Software-update: OPNsense 25.1.5

OPNsense logo Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars achter OPNsense hebben de vijfde update voor versie 25.1 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 25.1.5 released

This release improves overall RADIUS support, moves the captive portal from IPFW to PF, creates visibility of external certificate sources in the system and offers a glimpse into the filter automation GUI revamp which could one day replace the remaining static firewall rules edit pages. Speaking of static pages: MVC/API conversions are almost 80% complete now and we would really like to continue that trend. Also brace for impact as we crash-land Dnsmasq DHCP support in a stable release within the next 90 days!

Here are the full patch notes:
  • system: extend XMLRPC "nosync" support to keep backup items for new cases
  • system: improved RADIUS RFC alignment and use Message Authenticator by default
  • system: prevent recursion loop when CAs are cross-referencing each other
  • system: fix URL hash in certificate link so redirection shows the correct menu path
  • system: fix off by one error due to line ending at the end of a log file
  • system: offer config directory to store locations for external certificates and support it in the certificates widget
  • system: allow multiple manual DNS search domains
  • system: fix gateway watcher backoff
  • system: minor code cleanups in auth.inc
  • reporting: move NetFlow backend single_pass to command line parameters for easier debugging
  • reporting: use client time in traffic dashboard widget
  • firewall: automation filter UI revamp
  • firewall: fix presentation when alias name overlaps group name
  • firewall: fix regression in alias table in JSON format
  • firewall: move pipe and queue configuration to "dnctl" service
  • firewall: replace update_params for argparse in filter log reader
  • captive portal: migrate backend from IPFW to PF
  • firmware: ignore dashboard check for updates link automation if user clicks check for updates too
  • firmware: fix reboot flag handling due to changed BooleanField default in 25.1.4
  • firmware: add cleanup audit script
  • ipsec: move mobile clients charon attributes to "Advanced settings"
  • ipsec: pre-shared key permission fix
  • kea-dhcp: add missing ACL privileges
  • kea-dhcp: allow manual configuration for advanced scenarios
  • openvpn: add "Enable static challenge (OTP)" option in client export
  • openvpn: display virtual IPv6 addresses for clients in dashboard widget (contributed by cs-1 and lucaspalomodevelop)
  • router advertisements: fix list of source addresses on overlapping link-locals (contributed by Robin Müller)
  • unbound: drop "exclude" phrase from plugin log entry
  • unbound: add optional TTL field
  • mvc: prefer ui/user_portal above system_usermanager_passwordmg.php in ACLs
  • mvc: implement "ignore" field type in forms
  • ui: include "all" instead of only "solid" and "brands" Font Awesome styles
  • ui: ensure fields stay aligned relatively to another when headers are used in forms
  • ui: add fetch_options() which can build grouped selectpickers
  • ui: improve and extend Bootgrid behaviour
  • plugins: os-caddy 1.8.5
  • plugins: os-sftp-backup 1.1 adds hostname prefix and filedrop-only support (contributed by beposec)
  • src: ifconfig: fix reporting optics on most 100g interfaces
  • src: igc: fix attach for I226-K and LMVP devices
  • src: inpcb: assorted changes for upcoming FIB support
  • src: ipfw: fix dump_soptcodes() handler
  • src: ixgbe: add support for 1000BASE-BX SFP modules
  • src: ixgbe: fix mailbox ack handling
  • src: netinet6: add the missing lock acquire to nd6_get_llentry
  • src: netinet: fix getcred sysctl handlers to do nothing if no input is given
  • src: netinet: if mb_unmapped_to_ext() failed, return directly
  • src: netlink: fix getting route scope of interface IPv4 addresses
  • src: ovpn: fix use-after-free of mbuf
  • src: pf: improve pf_state_key_attach() error handling
  • src: pf: only force state failure logging if logging was requested
  • src: pfkey2: use correct value for a key length
  • src: routing: do not allow PINNED routes to be overriden
  • src: sctp: fix double unlock in case adding a remote address fails
  • src: tcp: clear sendfile logging struct
  • src: udp: do not recursively enter net epoch
  • src: wg: remove overly-restrictive address family check
  • ports: lighttpd 1.4.79
  • ports: openvpn 2.6.14
  • ports: phalcon 5.9.2
  • ports: py-duckdb 1.2.2

OPNsense

Versienummer 25.1.5
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

10-04-2025 • 18:00

10

Submitter: TheCeet

Bron: OPNsense

Reacties (10)

10
10
2
0
0
8
Wijzig sortering
Also brace for impact as we crash-land Dnsmasq DHCP support in a stable release within the next 90 days!
Hoewel fan van OPNSense word ik hier toch echt moedeloos van.

Eerst gaat OPNSense van DNSMasq als default DNS 'forwarder' naar Unbound. Vervolgens gaan ze roepen dat je van ISC DHCP moet afstappen ten faveure van KeaDHCP. IPv6 zit er nog wel niet in, maar het is toch belangrijk om de stap al te maken hoor!

En dan gaat het mis. "Oeps Kea was toch niet zo'n goede keuze en ISC is te oud" en nu "Maar we gaan DHCP doen in DNSMasq"
Ja dat zijn zeker geen handige keuzes. Maar het blijft een heerlijke firewall.
Ik heb DHCP en DNS deels losgetrokken en draait op een Pi-hole, daar gebruik ik ook Unbound als DNS forwarder. Scheiden van functionaliteit kan soms handig zijn zodat niet meteen alles als een kaartenhuis instort bij een verstoring.
Ik vind het juist wel een mooie aanpak. Ze kwamen erachter bij het implementeren dat KEA helemaal niet zover is/ makkelijk is als ze van te voren gedacht hebben. Dus in plaats van een halfbakken oplossing verder te promoten proberen ze een andere aanpak.
ISC is al jaren dood, dus ze moesten iets nieuws proberen. KEA van dezelfde makers leek de uitkomst, maar was het blijkbaar niet.
Ik snap de tijdslijn wel en de afwegingen. Neemt niet weg dat je 2 applicaties hebt waarvan je tegen de gebruikers gezegd hebt "stap over" en nu we een tijd verder zijn wordt 1 van die oude applicaties weer uit de kast getrokken alszijnde "de oplossing".

En van de redenen om af te stappen van die "de oplossing", daar blijft nu ook ineens niks meer over? Volgens mij werkt dat dus zo niet. M.a.w. er gaat ergens in de toekomst weer een volgende stap komen naar iets compleet anders - want mensen gaan tegen de beperkingen van DNSMasq aanlopen.

Het gedoe met KEA/Unbound is alweer even bezig - ik had verwacht/gehoopt dat er nu wel een duidelijkere, definitieve, oplossingsrichting in zicht zou zijn gekomen. Dit met DNSMasq is enkel pleistertje plakken.
Ai, ook alweer meteen een noodpatch uit moeten brengen 25.1.5_1

Ipsec: fix auth server parsing regression

Edit:

25.1.5_4 is inmiddels beschikbaar.
Lijkt me toch wel een dingetje worden om binnen een dag met meerdere patches te moeten komen.

[Reactie gewijzigd door xxs op 11 april 2025 13:38]

Is inderdaad een dingetje, maar je hebt de commerciele versie om dit te voorkomen als je hier geen zin in hebt. Die heeft een andere release-kalender en wij gebruikers van de gratis versie fungeren natuurlijk ook als bugtesters voor de commerciele tak. Kan ik thuis prima mee leven en zakelijk zou ik 'm sowieso met support willen kopen dus dan heb ik ook meteen een beter geteste versie.
Die snap ik ook wel, ik kan er prima mee leven en heb snapshots en backups dus voor mij geen ramp. Maar het moet wel betrouwbaar blijven.
Een groot deel van het internet gaf een certificaat error na deze upgrade.

Bij mij was deze patch noodzakelijk: https://forum.opnsense.org/index.php?topic=46775.0

Daarna werkte alles weer als een zonnetje...

edit: Zit inmiddels in de nieuwe hotfix: 25.1.5_4

[Reactie gewijzigd door ta_chi79 op 11 april 2025 14:34]

Was vanmorgen bij mij thuis wel even leuk. De web-GUI verdween ineens onterecht achter de captive portal die ik al een tijdje niet meer actief heb staan. Ik heb echt even in de backup van mijn config moeten grutten om de firewall-rules eruit te slopen die dit veroorzaakten. Factory reset, aangepaste config inspoelen, patch naar 25.1.5_4 erover, en mijn oorspronkelijke backup daar weer overheen. Was niet helemaal gepland zo.

Op dit item kan niet meer gereageerd worden.