OPNsense 25.1.3

OPNsense logo Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars achter OPNsense hebben de derde update voor versie 25.1 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 25.1.3 released
This time around a patch from OpenBSD has been added that fixes the state tracking for ICMPv6 neighbour discovery packets through pf. The user management gained a CSV import/export. Also, the bug of the missing PPP logs has been fixed in the upstream MPD package. Please note that the FRR plugin now uses the new configuration file layout mandated by upstream and also gained reload support.

Since Google Drive is being phased out by Google, a new plugin now covers backups via SFTP. The old Google Drive backup functionality will move to plugins in 25.7 since it will only be useful for existing installs.
Here are the full patch notes:

system: implement user CSV import/export functionality (sponsored by: m.a.x. it)

system: switch boot logo and MOTD to the new-style logo (contributed by Gavin Chappell)

system: migrate 'default' tunable value to empty one and improve UX

system: bring back user/group audit messages lost in MVC conversion

system: replace legacy service widget hook with a proper configd call

interface: use shared base_bootgrid_table and base_apply_button where possible

interfaces: remove obsolete code in get_real_interfaces() to match getRealInterface()

interfaces: improve validation for CARP/proxy ARP VIP

interfaces: remove defunct "other" VIP type

interfaces: skip "nosync" processing on VIPs

firewall: support partial alias exports

kea-dhcp: use shared base_bootgrid_table and base_apply_button

network time: move XMLRPC definition to correct file

openvpn: add DCO validation for fragment size

unbound: use shared base_bootgrid_table and base_apply_button

unbound: fix model migration pertaining to "dots" model changes

wireguard: use shared base_bootgrid_table and base_apply_button

backend: allow pluginctl to filter on -x/-X option

mvc: decode HTML tags in menu items

mvc: fix unit tests for model relation fields

plugins: os-caddy 1.8.3

plugins: os-dmidecode 1.2 adds new dashboard widget (contributed by Neil Merchant)

plugins: os-frr 1.43

plugins: os-intrusion-detection-content-pt-open 1.0 (contributed by kulikov-a)

plugins: os-sftp-backup 1.0 allows configuration backups over SFTP

plugins: os-zabbix-agent 1.15

plugins: os-zabbix-proxy 1.12

src: carp: fix checking IPv4 multicast address

src: icmp: use per rate limit randomized jitter

src: ixgbe: Fix a logic error in ixgbe_read_mailbox_vf()

src: netinet6: do not forward to the unspecified address

src: netinet: do not forward or ICMP response to INADDR_ANY

src: netinet: ipsec and ktls cannot coexists

src: pf: align sanity checks for pfrw_free

src: pf: allow all forms of neighbor advertisements in either direction

src: pf: cleanup leftover PF_ICMP_MULTI_* code that is not needed anymore

src: pf: do not keep state when dropping overlapping IPv6 fragments

src: pf: drop IPv6 packets built from overlapping fragments in pf reassembly

src: pf: fix fragment hole count

src: sysctl: enable vnet sysctl variables to be loader tunable

ports: mpd default logging level increased to LOG_NOTICE

ports: nss 3.109

ports: pftop 0.12

ports: py-jinja 3.1.6

OPNsense

Lees meer

Reacties (10)

tjanssen 13 maart 2025 18:18

Uit de release notes... (sponsored by: m.a.x. it). Is dit al langer zo?

meowmofo @tjanssen • 13 maart 2025 18:35

Het is een nieuwe feature die geïmplementeerd wordt. Je ziet wel vaker contributed by, etc. ook in deze release notes.

SVMartin @meowmofo • 13 maart 2025 18:43

Het kan ook nog zo zijn dat Max it geld heeft neergelegd bij het project om prio te krijgen voor de implementatie van deze feature. Er staat namelijk bij andere items 'contributed by', dat lijkt erop dat de persoon zelf een pull request heeft gedaan.

The Realone @tjanssen • 13 maart 2025 18:32

Lijkt me dat dat betrekking heeft op specifiek die nieuwe feature dus dat lijkt me niet nee. Het is buitengewoon dat een bedrijf geld danwel uren steekt om te helpen een bepaalde feature te ontwikkelen in open source software, vaak omdat men zelf graag die feature zou willen hebben.

thutex @tjanssen • 13 maart 2025 19:03

de sponsored by gaat over features die prioriteit krijgen om ontwikkeld te worden als ervoor betaald werd.
in dit geval is de user csv-feature dus erin gekomen omdat max it er geld voor gegeven heeft.

als ik me niet vergis is max it trouwens ook al langer een contributor voor verscheidene community addons

SVMartin 13 maart 2025 18:45

Ik gebruik Google Drive (consumenten 'gratis' account) voor de config backups. Dat Google Drive zou stoppen is nieuw voor mij. Ik kan zo snel er ook niets over vinden. Iemand die meer weet?

Edit: uit opnsense docs: "Please note that Google changed how service accounts work, as a result, this functionality will be deprecated "

[Reactie gewijzigd door SVMartin op 13 maart 2025 18:52]

xxs @SVMartin • 13 maart 2025 20:07

Ik heb een cronjobje op mijn PI draaien die via de API de config download. Wel eerst zorgen dat je je API KEY en SECRET weet. ;-)

<code>
#!/bin/bash

KEY=MYKEY
SECRET=MYSECRET
FWHOST=IP-OPNsense-Machine

DAYSTOKEEP=30
DESTINATION="/mynfs/share/OPNsense-CONFIG"
DATE=$(date +%Y%m%d_%H%M%S)
MYFILE="/tmp/${date}"

RESULT=$(/usr/bin/curl -I -s -k -u "$KEY":"$SECRET" https://$FWHOST/api/core/backup/download/this | head -1)
if [[ $RESULT != *"200"* ]]; then
echo "Result of the HTTP request is $RESULT"
exit 1
fi
/usr/bin/curl -s -k -u "$KEY":"$SECRET" https://$FWHOST/api/core/backup/download/this > $MYFILE.xml
ERROR=$?
if [ $ERROR -gt 0 ]; then
echo "Curl returned error number $ERROR"
exit 1
fi

mv $MYFILE.xml $DESTINATION/config-opn.local-$DATE.xml

</code>

SVMartin @xxs • 13 maart 2025 22:29

Bedankt voor de tip, wellicht kan ik ook Zoiets doen. Ik zie ook dat er een sftp mogelijkheid is en mijn NAS backup al naar backblaze gaat die ook een sftp mogelijkheid heeft. Keuzes

The-Omega @SVMartin • 14 maart 2025 11:36

Ik gebruik al jaren Oxidized [1] voor opnsense en andere netwerk systemen.
Deze laat ik het gewoon in mijn git dumpen om mij vervolgens een snipit laat sturen wat er gewijzigd is.

En met git heb ik ook meteen version control over de config.

[1] https://github.com/ytti/oxidized

s.vanrossem @SVMartin • 14 maart 2025 12:24

Die Google Drive backup functionaliteit wil je denk ik sowieso niet dus goed dat het stopt. OPNsense heeft gewoon native git backup (bron https://docs.opnsense.org/manual/git-backup.html) functionaliteit en deze is briljant!
Iedere config wijziging doet die netjes een commit.

Op dit item kan niet meer gereageerd worden.

Versienummer	25.1.3
Releasestatus	Final
Besturingssystemen	BSD
Website	OPNsense
Download	https://opnsense.org/download/
Licentietype	Voorwaarden (GNU/BSD/etc.)

09:00	OPNsense 25.1.6	13
10-04	OPNsense 25.1.5	10
26-03	OPNsense 25.1.4	1
13-03	OPNsense 25.1.3	10
28-02	OPNsense 25.1.2	12
13-02	OPNsense 25.1.1	11
01-02	OPNsense 25.1	10
15-01	OPNsense 24.7.12	8
18-12	OPNsense 24.7.11	18
03-12	OPNsense 24.7.10	7

Software-update: OPNsense 25.1.3

Update-historie

Lees meer

Reacties (10)

Sorteer op:

Weergave: