Software-update: OPNsense 25.1.6

OPNsense logo Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars achter OPNsense hebben de zesde update voor versie 25.1 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 25.1.6 released

After some back and forth today we are rolling back a console default change done in FreeBSD 14.2 that we do not think is necessary at this particular point in time. The bridge configuration code was also refactored to introduce it to MVC/API in an upcoming stable release. A few more problems with the new captive portal backend have also been addressed in order to make it match the behaviour of the previous one. It is now possible to disable the automatic rules to further refine the desired captive portal behaviour.

Last but not least: Kea DHCPv6 is here. And with it full DHCP and router advertisement support in Dnsmasq to bridge the gap for ISC users who do not need or want Kea. We are going to make Dnsmasq DHCP the default in new installations starting with 25.7, too. ISC DHCP will still be around as a core component in 25.7 but likely moves to plugins for 26.1 next year.

Here are the full patch notes:
  • system: kill gateways states for failback scenario when a higher priority gateway goes back online
  • system: update to latest tzdata content for time zones and ISO 3166 definitions
  • system: clean up a number of unused functions
  • system: refactor a VIP access in auth.inc
  • system: add field "boottime" to api/system/systemTime (contributed by eopo)
  • reporting: replace insights totals chart with ChartJS variant
  • reporting: minor style fixes and cleanups in health graphs
  • interfaces: refactor bridge configuration backend
  • interfaces: refactor wireless device assignment
  • interfaces: allow literal comma by escape sequence in DHCP advanced option modifiers
  • interfaces: fix refresh button in ARP page
  • interfaces: fix "(de)select all" button in packet capture
  • interfaces: rename ip_in_subnet() to reflect it is only for IPv4
  • interfaces: remove unused get_vip_descr()
  • firewall: prevent source/destination inversion when multiple nets are selected
  • firewall: support comma separated alias targets in refactor() call
  • firewall: added multi-select for ICMP type
  • firewall: update user agent in alias URL fetch
  • captive portal: fix display issue for pass rule when client not in zone
  • captive portal: allow disabling automatic firewall rules
  • captive portal: exclude portal table in destination
  • dnsmasq: add full DHCP/RA support
  • intrusion detection: fix a log reader regression in the alert view
  • ipsec: copy "Split DNS name" to undocumented "25" option
  • ipsec: fix more ACLs related to individual IPsec page use
  • ipsec: add DH Group 2 for basic Azure VPN gateway compatibility
  • ipsec: fix trimming NULL values
  • isc-dhcp: use "lease_type" to key lease map in addition to "iaid_duid" (contributed by Alex Goodkind)
  • isc-dhcp: fix invalid FQDN generation from DHCPv4 static map domains (contributed by Steven Zimmermann)
  • kea-dhcp: add DHCPv6 support
  • openvpn: simplify the VIP handling in legacy pages
  • backend: support "errors:no" clause on actions
  • mvc: allow referencing disabled interfaces in LinkAddressField
  • mvc: fix scoping issue in CertificatesField
  • plugins: os-ndproxy 1.1
  • plugnis: os-squid 1.2
  • plugins: os-theme-rebellion 1.9.3 (contributed by Team Rebellion)
  • plugins: os-turnserver 1.0 (contributed by Frank Wall)
  • src: caroot: update the root bundle
  • src: openssl: import OpenSSL 3.0.16
  • src: daemon: stop rebuilding the kqueue every restart of the child
  • src: contrib/expat: update libexpat from 2.6.0 to 2.7.1
  • src: contrib/tzdata: import tzdata 2025b
  • src: pfctl: fix faulty rule anchor counter print
  • src: pfctl: fix recursive printing of NAT rules
  • src: pf: Use a macro to get the hash row in pf_find_state_byid()
  • src: netinet6: work around synchronization issue in dying netgraph device
  • src: wg: Improve wg_peer_alloc() to simplify the calling
  • src: bnxt_en: Retrieve maximum of 128 APP TLVs
  • src: Revert "amd64 GENERIC: Switch uart hints from isa to acpi"
  • ports: curl 8.13.0
  • ports: expat 2.7.1
  • ports: kea 2.6.2
  • ports: monit 5.35.1
  • ports: nss 3.110
  • ports: openssh 10.0p1
  • ports: php 8.3.20
  • ports: phalcon 5.9.3
  • ports: python 3.11.12
  • ports: unbound 1.23.0

OPNsense

Versienummer 25.1.6
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

09-05-2025 • 09:00

16

Submitter: TheCeet

Bron: OPNsense

Reacties (16)

16
16
16
1
0
0
Wijzig sortering
Ik kan dat hele DHCP gedoe niet meer volgen hoor. Ik heb niets veranderd hierom, zit nog gewoon met ISC DHCP. Maar wat ik er nu uit denk te begijpen is dat we niet van ISC naar Kea gaan, maar naar DNSMasq DHCP als standaard, wat betekend dat dan voor Unbound (die ik ook gebruik), of zit daar geen relatie tussen?
Ik ben van ISC naar Kea overgegaan, geen probleem.
Als je online zoekt vindt je migratie tools voor je reservations (indien nodig).
Ik was al over van ISC naar KEA een paar maanden geleden omdat het de default DHCP server van OPNsense zou gaan worden. Toen werd dat herroepen en ben ik terug naar ISC.
Nu wordt de default dnsmasq.

Minder doordachte wijzigingen als je het mij vraagt voor een verder prima firewall.
Ik heb er hier laatst ook al een opmerking over gemaakt.

Wat ik een beetje begrijp is

- "We stoppen met ISC want het wordt niet meer ondersteund'. Begrijpelijk.
- "We gaan naar KEA want dat is de natuurlijke opvolger van ISC, alleen we ondersteunen nog niet alles, o.a. IPv6. Maar ondertussen is ISC al wel deprecated." Beetje onbegrijpelijk IMHO
- "KEA is toch niet zo fijn. We stoppen even met het verder ondersteunen. Eigenlijk geen idee wat we nu gaan doen." Pardon?!
- "We denken dat we wat met DNSMasq gaan doen". Huh? DNSMasq is niet je preferred DNS oplossing, dat is Unbound. Bovendien: weet eerst maar eens zeker wat je wilt.
- "We hebben toch nog wat lopen sleutelen aan KEA, dus IPv6 werkt nu. Maar het gaat uiteindelijk niet onze keuze worden, dat wordt DNSMasq". OK - hoe zeker is dit? Bovendien: hoe zit het nu tussen DNSMasq en Unbound; ik heb bewust voor Unbound gekozen...

Elke afzonderlijke stap is misschien wel te begrijpen, maar het totaal is bijzonder knullig, en ik heb ook niet het gevoel dat DNSMasq de ideale oplossing hiervoor is. En dat er daar dus in de toekomst ook weer wijzigingen in gaan komen...
Tsja, de vraag is of de huidige manier van agile werken wel goed wordt ingezet. Ze proberen, communiceren en leren van de feedback. Prima voor thuis, niet voor je werk. Misschien hadden ze kea als beta functie erin moeten hebben totdat ze zeker wisten dat het ook in een enterprise gebruikt kon worden. Misschien zouden ze een stable/lts en een testing train moeten introduceren.
Er is een commerciele versie met een andere release-tijdlijn en support. Voor je werk zou ik die nemen.
Eens.

Ik draai overigens mijn DNS via een pihole die unbound doet (en nog een klein stukje DHCP zoals het netwerk booten van wat Pi’s)

Soms is het handiger om wat functionaliteiten te scheiden over meerdere systemen.
Nou, over de change van ISC naar Kea, ik weet niet. Als ik de tekst juist interpreteer, dan staat er: We doen nu Kea, hiep hiep. Maar als jij Kea niet wilt, dan is er altijd nog dnsmasq. En dnsmasq maken we standaard. En ISC is niet weg, het wordt een module. Dus meer keuze.
Ik begrijp dit wel. DNSMasq is supersimpel, hop, dhcp server, geen fratsen.
Kea is voor als je alle mogelijke fratsen wilt die je kan verzinnen.
ISC is wat ouderwetser, en beslist niet slecht. Het is alleen iets meer werk om aan te steken.

En Unbound is een DNS-resolver/cacher/recursor, dat staat hier los van. Deze pakketje gaat voor jouw op internet zoeken welk IP bij een domain hoort (zegmaar 8.8.8.8 en 1.1.1.1 en wat al niet tegenwoordig)

Edit:
Jij gebruikt nu ISC. Dat kan je, zoals ik het lees, gewoon blijven doen. Als jouw speciale dingen binnen de grenzen van dnsmasq blijven kan je overwegen dat te gaan gebruiken.

[Reactie gewijzigd door Heidistein op 9 mei 2025 09:48]

Kea is voor als je alle mogelijke fratsen wilt die je kan verzinnen.
Ik wil Raspberry Pi's booten via een netwerk. Dat kan niet via Kea op OPNsense omdat custom DHCP attributes niet ondersteund worden. Via ISC wordt dit wel ondersteund.

[Reactie gewijzigd door The Zep Man op 9 mei 2025 11:33]

Gek, ik zie het ja. Ik ken Kea alleen buiten OPNSense om. Ik zie in de handleiding dat je wel je kea handmatig mag configureren. Maarr dat verslaat het doel weer van de gui natuurlijk.
Voor de thuis, ik netboot wat PI's met wat dnsmasq geneuzel.

https://docs.opnsense.org/manual/dhcp.html
Natuurlijk werkt het handmatig. Mijn reactie is dan ook geen sneer naar Kea. ;) Wel is het een teken dat de DHCP-situatie in OPNsense nog wat fragiel is. Zie bijvoorbeeld ook dat DHCPv6 niet via Kea op OPNsense ondersteund wordt. Dat is natuurlijk niet strikt noodzakelijk, zeker niet voor omgevingen die enkel SLAAC nodig hebben (wat buiten Kea om gaat).

DHCP is geen raketwetenschap. Dat ISC sinds 2022 niet meer verder ontwikkeld wordt zie ik dan niet als heel groot minpunt. Ik blijf daarom voorlopig nog even met OPNsense op ISC en stap ergens in de toekomst wel eens over. :)

[Reactie gewijzigd door The Zep Man op 9 mei 2025 11:40]

Sinds deze update bestaat "Services: Kea DHCP: Kea DHCPv6".
Oh, nice! Dat zag ik nog niet in de documentatie, waardoor ik verkeerd aannam dat het nog niet in OPNsense zit.

[Reactie gewijzigd door The Zep Man op 9 mei 2025 13:21]

Hier een beetje dezelfde vraag.

Wat ik zojuist lees is dat het ISC (de organisatie) al in 2022 de ISC DHCP server end of life heeft verklaart en overstapt op het product Kea.

https://www.isc.org/kea/

Alles van ISC is alleen dhcp.

Dan is er nog dnsmasq, dat niet alleen dhcp doet, maar ook een dns forwarder is.

Wikipedia: dnsmasq

Kea is meer geschikt voor grote netwerken, dnsmasq voor kleinere. Dat zou bij mij thuis dus prima zijn.

Omdat Dnsmasq alleen een dna forwarder is zou ik zeggen dat die naar unbound kan verbinden, maar ook dat je zonder moet kunnen, en dus alleen de dhcp van Dnsmasq gebruikt. Ik weet niet wat er in opmsemse out of the box kan.

Verder lees ik in deze release notes dat opmaemse afstapt van isc dhcp, maar dat die voorlopig nog als plugin beschikbaar blijft. Standaard wordt er straks dnsmasq gebruikt, maar gebruikers hebben de optie om Kea te gaan gebruiken. Dat lijkt me logisch, in grote netwerken zitten specialisten die dat prima zelf kunnen inrichten.

Blijft dus de enige vraag of straks mijn isc dhcp met inbound na een upgrade automatisch overgaat naar dnsmasq en unbound, of dat ik daar iets voor moet doen.

Edit:

https://docs.opnsense.org/manual/dhcp.html

Daar zal het wel te vinden zijn :)

[Reactie gewijzigd door SVMartin op 9 mei 2025 10:00]

Ik gebruik nu nog steeds ISC, maar zou eigenlijk wel eens moeten overstappen naar iets wat wel actief ondersteund wordt :)

Even gekeken naar dnsmasq, maar zie ik iets simpels over het hoofd, of kan je geen alternatieve DNS servers instellen per DHCP scope? Of moet dit als DHCP Option?
Als systeem DNS gebruik ik publieke DNS servers, mijn LAN heeft 2x PiHole, Guest netwerk weer publieke DNS en mijn domotica netwerk de firewall zelf als DNS.
Ik zou graag updaten naar de ena laatste versie. Dat schijnt te kunnen door de mirror link aan te passen. Zijn mensen hier die daar een voorbeeld van hebben?

https://mirror.sfo12.us.l...amd64/25.1/MINT/25.1.5_5/

[Reactie gewijzigd door wuppie007 op 9 mei 2025 13:23]


Om te kunnen reageren moet je ingelogd zijn