Software-update: pfSense CE 2.8.0

pfSense logoVersie 2.8 van de Community Edition van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewalltaken. Het is verkrijgbaar in de gratis Community Edition en een betaalde Plus-uitvoering, die voorheen als Factory Edition werd aangeboden. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. De releasenotes voor deze uitgave kunnen hieronder worden gevonden.

Upgrade Notes

Warning

Due to major changes in PHP and base OS versions, there is a higher than usual chance that packages will interfere with the upgrade process. To give an upgrade the best possible chance of going smoothly, uninstall all packages before starting the upgrade. Before upgrading, pay particular attention to the Pre-Upgrade Tasks section of the Upgrade Guide. The most crucial points are noted in this post, but the best practice is to follow all of the precautions noted in the Upgrade Guide.

Legacy Serial Consoles

After upgrading, older devices with ISA-based serial console ports may not fully detect their console due to changes in how FreeBSD probes serial ports. Devices may require manual intervention.

Updated Boot Loader

This version requires an updated boot loader, which is automatically handled by the upgrade process for nearly all cases. However, there may be some edge cases where the automatic update does not update the loader currently used by the device. For example, if there are multiple unmirrored disks and the BIOS/EFI Firmware is not booting from the disk containing the updated loader, but an older, unrelated installation on a separate disk. One particular case where this can happen is when there is a previous installation of MMC, which has been followed by an installation to an add-on SSD without clearing the MMC contents.

Low Memory Hardware

Hardware with 1 GiB or less available memory may have issues upgrading depending on which features, services, or packages are running. Tip: For devices running ZFS, see ZFS Tuning for information on reducing ZFS memory usage. For the best chance of success in these cases, temporarily disable any non-critical services before starting the upgrade. Rebooting before attempting the upgrade can also be beneficial.

New Features and Improvements

Automatic Configuration Backup

Automatic Configuration Backup, also called AutoConfigBackup or ACB, is a free service Netgate provides. This feature encrypts backups of the pfSense software configuration and uploads those encrypted backups to Netgate cloud storage servers. This service provides users with a secure and convenient method to create remote backups and restore known-good configurations. In this release, Netgate has rewritten the AutoConfigBackup user interface to make it more secure and efficient, fixed several bugs, and it now includes the ability for users to further enhance security by changing the Device Key.

New PPPoE Driver

This release contains a new PPPoE backend, if_pppoe, which enables a large performance increase over the existing MPD-based implementation. This option is not enabled by default, but users can opt into this new backend with a checkbox at System > Advanced on the Networking tab. In addition to performance gains, users should see a dramatic decrease in CPU usage due to PPPoE throughput. Users who have multi-gigabit PPPoE WAN links can enable this new feature and enjoy much faster WAN speeds. However, the new if_pppoe backend does not support all advanced features of the MPD implementation. For example, it does not support MLPPP.

Kea DHCP Feature Integration

This release contains several Kea DHCP features that bring feature parity with the ISC DHCP daemon. Some features were previously exclusive to pfSense Plus software, some features are new for this release.

  • High Availability in the Kea DHCP daemon. This implementation has several advantages over the older ISC DHCP implementation, including:
    • Supports HA for DHCPv4 and DHCPv6.
    • Simplified HA setup, all in one place on each node for each type.
    • Works in hot standby mode, which is more reliable.
    • Can synchronize lease data over the SYNC interface for security and ease of use.
    • Optionally encrypts lease synchronization data for added protection.
  • DNS Registration of DHCP client hostnames from the Kea DHCP daemon to the Unbound DNS Resolver.
    • Updates DNS records dynamically on-the-fly, updates do not require a resolver restart and are not disruptive.
    • Supports DNS Registration for DHCPv4 and DHCPv6.
    • DNS Registration can be configured in a per-interface or global manner, with the ability to enable or disable specific interfaces as needed.
    • DNS records are not limited to the system domain name. DNS Registration honors the domain name on the DHCP settings for each interface and on static mappings.
    • Keeps DNS records accurate and up-to-date on both high availability peers.
    • Can register static mappings when Kea starts (similar to ISC) or when a static mapping client obtains a lease.
  • DHCPv6 Prefix Delegation.
    • Prefix Delegation settings in Kea use a different format than the ISC DHCPv6 daemon, so Kea cannot use existing settings for Prefix Delegation; settings for Prefix Delegation in Kea must be re-created manually when switching from ISC DHCPv6 to Kea DHCPv6.
    • See DHCPv6 Prefix Delegation in the pfSense software documentation for details.
  • Static ARP Support.
    • This functionality was previously available in ISC DHCP, but is new to Kea.
  • Custom Configuration Support.
    • Enables users to implement Kea features and options not supported in the pfSense software GUI by using JSON configuration snippets.
  • Stability Improvements.
    • This release fixes several bugs in Kea on pfSense software which affected its configuration, stability, and overall operation.
NAT64

This release contains full support for NAT64. NAT64 is a form of NAT that enables clients with only IPv6 addresses to reach remote hosts using IPv4 addresses. NAT64 accomplishes this by mapping IPv4 addresses into a special IPv6 prefix dedicated to this purpose, such as the default NAT64 prefix, 64:ff9b::/96.

NAT64 on pfSense software is implemented across multiple areas, including NAT64 firewall rules, PREF64 in router advertisements, and DNS64 in the DNS Resolver Advanced options. There is a complete walkthrough for implementing NAT64 in the pfSense software documentation.

Gateway Fail-Back

This release includes support for enhanced gateway recovery "fail back" by optionally clearing states from lower tier gateways when a more preferred gateway recovers. This allows the firewall to force connections back to a higher priority gateway when it recovers, which can help in environments when lower priority gateways have significantly lower bandwidth or metered charges.

System Aliases

This release contains new Built-in System Aliases that allow user-created firewall rules to utilize aliases that were previously only usable by internal firewall rules. This feature also contains several new aliases with common collections of reserved and special-purpose networks, so that users do not need to define their own alias on each device for things like private networks or multicast networks.

State Policy

This release changes the default State Policy from Floating to Interface Bound for increased security. However, Interface Bound states may have issues in certain cases with IPsec VTI, Multi-WAN policy routing, as well as with High Availability state synchronization on non-identical hardware. Workarounds are in place to fall back to Floating states in certain cases, such as IPsec/VTI. The default policy can be toggled back to Floating using the State Policy option under System > Advanced on the Firewall & NAT tab. There is also an option to override this behavior on a per-rule basis in the advanced options when editing a firewall rule.

Security Advisories

This release fixes several security issues in pfSense software, including:

System Patches for Previous Versions

Fixes for these security issues are available via the recommended patches function of the System Patches Package for users running pfSense Plus software version 24.11 as well as pfSense CE software version 2.7.2.

Operating System and Base System Component Updates

This release includes additional security fixes for issues in FreeBSD as well as base system component packages. These binary-only fixes are only available by upgrading to a new release.

pfSense

Versienummer 2.8.0
Releasestatus Final
Besturingssystemen BSD
Website Netgate
Download https://www.pfsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

29-05-2025 • 20:00

13

Submitter: Conjurer

Bron: Netgate

Update-historie

Reacties (13)

13
13
4
1
0
9
Wijzig sortering
Waarschuwing. Deze versie heeft een internet verbinding nodig bij een kale installatie.
Zorg dat je de vorige installer hebt voordat je aan de upgrade begint als dit je internetconnectie is.
Bij mij ging de upgrade dus fout. Bootloop. En liep tegen dit probleem aan.

De internet connectie is enkel en alleen om te kijken welke versie er geïnstalleerd gaat worden. de CE of de betaalde\hardware variant.
Goed om te weten! Maar wel rare beslissing om routersoftware afhankelijk te maken van een internetverbinding om te kunnen installeren. Waarom niet gewoon standaard CE en dat je na install de andere versie kan unlocken met een licentie code oid. Of een keuze geven en dat je 3 dagen of zo hebt om de plus versie te activeren, zodat je dit kunt doen nadat de boel draait.
Microkid Frontpage Admin @Z801 juni 2025 12:09
Slechte beslissing. Hoe kan je immers nou een schone pfsense 2.8.0 installeren als diezelfde pfsense verantwoordelijk is voor je internet-connectie? Als je een upgrade doet van 2.7.2 naar 2.8.0 en die gaat fout, mag je opnieuw beginnen vanaf 2.7.2. Niet echt handig. Ik mag hopen dat ze weer een CE versie gaan leveren die je gewoon schoon en fresh kan installeren.
De installeer heeft inderdaad een verbinding nodig, maar je hebt wel de mogelijkheid je configuratie / vlans / PPPoE (meen ik althans) op te geven tijdens de installatie. Op moment dat je die installer gebruikt, installeer je in de regel een vers systeem en moest je dus tóch al je connectie opnieuw instellen (of een config importeren).

Dat gezegd hebbende, inderdaad die installer is een ramp tov de images van voorheen. Ik heb voor een aantal fysieke Netgate units gewoon nog de images, en indien nodig installeren we die en upgraden we vanuit de draaiende pfSense naar de huidige versie. Dat is in de regel nog steeds veel sneller dan die draconische installer. Ik heb onlangs een aantal default configs gemaakt voor uitrollen bij klanten. Hiervoor heb ik verschillende fysieke (van Netgate zelf) appliances gebruikt die ik ter test een aantal keer verkloot heb en met de installer weer een 'factory reset' heb gegeven. Zo'n 1 op de 3 keer gaat de installer mis, meestal op het einde, waarbij het systeem soms wel start na een reboot en je soms gewoon weer helemaal opnieuw kunt beginnen.
Ik ben echt voorstander van pfSense, maar die installer is een ramp.
En de upgrade duurt lang! Bij mij is hij een half uur bezig geweest. Dus geef het even de tijd voordat je hem met de hand uit gaat zetten enzo..
Goed te weten.
Heb nog een 'oude' versie die in een VM draait op een N100 machine maar die bleek een bottleneck te zijn. Nu draait ie weer op een 'losse' machine. Maar de VM heb ik niet weggegooid: je weet maar nooit...

[Reactie gewijzigd door pjflathead op 30 mei 2025 17:38]

Vreemd, heb net twee pfSense VM's geupgaded, die waren beide binnen 5 minuten klaar. Wat ik vaker zie is dat het downloaden van de afzonderlijke update packages traag is, met name het connecten voor elk package naar de repository. Alsog DNS heel traag is of de repository overloaded. Maar hoe dan ook, dat liep nu op beide nodes heel vlot, waarvan eentje slechts 1GB RAM heeft. Vooralsnog geen problemen, tegen de adviezen in heb ik de packages gewoon laten staan en gewoon een upgrade uitgevoerd (had wel een snapshot gemaakt natuurlijk).

[Reactie gewijzigd door Rataplan_ op 2 juni 2025 11:40]

Upgrade klaar binnen 10min als VM op Proxmox. Alle add-on packages zijn netjes geinstalleerd, zonder deze eerst te verwijderen. Snort heeft opstartproblemen, ook na een force-update en een system reboot. (exit code 9). Zowel op Inline als Legacy mode. VM heeft 3GB memory.. moet voldoende zijn..
Motivator om nu eindelijk over te stappen naar Suricata.

Tip: Zorg ervoor dat je DHCP van ISC naar Kea hebt gemigreerd voor je begint aan de upgrade, zoals Netgate tijdig heeft aangegeven. Tot zo ver, tevreden!
ISC naar Kea probeer ik zo lang mogelijk uit te stellen, tijdens de introductie gemigreerd maar hele simpele dingen waren destijds niet mogelijk. (Iets met reservations meen ik mij te herinneren). Dat ze het nu afdwingen vind ik wel vervelend.
Ik was altijd tevreden met pfSense (OPNsense herkende mijn nuc Nic niet) maar twijfel steeds vaker of ik niet moet gaan overstappen naar een andere variant. Betalen is ook nog altijd een optie.
Hi CPM. Heb zelf ook gedacht aan een migratie naar OpnSense, maar de tijd die gaat zitten in de (her)configuratie en wijzigingen, is het eventuele* voordeel voor mij niet waard. Ik heb 3 locaties met VPN gekoppeld. Dynamic routing etc. etc.. Er zitten te veel uren "ontwikkeling" in afgelopen 13 jaar.. :)

"Lawrence Systems" geeft in 1 video op YT zeer goede uitleg waarom hij niet switched. Daar kan ik mijzelf ook goed in vinden.

Sinds de 2.8 upgrade, zijn is Kea weer op het niveau waarop het hoort te zijn, zowel als DNS Forwarder/Resolver. Ik ben zeer happy met pf2.8. WUI veel sneller en na Snort reconfig, geen swap memory meer in gebruik. Ook RAM-disk ingeschakeld, om de levensduur van de SSD te verlengen.

Het blijft hopen dat Netgate de community blijft waarderen, die uit enthousiasme veel kennis met elkaar wisselen op het forum.
Bij mij is het helaas mislukt: Reboot and Select Proper Boot Device 8)7
Na een weekje de kat uit de boom kijken, hier de upgrade uitgevoerd van 2.7.2 > 2.8.0.
Is in een VM (ESXi 8.0, VM met 2 cores - Ryzen 3600 - en 1 GB ram), dus maak altijd een snapshot just in case.
Update ging vrij vlot, meeste tijd zat in de bestanden downloaden (100 Mbit lijn). Alles bij elkaar in een kwartiertje gepiept. Had tegen de best practices in alle packages laten staan (niks bijzonders, o.a. acme, haproxy en mailreport), maar die zijn netjes meegekomen met de upgrade. Ik was al over op Kea DHCP. Ook alle services meteen op na de upgrade.

EDIT op de main router met 1 Gbit lijn was de update in 7 minuten gepiept.

[Reactie gewijzigd door dhrto op 8 juni 2025 09:13]

Vreemd, ik heb 2x een test gedaan. Clean install van 2.7.2 ==> 2.8.0. (VMware vSphere 8.0.2)
Na de upgrade, kon de Webgui niet meer benaderd worden. Ik ga het eens op fysieke hardware proberen.

Op dit item kan niet meer gereageerd worden.