Software-update: OPNsense 23.7.5

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor 2fa, openvpn, ipsec, carp en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 23.7.5 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 23.7.5 released

Today introduces a change in MTU handling for parent interfaces mostly noticed by PPPoE use where the respective MTU values need to fit the parent plus the additional header of the VLAN or PPPoE. Should the MTU already be misconfigured to a smaller value it will be used as configured so check your configuration and clear the MTU value if you want the system to decide about the effective parent MTU size.

Another change in far gateway handling is also included which prevents a monitoring failure if that particular gateway was not being designated as default during boot which made the routing table miss the essential interface route and monitoring would always report it as down. Now the interface route is ensured but not only when applying the default gateway so that it works all the time.

Also fixed was the problematic migration of the Unbound interfaces settings which now clears the possibly unknown interfaces in order to proceed and have Unbound up and running post update which was not the case for some users previously.

Other reliability improvements and third party security updates are included as well. We also continue our effort to clean up the interface handling code and audit the MVC model files for consistency. A missing change for out of the box DS-Lite support is also being tested on the development version now and will likely hit in 23.7.6.

Here are the full patch notes:
  • system: pluginctl: allow -f mode to drop config properties
  • system: switch to /usr/sbin/nologin as authoritative command location
  • system: remove remaining spurious ifconfig data pass to Gateways class
  • system: fix data cleansing issue in "column_count" and "sequence" values on dashboard
  • system: start gateway monitors after firewall rules are in place (contributed by Daggolin)
  • system: refactor far gateway handling out of default route handling
  • interfaces: use interfaces_restart_by_device() where appropriate
  • interfaces: allow get_interface_ipv6() to return in all three IPv6 variants
  • interfaces: add GRE/GIF/bridge/wlan return values
  • interfaces: signal wlan device creation success/failure
  • interfaces: update link functions for GIF/GRE
  • interfaces: remove the ancient OpenVPN-tap-on-a-bridge magic on IPv4 reload
  • interfaces: update read-only bridge member code
  • interfaces: redirect after successful interface add
  • interfaces: add interface return feature for use on bridges/assignment page
  • interfaces: VIP model style update
  • interfaces: implement interface_configure_mtu()
  • firewall: fix cleanup issue when renaming an alias
  • dhcp: make dhcrelay code use the Gateways class
  • ipsec: add local_port and remote_port to connections (contributed by Monviech)
  • openvpn: force instance interface down before handing it over to daemon
  • openvpn: add missing up and down scripts to instances (contributed by Daggolin)
  • unbound: properly set a default value for private address configuration
  • unbound: allow disabled interfaces in interface field
  • unbound: migrate active/outgoing interfaces discarding invalid values
  • unbound: UX improvements on several pages
  • unbound: update model
  • mvc: update diagnostics models
  • mvc: add isLinkLocal()
  • interfaces: allow clean MVC access to primary IPv4 address (pluginctl -4 mode)
  • plugins: os-upnp replaces calls to obsolete get_interface_ip()
  • plugins: os-rfc2136 replaces calls to obsolete get_interface_ip[v6]()
  • plugins: os-sunnyvalley 1.3 changes repository URL (contributed by Sunnyvalley)
  • plugins: os-tinc adds missing subnet-down script (contributed by andrewhotlab)
  • ports: curl 8.3.0
  • ports: nss 3.93
  • ports: openssl 1.1.1w
  • ports: phalcon 5.3.1
  • ports: phpseclib 3.0.23
  • ports: sqlite 3.43.1
  • ports: suricata 6.0.14

OPNsense

Versienummer 23.7.5
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 29-09-2023 12:19
28 • submitter: smerik

29-09-2023 • 12:19

28

Submitter: smerik

Bron: OPNsense

Update-historie

24-07 OPNsense 25.7 9
22-07 OPNsense 25.1.12 16
16-07 OPNsense 25.1.11 4
01-07 OPNsense 25.1.10 0
18-06 OPNsense 25.1.9 1
12-06 OPNsense 25.1.8 8
19-05 OPNsense 25.1.7 6
09-05 OPNsense 25.1.6 16
10-04 OPNsense 25.1.5 10
26-03 OPNsense 25.1.4 1
Meer historie

Lees meer

OPNsense

geen prijs bekend

5 van 5 sterren
Beveiliging en antivirus

Reacties (28)

-Moderatie-faq
28
28
14
0
0
12
Wijzig sortering
schroevendraaier480 29 september 2023 12:27
Heb hem al een paar dagen draaien. Geen herstart nodig bij de installatie en geen problemen met crowdsec plugin dit keer.
InflatableMouse @schroevendraaier48029 september 2023 13:25
This update requires a reboot. Your appliance will reboot immediately after updating. Continue?

En na installatie, een reboot.

Geen idee waarom dat jij dat dan niet kreeg eigenlijk.
tistjendop @InflatableMouse29 september 2023 13:45
ik heb ook geen reboot gekregen. Update uitgevoerd, versienummer staat nu op 23.7.5 en uptime nog op 14 dagen.
Calypso @tistjendop29 september 2023 20:28
Hier idem. 1 van de 2 zojuist geupgrade (de andere laat ik even zitten omdat die PPPoE gebruikt en ik wacht daarvoor even een wat rustiger moment af zodat ik kan kijken wat de wijziging eventueel doet), maar die ik gedaan heb rebootte ook niet. Ik kwam van de .4.
schroevendraaier480 @InflatableMouse29 september 2023 13:46
nog effe een keer gekeken of ik een warning oid had gemist, maar geen reboot nodig
The Zep Man
@InflatableMouse29 september 2023 13:47
Geen idee waarom dat jij dat dan niet kreeg eigenlijk.
Mogelijk heeft het te maken met vanaf welke versie je de update uitvoert.
InflatableMouse @The Zep Man29 september 2023 16:54
Ja, precies. Zat ik ook net te denken. Was voor mij weken geleden dat ik de laatste update heb gedaan. Wel tof dat tie daar dus rekening mee houdt.
xxs @InflatableMouse29 september 2023 17:26
Hier ook al een paar dagen draaien en zonder reboot, overigens reboot ik wel altijd handmatig als is alleen het maar een sanity check om te kijken of alle services etc. nog wel goed starten.

*** opnhp.local: OPNsense 23.7.5 ***
[knip]
5:25PM up 2 days

[Reactie gewijzigd door xxs op 24 juli 2024 17:33]

UTMachine 29 september 2023 12:44
Mooi pakket, maar vind het jammer dat er geen fatsoenlijk API is om dingen te doen zoals DHCP informatie opvragen.
Xantis @UTMachine29 september 2023 12:53
Zoiets? https://docs.opnsense.org/development/api/core/dhcp.html
UTMachine @Xantis29 september 2023 14:45
Nee, die api is heel gelimiteerd.
trogie @UTMachine29 september 2023 15:13
Wat zou je dan nog meer willen weten?
haam 29 september 2023 14:05
Voor mijn nieuwsgierigheid, wanneer gebruik je dit. Alleen in een werkomgeving of heeft het voor een thuisomgeving ook toegevoegde waarde?
bartfokker @haam29 september 2023 14:45
Het kan voor een thuisomgeving zeker toegevoegde waarde bieden, het is wel voor de power user/enthousiast. OPNSense geeft je de mogelijkheid om je netwerk tot ver in de diepte te configureren, maar hierbij moet je er dus ook ervoor zorgen dat je zelf de hardware hebt om het 24/7 op te draaien.

Voorbeelden van use cases:

- Meerdere netwerk segmenten (voor bijvoorbeeld IOT devices, Zakelijk, Gasten etc.)
- Mogelijkheid om van buitenaf (dmv VPN) te verbinden met je home netwerk
- "Traffic shaping", als je bijvoorbeeld bepaald verkeer (gaming etc) voorkeur wilt geven over ander verkeer
- Veel security features zoals custom firewalls, intrusion detection etc.
- Ads blocken op DNS niveau (met plugin)

Bovendien is het mogelijk om OPNSense uit te breiden met verschillende plugins waarbij je nog meer functionaliteit kan krijgen.
aadje93 @bartfokker29 september 2023 14:49
meerdere netwerk segmenten -> een beetje router kan dat
Van buitenaf erin -> pivpn (openvpn/wireguard)
Traffic shaping -> dan ben je wel heel erg enthousiast ;)
Custom firewalls -> beetje router kan dat ook
Ads blocken op DNS -> pihole, te combineren met pi-vpn op een raspberry pi of op een X86 systeem
trogie @aadje9329 september 2023 15:30
Inderdaad, een beetje router kan dat ook maar draait op closed source firmware en wordt na een paar jaar niet meer onderhouden...
Ik draai dan liever een klein nucje maar een boel goeie netwerkpoorten in, met een sim erin als backup en een deftige wifi als AP voor amper iets meer dan jouw router.
aadje93 @trogie29 september 2023 15:52
mijn router is een Supermicro min-itx 1u machine ;) Maar bedoel meer tussen een brakke asus router en een opnsense build zit nog wel wat ruimte voor de prosumer/enthousiasteling. Denk aan een mikrotik oid, ook hele capabele machines. Lange tijd een CRS 24 poort als router + switch gedraaid, kon als DHCP client direct aan het glasmodem hangen en zelf DHCP server spelen, scheelde toch weer een 20watt continu verbruik in huis.
MrJoery @aadje9329 september 2023 16:04
In jouw geval zou ik ook vooral blijven bij wat je op dit moment gebruikt, maar een beetje router kan een gasten-wifi aanmaken, geen tientallen tot honderden VLAN's, en custom firewalls is niet een poortje openzetten, maar een poort, op een specifiek protocol, voor specifieke IP-adressen.

Als je meer wilt doen met je netwerk ben je al snel aangewezen op zoiets als Unifi of Microtik, en als dat te duur of gelimiteerd is, pfSense of OPNsense.
Mich @aadje9329 september 2023 18:22
Traffic shaping staat bij mij ingesteld voor heel het lokale Lan als 1 groep. Hierdoor heb ik een veel betere verbinding en veel minder bufferbloat. Dus sowieso een aanrader (voor mij dan)
Muncher @Mich29 september 2023 23:50
Heb je daar een goede tutorial voor gebruikt? Zou je die kunnen delen?

[Reactie gewijzigd door Muncher op 24 juli 2024 17:33]

Mich @Muncher30 september 2023 09:43
Deze heb ik gevolgd.


https://forum.opnsense.org/index.php?topic=7423.0

En hier kan je testen of het effect heeft.

https://www.dslreports.com/speedtest
sonicboy @bartfokker29 september 2023 15:57
Veel van deze zaken kunnen ook met OpenWRT gedaan worden. Misschien niet even diep als bij OPNsense, maar voor de gevorderde thuisgebruiker (waaronder ik mezelf reken :-)) volstaat het alleszins.
Fairy @bartfokker29 september 2023 17:17
Ik gebruik het ook. In mijn geval vind ik het gebruik van UnboundDNS en het filteren van advertenties ideaal.
Heb op mijn lokale LAN de filtering aan staan en een separaat VLAN voor een gastennetwerk waar advertenties niet worden gefilterd, Die heeft dan ook geen toegang tot lokale IP's.
Wake-on-LAN is ook een handige feature, ook al hebben veel dedicated routers dit ook al.

Voor de meesten voldoet een standaard router overigens prima, maar OPNsense heeft een prettige interface en veel features en is makkelijk naar andere hardware te transporteren. Je installeert vanaf USB, je wijst even je poorten aan na de restore en je bent weer terug.

Voor traffic shaping gebruik ik het overigens niet, Ik heb een internetlijn van 1gbit/s, die trek ik niet dicht en gamen doe ik niet.

[Reactie gewijzigd door Fairy op 24 juli 2024 17:33]

pvdheu @haam29 september 2023 14:29
Dat is afhankelijk van wat jouw "thuisomgeving" is. Maar als je dit vraagt is het antwoord waarschijnlijk dat het in jouw geval weinig zal toevoegen. Niet dat dat op enige manier negatief is.
UTMachine @haam29 september 2023 14:46
Hangt er een beetje vanaf :+ Beheer je OPNsense op het werk, of niet? In het eerste geval, dan had je het al draaiend (jaja, is een beroepsafwijking van techneuten). Indien je er niet direct zelf mee werkt, dan heb je het eigenlijk niet nodig (en gebruik je de mogelijkheden niet - kost toch redelijk wat tijd om het goed op te zetten, het is geen plug-and-play).

[Reactie gewijzigd door UTMachine op 24 juli 2024 17:33]

Vordreller 29 september 2023 14:04
Zie ik daar "phalcon", het php framework geschreven als C module?

Ik dacht dat dat in 2014 een stille dood gestorven was.
job_h @Vordreller29 september 2023 16:44
Lijkt nog springlevend :)
https://github.com/phalcon/cphalcon/releases
weebl15 5 oktober 2023 02:06
Goede update wat betreft automatisch afhandelen MTU. Het was voorheen wel erg omslachtig.

:9

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq