OPNsense 25.1.1

OPNsense logo Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars achter OPNsense hebben de eerste update voor versie 25.1 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 25.1.1 released
Here we are with further refinements to 25.1 and it is looking pretty well so far. Included are the recent FreeBSD security advisories and the OpenSSL 3.0.16 which came out just yesterday. The roadmap for 25.7 is being worked on at the moment and should be ready for publication next week / release.
Here are the full patch notes:

system: exclude pchtherm thresholds temperature thresholds

system: regression in groupAllowed() as values are now comma-separated

system: update button wording on new HA status page

reporting: fix missing typecast in epoch range for DNS statistics

interfaces: fix undefined array key warnings in DHCP client setup (contributed by Ben Smithurst)

interfaces: remove "hellotime" configuration leftover of recent bridge cleanup

firmware: opnsense-update: fix failure to clean up the working directory

firmware: opnsense-update: support -B and -K with -c option check

firmware: opnsense-update: let -u skip already installed packages set

firmware: kernel may not be pending so be sure to check on upgrade attempt

firmware: add an upgrade test for wrong pkg repository

firmware: revoke 24.7 fingerprint

captive portal: fix missing class import

captive portal: partially revert new lighttpd TLS defaults

ipsec: fix glob pattern for advanced configuration banner

monit: revert "wrap exec in double quotes to allow arguments"

ui: reverted style changes only relevant for the development version

ui: header image scaling fixes in default light theme

ui: remove right border from "aside" element in default dark theme

plugins: os-caddy 1.8.2

plugins: os-crowdsec 1.0.9

plugins: os-ddclient 1.27

src: pf: send ICMP destination unreachable fragmentation needed when appropriate

src: pfil: set PFIL_FWD for IPv4 forwarding

src: if_vxlan: use static initializers

src: if_vxlan: prefer SYSCTL_INT over TUNABLE_INT

src: if_vxlan: Invoke vxlan_stop event handler only when the interface is configured

src: pf: force logging if pf_create_state() fails

src: tarfs: fix the size of struct tarfs_fid and add a static assert

src: ext2fs: fix the size of struct ufid and add a static assert

src: cd9660: make sure that struct ifid fits in generic filehandle structure

src: tzdata: import tzdata 2025a

src: audit: fix short-circuiting in syscallenter()

src: ktrace: fix uninitialized memory disclosure]

src: netinet: enter epoch in garp_rexmit()

ports: curl 8.12.0

ports: monit 5.34.4

ports: openssl 3.0.16

ports: pcre2 10.45

ports: php 8.3.16

OPNsense

Lees meer

Reacties (11)

fre_ 13 februari 2025 12:35

Sinds een maand overgeschakeld op Opnsense omdat ik m'n netwerk wou opdelen in VLAN's. Ik was aangenaam verrast over de vele documentatie die je kan vinden, ook voor beginnersniveau. Ik kan de tutorials van Homenetworkguy ten zeerste aanraden.

Hansie9999 @fre_ • 13 februari 2025 13:39

Bij mij hetzelfde,

Wat ik wel nog steeds niet in orde gekregen heb is dit ; (misschien dat jouw situatie beetje hetzelfde is en je een tip hebt)

Ik heb maximum 85-95Mbps internet (ja ja, België héé

)

En we hebben hier 1 vrouw die TV streamt , en 3 gamers,

Vrouw haar streaming toestellen hebben een VLAN met hoogste prioriteit, dus daar geen problemen want als die TV zou haperen dan worden er ritueel gamers geofferd

Probleem is nu, ik probeer de 3 gamers een minimum bandbreedte te geven, MAAR al de resterende bandbreedte die op die moment niet gebruikt wordt mag door éénder welke gamer gebruikt worden om bijvoorbeeld een game te updaten.

en dat lukt maar niet, (heb al veel tutorials gevolgd) , ik kan ze alledrie bijvoorbeeld maximum 30Mbps doen gebruiken geen probleem, maar dan is het bijvoorbeeld debiel dat om 1 uur s'nachts bijvoorbeeld een gamer niet aan 80Mbps kan updaten, en ik krijg dat maar niet in orde naar wens

Misschien iemand een tip ?

adamnl @Hansie9999 • 13 februari 2025 14:08

VLAN voor de vrouw blijft zoals het is. Maak een alias voor de gamers (Firewall > Aliases en voeg een alias toe, bijvoorbeeld Gamers).
Voeg hier de IP-adressen of MAC-adressen van de gamers toe.

Ga naar Firewall > Shaper en schakel de traffic shaper in. Voeg een bandbreedtepipe toe:
- Pipe 1: 20 Mbps minimum per gamer (per persoon gegarandeerd). Mask is Source.
- Pipe 2: 80 Mbps burst (voor overgebleven bandbreedte). Mask is None.

Ga naar Firewall > Shaper > Queues en voeg per gamer een queue toe. Verbind Pipe 1 (20 Mbps) als minimum garantie. Verbind Pipe 2 (80 Mbps burst) als optionele overname van ongebruikte bandbreedte. Stel de queue zo in dat de gebruiker meer kan gebruiken als het beschikbaar is. Queue voor updates heeft Weight 1 (laag zodat games voorrang krijgen).

Ga naar Firewall > Shaper > Rules en maak regels die:
-Gameverkeer voor elke gamer via Pipe 1 garandeert.
- Downloads en updates van games via Pipe 2 laat lopen als er ruimte is.

Gebruik fq_codel of PRIQ in je queues om latentieproblemen te verminderen.

Test je setup met "Diagnostics > Shaper Status" om te zien of de regels correct werken.

[Reactie gewijzigd door adamnl op 13 februari 2025 14:13]

Nathilion @Hansie9999 • 13 februari 2025 14:03

Onder pfSense zou ik het zo kunnen vertellen. Op OpnSense is het al snel wat lastig als ik zo door de handleiding heen ga. Wat je wilt is in ieder geval het kunnen lenen van bandbreedte van anderen, mits die bandbreedte over hebben. Hier zou je bijvoorbeeld HTB (Hierarchical Token Bucket) of HFSC (Hierarchical Fair Service Curve) voor op pfSense gebruiken (ook Linux algemeen).

Als ik zo snel door de handleiding van traffic shaping voor opnSense heen ga dan is deze veel beperkter in aangeboden shapers. Wat er nog het meest op lijkt is het toepassen van meerdere queues met elk hun eigen gewicht op een enkele pipe.

Zo zou je een TV queue kunnen maken met een gewicht van 7 en die kunnen toekennen aan je TV en dan nog drie queues elk met een gewicht van 1. Is iedereen tegelijk aan het downloaden dan krijgt de TV 7:3 keer meer bandbreedte dan de rest.

Nou is een verdeling op basis van apparaat wel erg grof. Maar als je het eenmaal in de vingers hebt kun je gaan fijntunen door bijvoorbeeld streams en HTTP verkeer te prioriteren over ander verkeer.
Maar ook games kun je een hogere prioriteit geven (die zenden vaak maar met steeds kleine beetjes). Je gamers zullen hun latency doormee aanzienlijk zien verbeteren t.o.v. de bulktoekenning op basis van apparaat. Bulktransfers zoals games downloaden kunnen dan in de laagste queue terecht, om zo min mogelijk de rest in de weg te zitten.

[Reactie gewijzigd door Nathilion op 13 februari 2025 14:14]

Hansie9999 @Nathilion • 13 februari 2025 15:31

Ja, ik vind ook mensen die met Pfsense exact doen wat ik wil doen, maar op OPNsense lukt het maar niet,

was nu ook met de pipes en dan gewichten bezig, maar daar lukt het niet mee om steeds een minimum te hebben,

de TV is geen probleem, die heeft zijn eigen VLAN met hogere prioriteit (zoals voor IPTelefoon) maar ik wil dus niet 1 gamer meer voorang geven dan de andere, dus heb voor de gamers dezelfde prioriteit nodig, maar de optie om alles te gebruiken als de andere niks nodig hebben, en dat lukt mij maar niet,

Ik zal misschien inderdaad eens moeten kijken om games voorrang te kunnen geven, maar vraag me af of dit makkelijk gaat voor alle games ? of dat ik dan echt moet gaan kijken wat voor soort traffic elk game heeft en hoe ik dat moet instellen ?

zal nog wat zoekwerk worden vrees ik

Insomnia1988 13 februari 2025 12:44

Weet er iemand wanneer het mogelijk is om DNS manual aan te vragen bij de ACME certificaten of dat er aan gewerkt wordt?
Ik wilde Opnsense proberen maar ik liep vast dat ik geen certificaten manueel kon aanmaken. Alleen de door hun voor geselecteerde DNS providers kon ik nemen.

Sandor_Clegane @Insomnia1988 • 13 februari 2025 14:49

Heb je een andere machine? Ik draai zelf gewoon acme.sh op mijn Linux machine en dan SFTP ik de certificaten naar de juiste machine.

Het is wat omslachtig, maar ja. Je moet wat voor een wildcard certificaat overhebben.

prutser001 13 februari 2025 12:44

Ik ben juist weer voor PFsense gegaan, had routerOS geprobeerd maar daar liep ik tegen onoplosbare problemen aan. Nu alleen nog aan het stoeien met Wireguard.

Sandor_Clegane @prutser001 • 13 februari 2025 12:54

Ik ben van beide afgestapt en draai weer een OpenBSD machientje op Qemu met passthrough hardware NICs.

Gebruikt echt niets aan geheugen, is supersnel en je hebt er geen omkijken naar. Documentatie is super en Wireguard is superstabiel.

LMD 13 februari 2025 12:28

Update zonder problemen verlopen. vereist wel een reboot.

Comp User 13 februari 2025 14:14

Hopelijk doet Adguard het na deze update wel - is wel actief, maar lijkt niets af te vangen.

Wireguard krijg ik ook nog niet zoals ik wil.

Op dit item kan niet meer gereageerd worden.

Versienummer	25.1.1
Releasestatus	Final
Besturingssystemen	BSD
Website	OPNsense
Download	https://opnsense.org/download/
Licentietype	Voorwaarden (GNU/BSD/etc.)

10-09	OPNsense 25.7.3	2
21-08	OPNsense 25.7.2	7
31-07	OPNsense 25.7.1	18
24-07	OPNsense 25.7	9
22-07	OPNsense 25.1.12	16
16-07	OPNsense 25.1.11	4
01-07	OPNsense 25.1.10	0
18-06	OPNsense 25.1.9	1
12-06	OPNsense 25.1.8	8
19-05	OPNsense 25.1.7	6

Software-update: OPNsense 25.1.1

Update-historie

Lees meer

Reacties (11)

Sorteer op:

Weergave: