Software-update: OPNsense 24.7.10

OPNsense logo (79 pix) Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars hebben OPNsense 24.7.10 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 24.7.10 released

This ships a number of base system changes, kernel fixes and driver updates. The time-loop authentication change is back with the fixed TOTP case and the Unbound domain overrides are now found in query forwarding since this offers the same functionality anyway.

With the year almost over we are shifting focus to finishing the items on the roadmap and it is nice to note that the MVC/API conversions are already over 75% complete. That means it will not take another decade to migrate the other 25%. ;)

Here are the full patch notes:
  • system: readd a "time-loop" around authentication for failed attempts
  • system: remove the SSL bundles in default locations
  • system: prevent JS crashing out when dashboard widget title is not set
  • system: use system instead of sample defaults when reverting tunables
  • system: report actual LAN address being used after factory reset
  • interfaces: use Autoconf class to avoid raw ifctl file access
  • interfaces: remove ancient MAC address trickery to unbreak hostapd
  • interfaces: add missing neighbor and DNS lookup page ACL entries
  • interfaces: PPP device page ACL missed getserviceproviders.php
  • firmware: force CRL check on development deployment
  • firmware: use REQUEST to print a TLS/CRL usage hint
  • firmware: improved output helpers and associated cleanup in audit scripts
  • firmware: opnsense-update: add support for regression tests set
  • intrusion detection: limit stats.log logging (contributed by doktornotor)
  • kea-dhcp: add dhcp-socket-type option (contributed by Till Niederauer)
  • kea-dhcp: add MAC formatter to leases page (contributed by cpalv)
  • openvpn: support case-insensitive strict user CN matching for instances
  • unbound: move domain overrides to query forwarding
  • mvc: let JsonKeyValueStoreField cache configd call for the duration of the session
  • mvc: another batch of sessionClose() cleanups in controllers
  • mvc: cleanup in ApiMutableServiceControllerBase
  • mvc: fix hint display for "0"
  • ui: restore right tab border in standard theme
  • plugins: os-caddy 1.7.5
  • plugins: os-debug 1.7
  • src: atf/kyua: ship regression tests runtime support
  • src: if_bridge: mask MEXTPG if some members do not support it
  • src: if_tuntap: enable MEXTPG support
  • src: ice: update to 1.43.2-k et al
  • src: ipsec: fix IPv6 over IPv4 tunneling
  • src: ixgbe: add support for 1Gbit (active) DAC links
  • src: ixgbe: sysctl for TCP flag handling during TSO
  • src: jail: expose children.max and children.cur via sysctl
  • src: libfetch: add the error number to verify callback failure case
  • src: netlink: assorted stable backports
  • src: pf: prevent SCTP-based NULL dereference in pfi_kkif_match()
  • src: pf: let rdr rules modify the src port if doing so would avoid a conflict
  • src: pf: make pf_get_translation() more expressive
  • src: pf: let pf_state_insert() handle redirect state conflicts
  • src: pf: fix wrong pflog action in NAT rule
  • src: pf: fix potential state key leak
  • src: rc: ignore INSYDE BIOS placeholder UUID for /etc/hostid
  • src: route: fix failure to add an interface prefix route when route with the same prefix is already presented in the routing table
  • src: route: route: avoid overlapping strcpy
  • src: sfxge: defer ether_ifattach to when ifmedia_init is done
  • ports: curl 8.11.0
  • ports: expat 2.6.4
  • ports: nss 3.107
  • ports: openldap 2.6.9
  • ports: php 8.2.26
  • ports: sudo 1.9.16p2

OPNsense

Versienummer 24.7.10
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

03-12-2024 • 18:09

7

Submitter: smerik

Bron: OPNsense

Reacties (7)

7
7
2
1
0
5
Wijzig sortering
Kleine toevoeging:
A hotfix release was issued as 24.7.10_1:

unbound: use tls-cert-bundle to point to remaining valid bundle
O ja, in deze versie gaat ook totp i.c.m. ldap stuk :/, maar patch in progress.

https://forum.opnsense.org/index.php?topic=44425.0
Gefixed:
24.7.10_2

[Reactie gewijzigd door xxs op 4 december 2024 11:30]

Heb hier 24.7.10_2 erop staan, maar heb nu al 2x een spontane reboot van beide firewalls gehad. WAN met PPPoE, meerdere VLANs en firewalls in cluster.

2024-12-04T14:13:04 Notice kernel rcx: fffff80060a19510 r8: 00000000b6363371 r9: 0000000000000000
2024-12-04T14:13:04 Notice kernel rdi: fffff801228f0268 rsi: fffff801228f0268 rdx: 0000000075636c99
2024-12-04T14:13:04 Notice kernel current process = 12 (irq35: virtio_pci4)
2024-12-04T14:13:04 Notice kernel processor eflags = interrupt enabled, resume, IOPL = 0
2024-12-04T14:13:04 Notice kernel = DPL 0, pres 1, long 1, def32 0, gran 1
2024-12-04T14:13:04 Notice kernel code segment = base 0x0, limit 0xfffff, type 0x1b
2024-12-04T14:13:04 Notice kernel frame pointer = 0x28:0xfffffe00842a9a70
2024-12-04T14:13:04 Notice kernel stack pointer = 0x28:0xfffffe00842a9a40
2024-12-04T14:13:04 Notice kernel instruction pointer = 0x20:0xffffffff82765d9c
2024-12-04T14:13:04 Notice kernel fault code = supervisor write data, page not present
2024-12-04T14:13:04 Notice kernel fault virtual address = 0x130e6e92f000
2024-12-04T14:13:04 Notice kernel cpuid = 0; apic id = 00
2024-12-04T14:13:04 Notice kernel Fatal trap 12: page fault while in kernel mode

Blijk hierin niet de enige te zijn, er is een "testkernel" beschikbaar, maar zo te zien nog niet breed uitgerold. Deze versie dus even on hold gezet voor productie doeleinden.

[Reactie gewijzigd door Calypso op 4 december 2024 14:21]

Uit het forum:
Please note we had to hotfix the kernel which will not reinstall
automatically if you caught the bad version. If you experience
panics on 24.7.10 relating to pf(4) please reinstall from the GUI
(which includes an automatic reboot) or run "opnsense-update -fk"
from the shell followed by a manual reboot. The correct kernel
identifies itself as "stable/24.7-n267981-8375762712f" using
"uname -v".
Ja, maar er was, in elk geval op het moment dat ik (net voordat ik de deur uit moest) dit bericht schreef nog geen zekerheid dat daarmee het probleem/de problemen met de kernel de wereld uit zijn - daarvoor is er nog te weinig testinformatie.

Vooralsnog heb ik m'n thuis instances geupdate met de kernel en dat lijkt goed te gaan. M'n datacenter instances laat ik even lekker op de vorige versie.
Naast de genoemde crashes met de kernel is er ook een probleem met NAT waarbij de firewall niet op ARP reageert. Deze release is wel heel erg buggy.

Op dit item kan niet meer gereageerd worden.