsec status and Unbound overrides, new APCUPSD and CrowdSec plugins plus much more.

LibreSSL flavour is scheduled for removal at the end of this series and will likely receive no further maintenance.

[Reactie gewijzigd door Bulkzooi op 3 september 2022 14:17]

derx666
3 september 2022 11:11
Voor mij was pfblockerng eigenlijk de voornaamste reden om op pfsense te blijven, echter zie ik dat de voornaamste functies die ik ervan gebruik (GeoIP en DNSBL) al sinds 20.x native ondersteund wordt. Hmmm, toch maar weer eens een vm optuigen en kijken hoe het bevalt.
FateTrap
@derx6663 september 2022 11:43
Ik denk dat die specifieke functies iets minder efficiënt en gebruiksvriendelijk verlopen bij OPNsense.
EverLast2002
@FateTrap3 september 2022 14:38
En waar baseer je die bevindingen op?
OPNsense werkt prima met DNSBL en GeoIP, makkelijk te configureren ook.
En ik had ooit pfSense draaien maar al jaren overgestapt naar OPNsense en geen seconde spijt van gehad.
FateTrap
@EverLast20023 september 2022 15:16
Ik baseer me op dit soort posts:

https://forum.opnsense.org/index.php?topic=18350.0
Hi,
Same here, a GeoIp rule which was working before the 20.7 upgrade seems to change the drop actions.

Mijn indruk is dat pfSense meer 'set and forget' is op dit gebied.

https://forum.opnsense.org/index.php?topic=6834.0
PFBlocker is definitely much better than OPNSense's GEOIP functionality. The OPNSense solution is a machete while PFBlocker provides you with a full suite of knives from machete to scalpel.
Neus
3 september 2022 12:27
Draait meer dan een jaar stabiel op een oudere Sophos UTM firewall - heerlijk stabiel. NAT regels en VPN was ff lastiger dan Sophos UTM en pfSense maar 1000x makkelijker dan op een WatchGuard doos.
Erg fijn ook de regelmatige updates.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee