Software-update: IPFire 2.29 - Core Update 193

IPFire logo (79 pix) IPFire is een opensourcefirewall voor i586-, x86_64- en Arm-systemen. Het bevat onder andere een intrusion detection/prevention system, deelt het netwerk op in zones, doet stateful packet inspection en biedt vpn-mogelijkheden. Voor meer informatie verwijzen we naar deze pagina. De ontwikkelaars hebben versie 2.29 Core Update 193 uitgebracht, een stabiele uitgave voor productiesystemen. De bijbehorende releasenotes zien er als volgt uit:

Post-Quantum Cryptography for IPsec tunnels

IPsec tunnels now support key exchanges using the post-quantum Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM). This algorithm is believed to be secure against adversaries who possess a quantum computer and is therefore hardening the security of those tunnels that use it.

In IPFire, this is now enabled by default for new tunnels together with Curve448, Curve25519, various other NIST-certified elliptic curve algorithms and RSA-4096 and RSA-3072. This choice will ensure that modern cryptography is being used when available, but IPFire will remain compatible with older solutions from other vendors. Of course you may enable this for existing tunnels on the advanced settings page of the tunnel.

Additionally, we have updated the default list of ciphers for new tunnels: We prefer using AES-256 in either GCM or CBC mode, or ChaCha20-Poly1305 by default. AES-128 is no longer included in the default cipher list as it has weaker security and most hardware has acceleration for AES where AES-256 should always achieve the same throughput.

This way, the primary way to build VPN networks over the internet has become even more secure and ready for 2025 and onwards. Read more about this on our blog.

Toolchain Update

IPFire has been updated to use glibc - the C standard library - in version 2.41 and Binutils - the assembler and linker - in version 2.44. They are fundamental building blocks of the OS and we like to keep IPFire as modern as possible so that we generate the most optimal code which takes advantage of most recent hardware features. And of course, as this is the must crucial code outside of the kernel itself, they are important to keep IPFire hardened.

Misc.
  • The discontinued Botnet C2 blocklist from abuse.ch has been removed
  • The archive of firmware and microcodes has been updated including fixes for
  • A bug with an incorrect serial number has been fixed which prevented to renew the IPsec host certificate
  • Stephen Cuka has submitted his first patch with some aesthetic improvements for the Firewall Groups page
  • lucatrv has added DNS-over-TLS to the list of default services
  • It is very important to us to keep IPFire up to date and get any fixes and improvements from upstream, therefore we once again update large parts of the distribution:
    • Apache 2.4.63
    • autoconf 2.72
    • BIND 9.20.6
    • binutils 2.44
    • btrfs-progs 6.13
    • dhcpcd 10.20.1
    • diffutils 3.11
    • expat 2.7.0
    • fmt 11.1.3
    • fontconfig 2.16.0
    • glibc 2.41
    • harfbuzz 10.2.0
    • Intel Microcode 20250211
    • jQuery 3.7.1
    • kmod 34
    • libexif 0.6.25
    • libffi 3.4.7
    • libloc 0.9.18
    • libxcrypt 4.4.38
    • libyang 3.7.8
    • Linux Firmware 20250211
    • LVM2 2.03.30
    • Pango 1.56.1
    • PCRE2 10.45
    • SQLite 3.49.1
    • squid 6.13
    • strongSwan 6.0.0
    • tcl 9.0.1
    • tzdata 2025a
    • vim 9.1.1153
    • vnstat 2.13
    • which 2.23
    • wpa_supplicant 2.11
    • xfsprogs 6.13.0
    • zstd 1.5.7
Add-ons
  • Updated packages:
    • aws-cli 1.37.4
    • ddrescue 1.29
    • FLAC 1.4.3
    • gdb 16.1
    • Git 2.48.1
    • HAProxy 3.1.2
    • htop 3.4.0
    • lynis 3.1.3
    • mc 4.8.33
    • monit 5.34.4
    • mpd 0.23.17
    • nfs 2.8.2
    • openvmtools 12.5.0
    • Postfix 3.10.1
    • python3-botocore 1.36.5
    • rpcbind 1.2.7
    • Samba 4.21.4
    • tcpdump 4.99.5
    • tmux 3.5a
    • traceroute 2.1.6
    • tshark 4.4.5

Versienummer 2.29 - Core Update 193
Releasestatus Final
Besturingssystemen Linux
Website IPFire
Download https://www.ipfire.org/downloads/ipfire-2.29-core193
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 10-04-2025 07:30 8

10-04-2025 • 07:30

8

Bron: IPFire

Update-historie

10-04 IPFire 2.29 - Core Update 193 8
12-03 IPFire 2.29 - Core Update 192 2
19-12 IPFire 2.29 - Core Update 190 0
16-10 IPFire 2.29 - Core Update 189 2
17-09 IPFire 2.29 - Core Update 188 4
09-08 IPFire 2.29 - Core Update 187 5
06-'24 IPFire 2.29 - Core Update 186 2
04-'24 IPFire 2.27 - Core Update 185 0
03-'24 IPFire 2.29 - Core Update 184 7
01-'24 IPFire 2.27 - Core Update 182 3
Meer historie

Lees meer

IPFire

geen prijs bekend

Overige software

Reacties (8)

-Moderatie-faq
8
8
8
0
0
0
Wijzig sortering
The Zep Man 10 april 2025 08:27
This way, the primary way to build VPN networks over the internet has become even more secure and ready for 2025 and onwards.
Ondertussen wordt IPv6 nog steeds niet ondersteund.

Voor wie is IPFire interessant? Voor degenen die ooit een systeem opgebouwd hebben met IPCop en dat systeem vandaag nog steeds gebruiken zonder migratie naar iets anders of vervanging voor betere hardware?
Reageer
Raven @The Zep Man10 april 2025 09:00
Niet officieel, maar het is wel werkend te krijgen, althans in de versie die ik jaren terug gebruikte. Helaas is mijn ooit geschreven tutorial (waar meerdere pagina's aan bedankjes achteraan kwamen) ge-devnulled, omdat na een tijdje iemand besloot dat ze niet willen dat er een paar "vage" commando's worden uitgevoerd.

Enige info uit de tutorial (die toen nog ook in zijn geheel op de wiki stond) is terug te vinden op https://web.archive.org/w...rg/en/add-ipv6/ipv6/start
Zie bijv.
- "activate ipv6 at kernel level"
- "configure router announcements for ipv6 SLAAC"
- "ipv6 firewall"
Het opzetten van de HE-tunnel deed ik d.m.v. ip-commando's in /etc/rc.local

[Reactie gewijzigd door Raven op 10 april 2025 09:29]

Reageer
The Zep Man @Raven10 april 2025 09:50
Indrukwekkend, maar dan zou ik eerder een ander product kiezen dat native IPv6 ondersteunt. Juist op een router wil ik niet slecht ondersteunde zaken hebben die kunnen omvallen bij een volgende update.
Reageer
Raven @The Zep Man10 april 2025 09:57
Jup, daarna ook gedaan. Ik zat oorspronkelijk bij pfSense toen er nog een embedded/geheugenkaart-versie was (met de eerste netwerk config via null-modem-kabel :P ), was geloof ik ten tijde van v1.2.nogwat. Nadat die ineens 10.000 DHCP aanvragen in 30 minuten naar de ISP stuurde (die daarop de verbinding afsloot) overgestapt op IPFire (ook vanwege betere ath9k driver). Maar vanwege verschillende beperkingen (niet alleen IPv6, maar ook m.b.t. VLAN) overgestapt op Debian (Wheezy geloof ik) en niet meer terug gekeken :D

[Reactie gewijzigd door Raven op 10 april 2025 10:32]

Reageer
The Zep Man @Raven10 april 2025 11:00
Jup, daarna ook gedaan. Ik zat oorspronkelijk bij pfSense toen er nog een embedded/geheugenkaart-versie was (met de eerste netwerk config via null-modem-kabel :P ),
Je kan OPNsense een kans geven. Voor nu enkel amd64, maar levert ook een embedded image ("nano") dat een seriële verbinding toestaat.

[edit]
Avonturiers kunnen ook aan de slag met onofficiële OPNsense voor aarch64.

[Reactie gewijzigd door The Zep Man op 10 april 2025 11:36]

Reageer
Raven @The Zep Man10 april 2025 11:56
Sinds ik Debian ben gewend als router (inmiddels jaar of 8-9) ga ik niet meer terug naar een router-specifieke distro ;) , nu kan ik tenminste alles doen wat ik wil en voor status informatie via webinterface is er Webmin, al gebruik ik die niet veel. Zit voornamelijk op de console.
Reageer
Bierkameel @The Zep Man10 april 2025 09:05
Ik disable IPv6 altijd op mijn router.
Deze versie toch maar eens een kans geven want ik zie een update van dhcpcd

Bij Odido op VLAN300 kreeg ik geen IP op mijn WAN interface, pas na het aanpassen van de config werkt dat wel, en een router waar je meteen dingen aan moet passen voelt niet echt goed want dan kan het na een update zo maar stuk zijn.


Edit:
Deze nieuwe versie werkt na VLAN300 op de red interface te zetten, ik heb rapid commit wel uitgevinkt tijdens de installatie.

In de vorige versie moest dit worden aangepast in /var/ipfire/dhcpc/dhcpcd.conf:
#clientid → clientid
duid → #duid
option rapid commit → #option rapid commit
timeout 60 → timeout 120

[Reactie gewijzigd door Bierkameel op 10 april 2025 12:30]

Reageer
The Zep Man @Bierkameel10 april 2025 09:48
Ik disable IPv6 altijd op mijn router.
(...)
Bij Odido
Volgens mij ondersteunt Odido geen IPv6, dus dat is sowieso irrelevant voor jouw situatie.

[Reactie gewijzigd door The Zep Man op 10 april 2025 09:49]

Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq