Software-update: OPNsense 23.7

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben met versienummer 23.7 de halfjaarlijkse grote update uitgebracht. De releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 23.7 released

For more than 8 and a half years now, OPNsense is driving innovation through modularising and hardening the open source firewall, with simple and reliable firmware upgrades, multi-language support, fast adoption of upstream software updates as well as clear and stable 2-Clause BSD licensing.

23.7, nicknamed "Restless Roadrunner", features numerous MVC/API conversions including the new OpenVPN "instances" configuration option, OpenVPN group alias support, deferred authentication for OpenVPN, FreeBSD 13.2, PHP 8.2 plus much more.

Here are the full patch notes against 23.1.11:
  • system: use parse_url() to validate if the provided login redirect string is actually parseable to prevent redirect
  • system: fix assorted PHP 8.2 deprecation notes
  • system: fix assorted permission-after-write problems
  • system: introduce a gateway watcher service and fix issue with unhandled "loss" trigger when "delay" is also reported
  • system: enabled web GUI compression (contributed by kulikov-a)
  • system: disable PHP deprecation notes due to Phalcon emitting such messages breaking the API responses
  • system: allow "." DNS search domain override
  • system: on boot let template generation wait for configd socket for up to 10 seconds
  • system: do not allow state modification on GET for power off and reboot actions
  • system: better validation and escaping for cron commands
  • system: better validation for logging user input
  • system: improve configuration import when interfaces or console settings do not match
  • system: name unknown tunables as "environment" as they could still be supported by e.g. the boot loader
  • system: sanitize $act parameter in trust pages
  • system: add severity filter in system log widget (contributed by kulikov-a)
  • system: mute openssl errors pushed to stderr
  • system: add opnsense-crypt utility to encrypt/decrypt a config.xml
  • system: call opnsense-crypt from opnsense-import to deal with encrypted imports
  • interfaces: extend/modify IPv6 primary address behaviour
  • interfaces: fix bug with reported number of flapping LAGG ports (contributed by Neil Greatorex)
  • interfaces: introduce a lock and DAD timer into newwanip for IPv6
  • interfaces: rewrite LAGG pages via MVC/API
  • interfaces: allow manual protocol selection for VLANs
  • interfaces: remove null_service toggle as empty service name in PPPoE works fine
  • interfaces: on forceful IPv6 reload do not lose the event handling
  • interfaces: allow primary address function to emit device used
  • firewall: move all automatic rules for interface connectivity to priority 1
  • firewall: rewrote group handling using MVC/API
  • firewall: clean up AliasField to use new getStaticChildren()
  • firewall: "kill states in selection" button was hidden when selecting only a rule for state search
  • firewall: cleanup port forward page and only show the associated filter rule for this entry
  • captive portal: safeguard template overlay distribution
  • dhcp: rewrote both IPv4 and IPv6 lease pages using MVC/API
  • dhcp: allow underscores in DNS names from DHCP leases in Dnsmasq and Unbound watchers (contributed by bugfixin)
  • dhcp: align router advertisements VIP code and exclude /128
  • dhcp: allow "." for DNSSL in router advertisements
  • dhcp: print interface identifier and underlying device in "found no suitable address" warnings
  • firmware: opnsense-version: remove obsolete "-f" option stub
  • firmware: properly escape crash reports shown
  • firmware: fix a faulty JSON construction during partial upgrade check
  • firmware: fetch bogons/changelogs from amd64 ABI only
  • ipsec: add missing config section for HA sync
  • ipsec: add RADIUS server selection for "Connections" when RADIUS is not defined in legacy tunnel configuration
  • ipsec: only write /var/db/ipsecpinghosts if not empty
  • ipsec: check IPsec config exists before use (contributed by agh1467)
  • ipsec: fix RSA key pair generation with size other than 2048
  • ipsec: deprecating tunnel configuration in favour of new connections GUI
  • ipsec: clean up SPDField and VTIField types to use new getStaticChildren()
  • ipsec: add passthrough networks when specified to prevent overlapping "connections" missing them
  • monit: fix alert script includes
  • openvpn: rewrote OpenVPN configuration as "Instances" using MVC/API available as a separate configuration option
  • openvpn: rewrote client specific overrides using MVC/API
  • unbound: rewrote general settings and ACL handling using MVC/API
  • unbound: add forward-tcp-upstream in advanced settings
  • unbound: move unbound-blocklists.conf to configuration location
  • unbound: add database import/export functions for when DuckDB version changes on upgrades
  • unbound: add cache-max-negative-ttl setting (contributed by hp197)
  • unbound: fix upgrade migration when database is not enabled
  • unbound: minor endpoint cleanups for DNS reporting page
  • wizard: restrict to validating only IPv4 addresses
  • backend: minor regression in deeper nested command structures in configd
  • mvc: fill missing keys when sorting in searchRecordsetBase()
  • mvc: properly support multi clause search phrases
  • mvc: allow legacy services to hook into ApiMutableServiceController
  • mvc: implement new Trust class usage in OpenVPN client export, captive portal and Syslog-ng
  • mvc: add generic static record definition for ArrayField
  • ui: introduce collapsible table headers for MVC forms
  • plugins: os-acme-client 3.18
  • plugins: os-bind 1.27
  • plugins: os-dnscrypt-proxy 1.14
  • plugins: os-dyndns removed due to unmaintained code base
  • plugins: os-frr 1.34
  • plugins: os-firewall 1.3 allows floating rules without interface set (contributed by Michael Muenz)
  • plugins: os-telegraf 1.12.8
  • plugins: os-zabbix62-agent removed due to Zabbix 6.2 EoL
  • plugins: os-zabbix62-proxy removed due to Zabbix 6.2 EoL
  • src: axgbe: enable RSF to prevent zero-length packets while in Netmap mode
  • src: axgbe: only set CSUM_DONE when IFCAP_RXCSUM enabled
  • src: ipsec: add PMTUD support
  • src: FreeBSD 13.2-RELEASE
  • ports: krb 1.21.1
  • ports: nss 3.91
  • ports: phalcon 5.2.3
  • ports: php 8.2.8
  • ports: py-duckdb 0.8.1
  • ports: py-vici 5.9.11
  • ports: sudo 1.9.14p3
  • ports: suricata now enables Netmap V14 API
Migration notes, known issues and limitations:
  • The Unbound ACL now defaults to accept all traffic and no longer generates automatic entries. This was done to avoid connectivity issues on dynamic address setups -- especially with VPN interfaces. If this is undesirable you can set it to default to block instead and add your manual entries to pass.
  • Dpinger no longer triggers alarms on its own as its mechanism is too simplistic for loss and delay detection as provided by apinger a long time ago. Delay and loss triggers have been fixed and logging was improved. The rc.syshook facility "monitor" still exists but is only provided for compatibility reasons with existing user scripts.
  • IPsec "tunnel settings" GUI is now deprecated and manual migration to the "connections" GUI is recommended. An appropriate EoL announcement will be made next year.
  • The new OpenVPN instances pages and API create an independent set of instances more closely following the upstream documentation of OpenVPN. Legacy client/server settings cannot be managed from the API and are not migrated, but will continue to work independently.
  • The old DynDNS plugin was removed in favor of the newer MVC/API plugin for ddclient. We are aware of the EoL state of ddclient which was unfortunately announced only one year after we started working on the new plugin. We will try to add upstream fixes that have not been released yet and already offer our own ddclient-less Python backend in the same plugin as an alternative.

OPNsense

Versienummer 23.7
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 31-07-2023 14:50
22 • submitter: MrJoery

31-07-2023 • 14:50

22

Submitter: MrJoery

Bron: OPNsense

Update-historie

09-10 OPNsense 25.7.5 1
30-09 OPNsense 25.7.4 11
10-09 OPNsense 25.7.3 2
21-08 OPNsense 25.7.2 7
31-07 OPNsense 25.7.1 18
24-07 OPNsense 25.7 9
22-07 OPNsense 25.1.12 16
16-07 OPNsense 25.1.11 4
01-07 OPNsense 25.1.10 0
18-06 OPNsense 25.1.9 1
Meer historie

Lees meer

OPNsense

geen prijs bekend

5 van 5 sterren
Beveiliging en antivirus

Reacties (22)

-Moderatie-faq
22
22
3
1
0
19
Wijzig sortering

Sorteer op:

Weergave:
UTMachine 31 juli 2023 15:25
Het is een mooi pakket, maar ik hoop nog steeds dat ze de API verder verbeteren ... Het houdt me een klein beetje tegen om te migreren van unifi naar OPNsense.
KVan @UTMachine31 juli 2023 16:40
Ben net een week geleden van een Edgerouter 12 naar OPNsense (op een Topton 6 x 2.5Gb i5 1235U van Ali) overgegaan. OPNsense draait boven op Proxmox naast nog wat andere services in een cluster. Ja er is een beetje een leercurve maar zo steil was die nu ook weer niet. Meer vinden wat waar zit dan dat het complexer is, integendeel in vind OPNsense nu al veel natuurlijker aanvoelen dan Ubiquiti in jaren gedaan heeft. Heb ook pfsense geprobeerd maar geen kop en schouder de voorker aan OPNsense. In pfsense kreeg ik mijn KPN IPTV niet goed opgezet.

Er zijn tig goede tutorials op internet te vinden. Mijn voorkeur gaat naar die van homenetworkguy.com.

Performance wise is die 1235U behoorlijk overkill voor de 1Gb verbiinding die ik heb. Met Suricata, Zenarmor, country blocks en Crowdsec actief haalt ie de Gb verbindign zonder enig zweet binnen. Mijn eerste tests waren op een Odroid H3 met N5105 en die haalde de Gb snelheid al met ~70% processorbelasiting.
THM0 @KVan31 juli 2023 16:51
Ik vond het dag en nacht verschil met de Unifi stack met een USG 3P; de config voor glasvezel VLAN’s moest via een json file zonder error check etc… dan is de GUI van OPNsense een verademing. De plug-ins ook, als je nog wat extra functies op je router wilt afhandelen.
Ja geen leuke grafieken meer maar daar haalde ik verder betrekkelijk weinig uit.
The Realone @THM031 juli 2023 16:55
Even ergens Grafana installeren en je gaat los met grafieken. Met mooie is dat er genoeg plugins voor OPNsense zijn die allebei data exports mogelijk maken.
sploony @The Realone31 juli 2023 22:47
Ik heb me kapot gezocht voor goede plugins voor Grafana. Liefst wil ik NetFlow gebruiken. En de plugin Sensei voor OPNsense is te beperkt/betalend.

Ik ben benieuwd welke dashboard/setup je gebruikt voor Grafana icm OPNsense.
Care to share? ;)
Sfynx @THM01 augustus 2023 00:38
Mijn voornaamste reden dat ik van een USG-3P naar een mini-pc met OPNsense ben overgestapt is dat ik er geen vertrouwen meer in heb dat er ooit een echte opvolger van deze nu wat bejaarde gateway zal komen. De form factor van een 19" rackmount of zo'n ei bevalt me niet, en UniFi is verder m.i. teveel aan het pushen naar de cloud en geforceerde controllers op eigen apparatuur (bij UDM/UDR). Ze doen er ook heel lang over om dingen bij te werken, denk bv. aan het gebruik van sterk verouderde Dropbear en MongoDB versies etc. wat problemen geeft als je het op/met moderne systemen wil gebruiken.

Ook qua performance/hardware maken ze vreemde keuzes, bv. een gloednieuwe UDR die geen hardware offloading kan doen en daardoor minder snel pakketten kan schuiven dan een USG-3P van 8 jaar ouder, terwijl iedere goedkope mobiele Celeron CPU die nu te krijgen is dat probleemloos verwerkt.

Op een gegeven moment heb ik het idee van een centrale controller dus maar laten varen omdat ik te beperkt werd in de mogelijkheden en performance. Nu met een Protectli(Yanling) mini PC met OPNsense heb ik een opvolger met vergelijkbare form factor, maar dan veel sneller en met een WireGuard implementatie waar je ook gewoon je internetlijn mee dichttrekt.

[Reactie gewijzigd door Sfynx op 24 juli 2024 00:33]

UTMachine @KVan31 juli 2023 17:03
Ja, OPNsense heeft mijn voorkeur, alleen ik monitor op dit mijn dhcp reserveringen en die zijn super makkelijk te doen in unifi. Zover ik weet, is er gewoon geen nuttige api:
https://forum.opnsense.org/index.php?topic=30634.0

BTW - mijn test node (zimaboard) draait nu op 23.7 :+

[Reactie gewijzigd door UTMachine op 24 juli 2024 00:33]

Hydranet @KVan31 juli 2023 23:34
Ik wil ook zo'n soort opzet gaan doen, van wat ik eigenlijk had gelezen van meerdere mensen hier op Tweakers en ander plekken op internet lijkt Pfsense toch wel de meeste gekozen te worden vanwege dat het meer features heeft en niet constant updates krijgt maar op stabiliteit focust.

Ik heb nu een artikel gevonden Opensense, nadat je die website noemde waar je vaak voor informatie kijkt.
https://homenetworkguy.co...een-opnsense-and-pfsense/

Maar ik ben wel benieuwd naar jou eigen ervaring behalve dat jou IPTV met Pfsense niet aan de praat kreeg, wat nou met jou ervaring de grootste verschillen zijn in functionaliteit en gebruikers ervaring?
MrJoery @Hydranet1 augustus 2023 08:23
Op het gebied van functionaliteit ga je weinig verschil merken, beide pakketten kunnen ongeveer hetzelfde, met een paar hele specifieke features die de een wel heeft en de ander niet. Het grote verschil zit in de UI, de meeste mensen hier zijn gewend aan de UI van pfSense en kunnen moeilijk wisselen, maar als je eenmaal gewend bent aan de UI van OPNsense merk je dat het allemaal een stuk logischer in elkaar zit. Sowieso zou ik aanraden als je nog geen gebruik heb gemaakt van pfSense/OPNsense, om eerst te beginnen met OPNsense. OPNsense is immers Nederlands, en volledig open-source.

Betreffende de updates, het is niet zo dat OPNsense constant nieuwe features krijgt, maar wel maandelijkse beveiligingsupdates. De grote updates krijg je 2x per jaar in de vorm van de x.1 en de x.7 releases. Bij pfSense krijg je 1x per jaar een grote update, wat dus betekent dat je ook slechts 1x per jaar beveiligingsupdates krijgt, wat ik zelf erg weinig vind voor een product als een router/firewall. Als je de niet open-source plus versie neemt (gratis voor thuisgebruik), dan krijg je 2-3x per jaar beveiligingsupdates.
Hydranet @MrJoery1 augustus 2023 08:38
Sowieso zou ik aanraden als je nog geen gebruik heb gemaakt van pfSense/OPNsense, om eerst te beginnen met OPNsense. OPNsense is immers Nederlands, en volledig open-source.
Bedankt voor je uitgebreide antwoord! Ik heb nog geen ervaring met Pfsense en de meeste software die ik al gebruik is opensource software dus dan lijk ik toch al heel erg richting OPNsense te gaan voor die reden al vooral als ze dezelfde functionaliteiten hebben. Nog wel een vraag hoe het werd beschreven over updates klonk het dat Pfsense minder vaak updates krijgt dat het voor stabiliteit is en dat als er een ernstige CVE is dat ze die dan wel oplossen. Daarbij kreeg ik het idee dat OPNsense rolling release is vergeleken met Pfsense, hoe is dat uit jou ervaring en dat het daardoor minder stabiel zou zijn?

[Reactie gewijzigd door Hydranet op 24 juli 2024 00:33]

MrJoery @Hydranet1 augustus 2023 08:53
Om te beginnen, beide pakketten zijn erg stabiel en veilig. Of pfSense al eens ernstige CVE's heeft gehad durf ik niet te zeggen, mijn verwachting is dat ze bij een ernstige CVE wel gelijk een update eruit zullen sturen.

pfSense geeft 1x per jaar een grote update uit met zowel nieuwe functionaliteiten als fixes en beveiligingsupdates.

OPNsense geeft 2x per jaar een grote update uit met nieuwe functionaliteiten, maar hebben ook maandelijks updates met fixes en beveiligingsupdates, soms wel vaker. Echter is het bij deze updates vaak niet eens nodig om de router te herstarten, waardoor je geen downtime krijgt.

Netgate, het bedrijf achter pfSense, is ook niet helemaal zuiver, er zijn een aantal controverses geweest in het verleden in relatie met OPNsense, zie hier als je nog wat verder wilt lezen.
Hydranet @MrJoery1 augustus 2023 10:18
Ik dan wel voor OPNsense, dan klinkt verder wel goed qua updates en dat iets opensource is klinkt mij wel goed in de oren omdat de meeste software die ik gebruik ook opensource is. Hartelijk bedankt voor je antwoorden en uitleg!

[Reactie gewijzigd door Hydranet op 24 juli 2024 00:33]

Hydranet @MrJoery5 augustus 2023 14:46
Ik heb OPNSense intussen draaien, het was even prutsen en uitproberen maar het is uiteindelijk weg gelukt. Nu even kijken wat ik er allemaal mee kan :)
Tortelli @KVan1 augustus 2023 09:25
Het configureren van Proxmox had ik snel door. Werkt logisch en duidelijk. Heb poort 3 in gebruik voor proxmox machines (linux bakje om wat te spelen, wil Home Assistant er mogelijk ook op gaan draaien). Heb een Topton met N6005 en 16GB ram.

Waar ik niet helemaal uitkom is hoe ik OPNsense draaiende krijg op de juiste poorten (poort 0 LAN poort 1 WAN of andersom) incl iptv en geconfigureerd krijg naast de diensten die ik al draai. Uiteindelijk moet ik poort 3 straks gewoon in mijn switch stoppen denk ik om de overige VM’s van internet te voorzien?
westlym @KVan1 augustus 2023 20:08
Vind opnsense ook een mooi programma. Beter dan pfsense. Maar waarom heeft tweakers niet eigen forum wat betreft opnsense?
henrickus @KVan9 augustus 2023 09:00
Wrong place posted

[Reactie gewijzigd door henrickus op 24 juli 2024 00:33]

henrickus @KVan10 augustus 2023 09:58
Ik ben daar ook mee bezig geweest om OPNsense direct aan de glasvezel te hangen en maar krijg de KPN-IPTV (incl de SIP) niet werkend.
Suffe vraag, heb je een site waar ik een goede en werkende tutorial vandaan kan halen?
marcop82 @UTMachine31 juli 2023 15:43
Bedoel je de interface of UX misschien ? Want API is iets anders.
OPNsense zal sowieso nooit hetzelfde zijn als Unifi Controller/Access/OS/etc. omdat het voor een ander soort gebruiker is (meer complete oplossing, minder geavanceerde opties).

[Reactie gewijzigd door marcop82 op 24 juli 2024 00:33]

UTMachine @marcop8231 juli 2023 16:42
De GUI vind ik niet verkeerd, alleen het is nu niet mogelijk om de DHCP leases e.d. makkelijk aan te passen.
stijnos1991 @UTMachine31 juli 2023 21:07
Hoezo niet? Via de GUI gaat dat heel eenvoudig hoor?
timeraider @UTMachine31 juli 2023 17:09
Gewoon nieuwsgierig, is er een specifieke reden waarom je DHCP aanpassingen wil maken via de API?
Een universeel dashboard voor bediening van al je apparaten ofzo?
Dutch2007 @UTMachine31 juli 2023 15:31
Wat mis je?

(ik ben geen gebruiker van OPNSense)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq