Software-update: OPNsense 24.7.4

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 24.7.4 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 24.7.4 released

Since we are currently having a vivid discussion about what constitutes a downstream or upstream issue in the FreeBSD scope we will revert the FreeBSD-SA-24:05.pf advisory until further notice. As confirmed by many users this brings ICMPv6 and therefore IPv6 back to an uneventful stable state. We will be trying to work with FreeBSD on the issue as it seems unavoidable that we meet it again when working on FreeBSD 14.2 inclusion.

In other IPv6 news we found a strange regression in dhcp6c introduced in 24.7.2 and reverted the offending commits for now. What this tells us, though, is that we did uncover an inherent issue with the timeout value generation that may be present since two decades in the code at least.

Apart from smaller fixes for the dashboard, trust pages, this update also ships the first backwards-compatible PPP rework patch. The ultimate goal here is to offer IPv6-only connectivity which requires untangling old code to be IP family agnostic. Should you note any change in behaviour please do not hesitate to contact us.

BTW, the roadmap for 25.1 has been decided and will be published soon.

Here are the full patch notes:
  • system: recover stuck monitors and offer a cron job
  • system: use built-in controller logic for JSON decoding on dashboard
  • system: map derivative field cert_type to expose purpose to the UI
  • system: handle stale "pfsyncinterfaces" and improve workflow
  • system: tweak the boot detection for code minimalism
  • system: do not save x/y widget coordinates on smaller screens
  • system: fix CARP widget on invalid CARP configuration
  • system: fix storing private key when creating a CSR
  • reporting: remove nonexistent 3G statistics
  • interfaces: force regeneration of link-local on spoofed MAC
  • interfaces: add proper validation for 6RD and 6to4
  • interfaces: add new "vpn_map" event to deprecate "vpn"
  • interfaces: unify PPP linkup/linkdown scripting
  • interfaces: replace "newwanip" from interface apply with "early"
  • interfaces: move IPv6 over IPv4 connectivity to a separate script
  • interfaces: port VXLAN to newwanip_map event
  • firewall: replace filter_(un)lock() with a FileObject lock
  • isc-dhcp: allow to disable a DHCPv6 server with faulty settings
  • firmware: remove auto-retry from fetch invokes
  • firmware: allow auto-configure patching via full URL
  • firmware: automatically handle most plugin conflicts
  • openssh: convert to newwanip_map and rework the code
  • openvpn: add username field to the status page
  • openvpn: add close-on-exec flag to service lock file
  • unbound: add discard-timeout (contributed by Nigel Jones)
  • wireguard: fix widget display with public key reuse
  • wireguard: add close-on-exec flag to service lock file
  • ui: allow style tag on headers
  • plugins: os-helloworld 1.4
  • plugins: os-caddy 1.7.0
  • src: revert FreeBSD-SA-24:05.pf until further notice to restore proper IPv6 behaviour
  • src: agp: Set the driver-specific field correctly
  • src: cron(8) / periodic(8) session login
  • src: multiple vulnerabilities in libnv
  • src: bhyve(8) privileged guest escape via TPM device passthrough
  • src: multiple issues in ctl(4) CAM target layer
  • src: bhyve(8) privileged guest escape via USB controller
  • src: possible DoS in X.509 name checks in OpenSSL
  • src: umtx kernel panic or use-after-free
  • src: revert "ixl: fix multicast filters handling"
  • ports: dhcp6c 20240907 for now reverts instability regression in random number handling
  • ports: php 8.2.23
  • ports: openssl 3.0.15

OPNsense

Versienummer 24.7.4
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

12-09-2024 • 21:30

16

Submitter: smerik

Bron: OPNsense

Update-historie

Reacties (16)

16
16
9
1
0
6
Wijzig sortering

Sorteer op:

Weergave:

Na de installatie van 24.7.2 kreeg ik thuis klachten dat Brawl Stars "connection lost" problemen had. Vervelende was dat dit alleen op Samsung Androids gebeurde én dat er die week ook een Android update door Samsung werd gepushed...

Workaround voor mij is om DHCP op de client om te zetten naar Static IP. Mogelijk is dit een issue tussen OPNsense en Samsung... ik zie nu dat ze zowel op dhcp6 als ipv6 dingen aan het terugdraaien zijn, en ik gebruik thuis ook ipv6... zal opnieuw testen met deze update.

[Reactie gewijzigd door Arnout op 13 september 2024 13:14]

Interessant - hier waren daar ook klachten over in die periode, ook met Samsung tablets & Brawl Stars :) Laat zeker iets weten!
Brawl Stars is gewoon een hele goede netwerk / wifi / router test :D
Het was zelfs zo erg dat OPNsense als geheel ter discussie werd gesteld en we weer terug moesten naar de Asus router :D

Als je dit zo leest lijkt het wel met OPNsense te maken te hebben. https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=280701
https://github.com/opnsense/src/issues/218

[Reactie gewijzigd door Arnout op 13 september 2024 10:39]

Welke hardware zou je hiervoor het beste kunnen gebruiken? Wordt een Raspberry 5 bijvoorbeeld ondersteund en is dat zinvol?
https://shop.opnsense.com...appliances/?orderby=price voor de officiele produckten :)
Geen idee if rasberry voldoende is.. je kan het altijd op het forum vragen: https://forum.opnsense.org/index.php?board=21.0
Ik heb het momenteel draaien op een https://www.pcengines.ch/apu2.htm
Maar ben aan het kijken op te upgraden naar iets krachtigers met 2,5gbps of zelfs 10gbps

Enige nadeel van de updates is dat de router vaak reboot nodig heeft en dan mijn hele netwerk dan in de war raakt en zeker 10-20m nodig heeft om te herstellen.
Je hebt best minimum 2x ethernet nodig (WAN en LAN). Als je wat van VLANs kent, kan je ook met 1 poort wegkomen, maar dat maakt het in het begin misschien onnodig ingewikkeld. Je kan eigenlijk elke pc gebruiken die je wilt (bv. een Lenovo, Dell of HP SFF pc) en er dan een 2x of 4x ethernet PCI-kaart insteken. Ik gebruik bv een 6e gen i3 Medion pc met een 120GB SSD en 16GB RAM en dat loopt als een zonnetje.
Als je iets meer kant en klaar zoekt, is de N100 "NUC" van oa. Topton via AliExp. een interessante optie. Die heeft ineens 4x 2,5Gb ethernet poorten. Wel best kiezen voor je eigen RAM en SSD naar mijn mening.
"Het beste" is erg subjectief. Persoonlijk zou ik wegblijven van de Raspberry Pi vanwege 1x NIC en te weinig CPU kracht.
Zelf ben ik voor een kleine Lenovo intel pc gegaan en daar een 4x NIC intel kaart in gestoken. Proxmox erop en PCI passthrough naar de netwerkkaart die dan transparant voor OPNsense beschikbaar is. Werkt subliem en ik haal makkelijk 1 Gbit/s routing.

Houd er rekening mee dat je een behoorlijke single core performance moet hebben wil je hogere routing snelheden halen ( >100Mbit). Dit vanwege de beperkingen in de PPPoE implementatie in FreeBSD die single-threaded is.

[Reactie gewijzigd door Arnout op 13 september 2024 10:16]

OPNsense (gesupport) is er toch alleen voor X86 niet voor ARM
Deze heeft men fw gebrickt jammer
Heb je de snapshot functie niet gebruikt?
Wat is dat?

Ik heb een re-install gedaan via serial en dan backup file terug gezet.
Dit zijn snapshots:

https://docs.opnsense.org/manual/snapshots.html

Je hebt er alleen wel ZFS voor nodig, en dat is niet standaard bij alle installatie-images.
Ik heb geupgrade, maar de upgrade is wel/niet gelukt, want hij blijft dezelfde updates maar vinden en installeren.
De eerste keer deed hij wel een reboot, maar daarna waren er nog steeds updates die maar keer op keer kan installeren, onder de reboot.

Deze versie 24.7 release is niet de meest stabiele.
Er is ook alweer een 24.7_1 hotfix, misschien is dat waar die herhaling vandaan komt.
Ik zag het. Nog maar niet geupdate, want na de herhalende installatie werkt de igmp proxy ook niet goed, totdat ik de firewall een reboot gaf.

Op dit item kan niet meer gereageerd worden.