Software-update: OPNsense 25.7.1

OPNsense logo Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars achter OPNsense hebben de eerste update voor versie 25.7 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 25.7.1 released

This update mainly addresses a number of cosmetic UI concerns in core and plugins. 25.7 has been a very good release and we would like to thank everyone for trying it quickly and thoroughly. You people are awesome! <3

Here are the full patch notes:
  • system: add banner to HA sync and firmware page when proxy environment override is used
  • reporting: fixed internal parameter names in insight graphs
  • interfaces: attempt to work around mangled MPD label
  • firewall: a few minor improvements in automation GUI
  • firmware: opnsense-version: support more elaborate -R replacement
  • intrusion detection: fix interface name conversion
  • intrusion detection: fix ja4 option templating
  • openvpn: let server/server_ipv6 require a netmask
  • radvd: refine checks that ignored 6rd and 6to4
  • unbound: fix error in edge case of initial model migration
  • mvc: migrated use of setInternalIsVirtual() to volatile field types
  • mvc: fix getDescription() in NetworkAliasField
  • ui: bootgrid: clean up leftover compatibility bits
  • ui: bootgrid: add missing sortable option
  • ui: bootgrid: provide more styling possibilities from formatters
  • plugins: os-c-icap 1.9
  • plugins: os-dnscrypt-proxy 1.16
  • plugins: os-theme-cicada 1.40
  • plugins: os-theme-tukan 1.30
  • plugins: os-theme-vicuna 1.50
  • ports: curl 8.15.0
  • ports: nss 3.114
  • ports: py-duckdb 1.3.2
  • ports: sudo 1.9.17p2

OPNsense

Versienummer 25.7.1
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

31-07-2025 • 21:14

18

Submitter: biertjuh?

Bron: OPNsense

Update-historie

Reacties (18)

18
18
11
1
0
7
Wijzig sortering

Sorteer op:

Weergave:

Ik wacht altijd even de .1 af bij een major OPNsense release, die volgt vaak vrij gauw. Vandaag was ik aan de beurt dus om vanaf 25.1.12 te updaten. Was even billenknijpen of hij weer up kwam, want de update duurde toch wel bijna 10 min. denk ik dat hij niet te pingen was. De update van 24.x naar 25.x duurde vorige keer ook al wel een paar minuten, maar deze keer nog wat langer dus.

Maar alles in orde gelukkig :) Had van tevoren al een snapshot gemaakt binnen OPNsense voor een evt. rollback dus weinig risico.

[Reactie gewijzigd door ThinkPad op 31 juli 2025 23:34]

Verstandig, ik draai OPNsense in een Proxmox VM, en maak voor elke major update, en erna als ie gelukt is, ook een kopie van de VM, just in case. Gelukkig nog nooit nodig gehad.

Waarom OPNsense in een VM? Vanwege de performance van de PPPoE thread. Die is echt vreselijk traag op een bare metal BSD machine, terwijl de Proxmox Hypervisor die thread wel over meerdere CPU kernen kan verdelen.
Heb je hier documentatie over? Ik heb nog een gevirtualiseerde pfSense firewall draaien op een 4Gbit PPPoE lijn van KPN, die haalt inmiddels de snelheid wel met de nieuwe kernelmode if_pppoe driver van pfSense, maar dat ding heeft last van packet loss.

Verder zo goed als op alle firewalls al overgestapt op OPNsense, zou mooi zijn als deze ook over kan.
https://www.neelc.org/posts/opnsense-pppoe-kvm/ en https://www.neelc.org/posts/multicore-pppoe/

TLDR; OPNsense in een VM draaien en de bridge interface voor het netwerk gebruiken. De pakketten worden dan doorgezet naar de VM en de virtio NIC en dan kunnen de PPoE pakketen wel door alle CPU kernen verwerkt worden.

[Reactie gewijzigd door Adm.Spock op 2 augustus 2025 00:42]

Elk OS kan threads tussen cores verhuizen maar dat levert geen performance multiplier op. Het is en blijft een enkele thread. Dit is een soort heilige graal, moest het werken.
Een heilige graal is het niet, maar de hypervisor sluist de PPPoE pakketten dan zonder verwerking door naar de VM via de virtio bridge NIC, en daarna kunnen de pakketten door alle CPU kernen verwerkt worden, en niet alleen door de eerste CPU kern.


Zie ook mijn reactie op _JGC_ voor een linkje met meer info
Voor de performance van PPPoE op bare metal is een oplossing, hier beschreven:
https://www.bentasker.co.uk/posts/blog/general/opnsense-pfsense-fttp-and-1gbps-pppoe.html

Met het instellen van enkele tunables haal ik rond de maximale snelheid op mijn 1Gb glas verbinding, bare metal op een N100 mini PC.
De single core performance van een N100 lijkt mij toch voldoende om 1gbps zonder tunables aan te kunnen. Ik draai op een Intel 9100T zonder tunables inclusief SqM zonder problemen 1gbps PPPoE
Ik draai OPNsense in Proxmox VM voor andere redenen, ik vind de backup and verplaatsen naar een andere Proxmox host ook heel nuttig (ook als de onderliggende netwerk HW van de host anders is).
Even nieuwschierig ;) Wat heb je nog aan je router VM als je geen connectie maakt met bijv je WAN? Backups en snapshots snap ik. Ik vraag dit omdat ik zelf ook graag proxmox gebruik (zelfs mijn workstation is een vm), maar ervoor heb gekozen om geen clusters te maken omdat ik niet echt van de voordelen van clusters gebruik maak en dan met de nadelen blijf zitten.
Ik draai ook geen cluster, omdat het (te)veel nadelen voor mij heeft. In principe heb ik wel een soort van redundancy voor externe oorzaken zoals provider down, maar als mijn hardware stuk gaat - is het wel iets handmatig wat ik dan moet fixen.

BTW - ik heb ook gekeken naar een redundant OPNsense (2 nodes/VMs), maar dat geeft teveel hoofdpijn voor thuis. Je moet dan een /29 subnet hebben om het "echt" te laten werken (zonder hacks).
Thanks voor je antwoord, je gebruik is vergelijkbaar met dat van mij als ik je zo hoor.
10 minuten? Op hardware? Dat is wel heel erg lang.

Traag doosje? (niet dat opnsense veel nodig heeft)
Heb het niet getimed, maar het was zeker 5+ minuten. Het is een doosje met vrij oude CPU (N3710), wel 8GB RAM en een SSD: ThinkPad in "Zelfbouw project: Firewall / Router / AP"
Dan is het een flinke update, ik heb het op een N4100 draaien, dus dat is vergelijkbare hardware.
Ik minor en major updates gewoon in de nacht met een cronjob, dat doe ik al 8 jaar en eigenlijk nooit issues. Mijn proxmox maakt twee keer per week back-up van de VM dus als er iets fout gaat, kan ik makkelijk terug.

Voor major updates heb ik wel een andere cronjob, die ik alleen aan zet als het nodig is, dan weet ik ook dat die is geweest, mocht het in de ochtend niet werken.
Er is inmiddels ook een 25.7.1_1 hotfix:
https://forum.opnsense.org/index.php?topic=48254.msg243592#msg243592

o ipsec: fix regression in configuration write with introduced volatile fields
Bij mij is de update - nog - niet gelukt; de updater blijft "hangen" op een 17-tal updates en nieuwe bestanden.

Het installeren lijkt goed te gaan, echter gooit de updater deze 17 er net zo hard weer af, als dat ze geinstallerd werden, vreemd genoeg gebeurde het niet bij de minor updates.

25.7.1_1 nog niet geprobeerd, ik krijg 25.7 uberhaupt niet geinstalleerd zoals aangegeven.

Op dit item kan niet meer gereageerd worden.