OPNsense 24.1.4

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 24.1.4 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 24.1.4 released
Suricata and Unbound have been updated to their latest versions. Support for dynamic DNS VTI connections has also been added amongst other things. We would like to thank Cedrik Pischem (Monviech) for upstreaming his Caddy plugin to the official packages. If you already have this plugin installed no further action has to be taken and updates should proceed through the standard firmware channel from now on. Documentation for it was added to the manual as well.

For 24.7, we are currently working on a DHCP-Relay replacement, a rewrite of the trust section in MVC as well as a new dashboard implementation. It has been busy and we will keep it that way.
Here are the full patch notes:

system: allow 0 length voucher passwords in authentication server

system: merge static logging settings into existing MVC page

system: fix handling of empty "serialusb" node set during import

system: prevent empty "user" node to crash during boot

interfaces: prevent modal x-axis overflow on packet capture page

firewall: refactor schedule matching and fix an end-of-the-month bug

firewall: fix incorrect packet counters statistics collection

intrusion detection: align performValidation()->count() to use count() instead

ipsec: optionally hook VTI tunnel configuration to connection up event to support dynamic DNS

isc-dhcp: do not add interfaces for non-Ethernet types to relaying

kea-dhcp: add domain-search, time-servers and static-routes client options to subnet configuration

openvpn: various improvements for TAP servers

wireguard: migrate non-netmask allowed IP entries and enforce them in validation

wireguard: show proper names when public keys overlap between instances

mvc: fix PHP_FLOAT_MIN being unreliable

mvc: Add simple Message class and remove the previous Phalcon dependency

mvc: refactor HostnameField, remove HostValidator dependency and add unit test

mvc: add new static Autoconf class to access information collected by ifctl

mvc: fix rewind() stream not supporting seeking error

mvc: add copy of our html_safe() and use it in the translator

ui: adjust margin of hr elements to match __mX helpers

ui: add a button to allow textarea style edits of free-form tokenizers

ui: when an error is raised make sure it is always visible

ui: fix copy/paste buttons not showing for tokenizers in some situations

plugins: os-bind 1.30

plugins: os-caddy 1.5.2

ports: expat 2.6.1

ports: libpfctl 0.10

ports: nss 3.98

ports: phalcon 5.6.2

ports: sqlite 3.45.1

ports: suricata 7.0.4

ports: unbound 1.19.3

OPNsense

Lees meer

Reacties (11)

witchdoc 21 maart 2024 09:15

"For 24.7, we are currently working on a DHCP-Relay replacement, a rewrite of the trust section in MVC as well as a new dashboard implementation. It has been busy and we will keep it that way."

Hopelijk kan ik dan eindlijk wel relays instellen voor vlans waar DHCP op ingesteld staat.
Wishfull thinking? Maybe.

meowmofo @witchdoc • 21 maart 2024 09:20

Wat wil je daar dan mee bereiken? Je lokale DHCP server die je ingesteld heb staan zal altijd sneller antwoorden dan eventuele relay config.

witchdoc @meowmofo • 21 maart 2024 10:52

DHCP requests geven aardig wat info die b.v. mijn NAC (Clearpass) kan gebruiken als auth'z info.

Daarom zou ik het handig vinden om inderdaad van de DHCP server (=OPNsense FW) toch nog een relay te kunnen instellen naar b.v. die NAC server.
Nu moet ik daarvoor op mijn switch een routable interface aanmaken (anders geen relay) om die info toch bij de NAC server te krijgen en die kan dan weer misbruikt worden om de FW te bypassen voor lokaal verkeer.

[Reactie gewijzigd door witchdoc op 22 juli 2024 21:25]

meowmofo @witchdoc • 21 maart 2024 11:05

Ah, duidelijk! Misschien kan je eens kijken naar "udp-broadcast-relay" tool, mocht de re-write niet bieden wat je zoekt. Ik heb dit wel eens ingezet voor iets gelijks, al is dat wel een tijd geleden dus ik weet niet of dat allemaal nog supported is.

witchdoc @meowmofo • 21 maart 2024 11:42

mm, dank je voor de tip, maar dat ziet er eerder een mdns proxy ding uit dan een unicast relay naar een vaste destination (wat ik nodig heb)
https://github.com/marjohn56/udpbroadcastrelay

meowmofo @witchdoc • 21 maart 2024 12:07

Daar is het initieel voor bedacht, maar met een beetje creatief knutselwerk kan je DHCP forwarden. Ik had in mijn geval een tunnel interface op m'n opnsense staan waar ik het dhcp verkeer in dumpte, en dan aan de andere kant weer eruit viste en afleverde waar ik het nodig had. Ik geloof dat ik de volgende config daarvoor gebruikte:

./udpbroadcastrelay --id 1 --port 67 --dev <source int> --dev <tunnel int>
./udpbroadcastrelay --id 2 --port 68 --dev <source int> --dev <tunnel int>

Aan de andere kant van de tunnel had ik een tooltje die het verkeer uiteindelijk forwarden waar ik het nodig had, soort ip-helper verhaal.

Ik moest hier overigens wel een routed VPN voor configureren omdat ik anders geen dest interface had voor udpbroadcastrelay.

[Reactie gewijzigd door meowmofo op 22 juli 2024 21:25]

Valkyre @meowmofo • 21 maart 2024 09:48

Als je DHCP server in vlan X staat, en er komt een request vanuit vlan Y dan heb je de relay nodig om de DHCP server te bereiken. ergo die kan dus nooit sneller reageren.

meowmofo @Valkyre • 21 maart 2024 09:55

Dat is niet hoe ik zijn tekst lees. "relays instellen voor VLANs waar DHCP op ingesteld staat". Ofwel DHCP staat ingesteld via relay, en heb je dus al een werkende situatie, ofwel DHCP staat ingesteld via een lokale DHCP server in het VLAN (kan de firewall zelf zijn).

illum1n4ti 21 maart 2024 23:21

ik heb echt problemen met mijn wireguard sinds versie 24.1.3. Ik krijg gewoon geen handshake.
Had het probbleem niet met versie 24.1.0

meowmofo @illum1n4ti • 22 maart 2024 09:43

Ik had ook issues, uiteindelijk heb ik de hele wireguard config verwijderd en opnieuw opgebouwd. Ineens moest ik ook de rules toepassen op de wireguard sub interfaces ipv voorheen de main interface. Het blijft een hoop geklooi met die wireguard implementatie.

illum1n4ti @meowmofo • 22 maart 2024 17:41

Ben ik helemaal mee eens! Sinds de implementatie van de Wireguard alleen maar ellende.

Heb toevallig een workaround voor het probleem gevonden.

Log in de shell en voer de volgende uit:

opnsense-patch 7d35204f2a

en vervolgends

configctl filter reload

Alles deed weer

en hopelijk komt het niet meer terug.

Op dit item kan niet meer gereageerd worden.

Versienummer	24.1.4
Releasestatus	Final
Besturingssystemen	BSD
Website	OPNsense
Download	https://opnsense.org/download/
Licentietype	Voorwaarden (GNU/BSD/etc.)

10-09	OPNsense 25.7.3	2
21-08	OPNsense 25.7.2	7
31-07	OPNsense 25.7.1	18
24-07	OPNsense 25.7	9
22-07	OPNsense 25.1.12	16
16-07	OPNsense 25.1.11	4
01-07	OPNsense 25.1.10	0
18-06	OPNsense 25.1.9	1
12-06	OPNsense 25.1.8	8
19-05	OPNsense 25.1.7	6

Software-update: OPNsense 24.1.4

Update-historie

Lees meer

Reacties (11)

Update-historie

Lees meer

Reacties (11)

Sorteer op:

Weergave: