Software-update: OPNsense 24.7

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 24.7 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 24.7 released

For more than 9 and a half years now, OPNsense is driving innovation through modularising and hardening the open source firewall, with simple and reliable firmware upgrades, multi-language support, fast adoption of upstream software updates as well as clear and stable 2-Clause BSD licensing.

24.7, nicknamed "Thriving Tiger", features a new dashboard, system trust MVC/API support, GRE and GIF MVC/API support, NAT 1-to-1 MVC/API support, WireGuard QR code generator, dynamic IPsec VTI tunnel support, experimental OpenVPN DCO support, FreeBSD 14.1, Python 3.11 plus much more.

The upgrade path from 24.1.x will follow tomorrow. Do not be hasty. The major operating system upgrade has not happened in while and should be taken with the appropriate amount of care.

Here are the full changes against version 24.1.10:
  • system: remove "load_balancer" configuration remnants from core
  • system: replace usage of mt_rand() with random_int()
  • system: rewrote Trust configuration using MVC/API
  • system: add XMLRPC option for OpenDNS
  • system: rewrote the high availability settings page using MVC/API
  • system: remove obsolete SSH DSA key handling
  • system: replaced the dashboard with a modern alternative with streaming widgets
  • system: harden a number of PHP settings according to best practices
  • system: support streaming of log files for the new dashboard widget
  • system: assorted dashboard widget tweaks
  • system: sidebar optimisation and fixes (contributed by Team Rebellion)
  • system: set short Cache-Control lifetime for widgets
  • interfaces: rewrote GRE configuration using MVC/API
  • interfaces: rewrote GIF configuration using MVC/API
  • interfaces: temporary flush SLAAC addresses in DHCPv6 WAN mode to avoid using them primarily
  • interfaces: add peer/peer6 options to CARP VIPs
  • interfaces: allow to assign a prefix ID to WAN interface in DHCPv6 as well
  • interfaces: allow to set manual interface ID in DHCPv6 and tracking modes
  • firewall: performance improvements in alias handling
  • firewall: refactor pftop output, move search to controller layer and implement cache for sessions page
  • firewall: support streaming of filter logs for the new dashboard widget
  • captive portal: add "Allow inbound" option to select interfaces which may enter the zone
  • captive portal: remove defunct transparent proxy settings
  • captive portal: clean up the codebase
  • ipsec: prevent gateway when remote gateway family does not match selected protocol in legacy tunnel configuration
  • isc-dhcp: do not reload DNS services when editing static mappings to match behaviour with Kea
  • monit: expose HTTPD username and password settings to GUI
  • openvpn: optionally support DCO devices for instances
  • openvpn: remove duplicate and irrelevant data for the client session in question
  • openvpn: add "remote_cert_tls" option to instances
  • backend: add "cache_ttl" parameter to allow for generic caching of actions
  • backend: run default action "configd actions" when none was specified
  • backend: extended support for streaming actions
  • installer: update the ZFS install script to the latest FreeBSD 14.1 code
  • installer: prefer ZFS over UFS in main menu selection
  • ui: assorted improvements for screen readers (contributed by Jason Fayre)
  • ui: add "select all" to standard form selectors and remove dialog on "clear all" for tokenizers
  • ui: lock save button while in progress to prevent duplicate input on Bootgrid
  • ui: backport accessibility fix in Bootstrap
  • mvc: replaced most of the Phalcon MVC use with a native band compatible implementation
  • mvc: improve searchRecordsetBase() filtering capabilities
  • mvc: improve container field cloning
  • mvc: remove obsolete getParams() usage in ApiControllerBase
  • mvc: hook default index action in API handler
  • plugins: os-acme-client 4.4
  • plugins: os-caddy 1.6.1
  • plugins: os-dec-hw 1.1 replaces the dashboard widget
  • plugins: os-etpro-telemetry 1.7 replaces dashboard widget
  • plugins: os-freeradius 1.29.4
  • plugins: os-nginx 1.34
  • plugins: os-theme-cicada 1.37 fixes dropdown element style (contributed by Team Rebellion)
  • plugins: os-theme-vicuna 1.47 fixes dropdown element style (contributed by Team Rebellion)
  • src: FreeBSD 14.1-RELEASE
  • src: assorted backports from FreeBSD stable/14 branch
  • ports: hostapd 2.11
  • ports: libpfctl 0.12
  • ports: phalcon 5.8.0
  • ports: openvpn 2.6.12
  • ports: wpa_supplicant 2.11
Migration notes, known issues and limitations:
  • The dashboard has been replaced. Widgets from the old format are no longer supported and need to be rewritten by the respective authors.
  • ISC DHCP will no longer reload DNS services on static mapping edits. This is for feature parity with Kea DHCP and avoiding cross-service complications. If you expect your static mappings to show up in a DNS service please restart it manually.

OPNsense

Versienummer 24.7
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 25-07-2024 10:30
27 • submitter: terradrone

25-07-2024 • 10:30

27

Submitter: terradrone

Bron: OPNsense

Update-historie

09-05 OPNsense 25.1.6 16
10-04 OPNsense 25.1.5 10
26-03 OPNsense 25.1.4 1
13-03 OPNsense 25.1.3 10
28-02 OPNsense 25.1.2 12
13-02 OPNsense 25.1.1 11
01-02 OPNsense 25.1 10
15-01 OPNsense 24.7.12 8
18-12 OPNsense 24.7.11 18
03-12 OPNsense 24.7.10 7
Meer historie

Lees meer

OPNsense

geen prijs bekend

5 van 5 sterren
Beveiliging en antivirus

Reacties (27)

-Moderatie-faq
27
27
3
2
0
23
Wijzig sortering
Jbserious 25 juli 2024 10:34
Nice, ben benieuwd hoe de widgets eruit gaan zien.
verder maar eens kijken naar wireguard vooral omdat de client configuratie nu ook met een QR code gedaan kan worden.
TheCeet @Jbserious25 juli 2024 10:56
Wireguard QR generator zit al aantal releases in Opnsense.
Maar wat wél nog interessanter is, deze laatste versie krijgt Wireguard een gigantische performance boost.

Lostaande vraag:
Bestaat er op Tweakers geen algemeen Opnsense topic op het forum? Kan het niet meteen vinden.

[Reactie gewijzigd door TheCeet op 25 juli 2024 10:56]

Flappie @TheCeet25 juli 2024 12:56
We hebben wel dit topic: forumtopic: Zelfbouw project: Firewall / Router / AP

Hierin worden zowel hardware, als PfSense en OPNsense besproken.
latka @TheCeet25 juli 2024 11:42
Zit er dan ook eindelijk iets in om PPPOE snel te krijgen... ben van *sense af terug naar openwrt omdat PPPOE performance gewoon niet stabiel & snel te krijgen is. Kan hier echter niets over vinden in de release notes.
KVan @latka25 juli 2024 13:18
Ik draai OPNsense al een hele tijd on top of Proxmox op een TopTon i7 1265u mini PC Deze draait moeiteloos mijn KPN gigabit verbinding (PPPOE). Ik heb eerder dezelfde setup op een Odroid H3 N5105 config gedraaid en ook die haalde de volle gigabit snelheid, zei het met een hoge processor belasting.
_JGC_ @KVan25 juli 2024 13:33
PPPoE is standaard single threaded op FreeBSD. Is met sysctl wel wat aan te tweaken, maar het blijft behelpen.
Met een Atom C3558 krijg ik ook geen Gbit over PPPoE met pfSense. Upload dan weer wel, maar download zeker niet.

Wordt tijd dat KPN van PPPoE afstapt, ik heb hier Odido over het netwerk van Delta met alleen een VLAN tag, die ragt gewoon de volle snelheid over de lijn met amper CPU belasting.
Videopac @_JGC_25 juli 2024 14:52
Of dat PPPoE op FreeBSD eindelijk eens multithread gaat ondersteunen.
_JGC_ @Videopac25 juli 2024 15:50
Op zich kan dat wel met die sysctl instellingen. Dat helpt. Maar dan ben je er nog niet.

Je netwerkkaart heeft verschillende hardware queues. Die queues worden afwisselend gevuld op basis van src, dst, poortnummer en protocol. Bij PPPoE heb je een statische tunnel tussen je router en de PPPoE server waardoor al het verkeer over 1 queue binnenkomt. Gevolg is dat de netwerkkaart maar een kwart van z'n hardware offload capaciteit gebruikt en alle interrupts over 1 CPU core gaan.

Edit: gaat vnml mis met Intel netwerkkaarten, die hashen op ipv4 of ipv6 verkeer. PPPoE is geen ipv4 of ipv6 verkeer dus alles komt uit op hardware queue 0.

[Reactie gewijzigd door _JGC_ op 25 juli 2024 16:04]

latka @_JGC_25 juli 2024 16:24
Ja, en het suffe is dat op mijn 5250u cpu (broadwell 5th gen) openwrt 1 gigabit over een intel nic doet met minimale CPU load. Die queueing is niet alleen het probleem er zit gewoon iets niet goed in de freebsd PPPOE oplossng. Gewoon traffic routeren is geen enkel probleem op mijn *sense bak, maar PPPOE is gewoon onwerkbaar met een snelle (glasvezel)link. Meeste fora roepen dan ook dat PPPOE echt niet meer van deze tijd is, helaas komt er steeds meer PPPOE bij in Nederland, met dank aan KPN.
SVMartin @TheCeet25 juli 2024 11:17
Ik heb die code generator geprobeerd, maar de cliënt (Android/iPhone wire guard client) kom er niets mee. Met de nieuwe versie tzt nog eens proberen, want dat maakt het echt veel eenvoudiger.

En heb je toevallig meer info over die performance boost?
TheCeet @SVMartin25 juli 2024 12:33
Ik las het gisteren op Reddit:
https://www.reddit.com/r/opnsense/s/WovGotyeRj
SVMartin @TheCeet25 juli 2024 16:40
Ah, dank je. Zo te lezen crypto verbeteringen waardoor cpu gebruik lager is en / of performance verbeterd. Zal dus waarschijnlijk van je type cpu en gebruik afhangen. Ik zal het ook eens testen hier :)
xxs @SVMartin25 juli 2024 16:27
Ik heb in de eerste instantie ook was zitten kloten met de QR generator. Je moet even een config maken voor een client, saven en dan zie je de QR veranderen, die moet je scannen en dan werkt het.

Edit: typo’s

[Reactie gewijzigd door xxs op 26 juli 2024 06:42]

SVMartin @xxs25 juli 2024 16:35
Ah, thanks!
xxs @SVMartin26 juli 2024 07:08
Zojuist even getest omdat ik niet meer helemaal zeker was:

Wireguard instance maken
Peer generator
QR code scannen
Store and generate next
Apply
fuzzyIon 25 juli 2024 10:44
Heel goed. Even upgraden dan maar. Ben benieuwt.
Riesch 25 juli 2024 11:44
The upgrade path from 24.1.x will follow tomorrow. Do not be hasty. The major operating system upgrade has not happened in while and should be taken with the appropriate amount of care.
Mijn beide firewalls (OPNsense 24.1.10_3-amd64) zien al wel dat er een update is (System: Firmware -> Changelog) maar upgrade pad is nog niet vrij gegeven. Dus nog even wachten voor iedereen die wilt upgraden.
TheCeet @Riesch25 juli 2024 12:34
Nu zou het wel moeten lukken
Riesch @TheCeet25 juli 2024 13:42
Ja ik zie het, eerst een 24.1.10_8 en dan door naar 24.7.

Eerst maar eens met de lab firewall proberen }> .
The Genie 25 juli 2024 17:22
Net geüpdatet. Donkere thema's maken de widget bijna onmogelijk om te lezen. Voor nu het standaard thema teruggezet. Nieuw dashboard is wel even wennen.

OpenVPN Verbindingen met m'n VPN provider waren weg na de update, maar dit kunnen fiksen door een config aanpassing. Waarschijnlijk door een nieuwere versie van OpenVPN.

Voor de rest draait alles nu weer als een zonnetje.
digibaro @The Genie25 juli 2024 18:40
OpenVPN Verbindingen met m'n VPN provider waren weg na de update, maar dit kunnen fiksen door een config aanpassing. Waarschijnlijk door een nieuwere versie van OpenVPN.
De vraag die je kon verwachten, wat voor aanpassing(en) ?
The Genie @digibaro25 juli 2024 18:49
Geen idee of die universeel is voor alle VPN providers, maar bij de advanced config van de connectie de volgende opties toevoegen:

comp-lzo yes
allow-compression yes
xxs @The Genie26 juli 2024 06:35
lzo compressie is toch bestempeld als ‘onwenselijk’?

Even zoeken;

Compression is not recommended and is a feature users should avoid using. To signal this clearly, --comp-lzo and --compress are discouraged and considered deprecated features. Beginning with 2.5, these options will no longer enable compression, just enable the compression framing to be able to receive compressed packets
The Genie @xxs26 juli 2024 10:25
Ben even aan het pluizen geweest en heb de bovenstaande opties vervangen door:
allow-compression asym

Zoals vermeld in: https://community.openvpn.net/openvpn/wiki/Compression

Met deze instelling werkt het nu ook. Bedankt voor de pointer! :-)
digibaro @The Genie26 juli 2024 16:42
Waarom zou je compression gebruiken, wetende dat in OpenVPN 2.6 de default (best practice?) op none staat. Ik dacht dat de problematische optie DCO was aangezien dit niet in OpenVPN (legacy) wordt ondersteund.
The Genie @digibaro26 juli 2024 19:09
Een uitpluizer, maar ik krijg 'm anders niet aan de praat. Heb dit ook al richting de support van de VPN gestuurd.

Heb de setting nu op asym staan en dit werkt ook. De kwetsbaarheid schijnt in de upstream te zitten en zo wordt de verstuurde data in ieder geval niet gecompresst.

https://community.openvpn.net/openvpn/wiki/Compression

[Reactie gewijzigd door The Genie op 26 juli 2024 19:11]

Coder71 31 juli 2024 15:20
Ik heb met deze versie veel problemen, ook na de laatste patches. De kpn tv (beeld) blijft vaak hangen.
Morgen tijd maken om een oudere versie terug te zetten…

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq