Software-update: OPNsense 26.7

OPNsense logo Het pakket OPNsense is een firewall met uitgebreide mogelijkheden. Het is gebaseerd op het besturingssysteem FreeBSD en is oorspronkelijk een fork van m0n0wall en pfSense. Het pakket kan volledig via een webinterface worden ingesteld en heeft onder andere ondersteuning voor mfa, OpenVPN, IPsec, CARP en captive portal. Daarnaast kan het packetfiltering toepassen en beschikt het over een traffic shaper. De ontwikkelaars achter OPNsense hebben versie 26.7 uitgebracht en de releasenotes voor die uitgave kunnen hieronder worden gevonden.

OPNsense 26.71 released

For over 11 a half years now, OPNsense is driving innovation through modularising and hardening the open source firewall, with simple and reliable firmware upgrades, multi-language support, fast adoption of upstream software updates, modern IPv6 support, as well as clear and stable 2-Clause BSD licensing.

26.7, nicknamed "Xenial Xenops", features interface assignments and gateway groups via MVC/API, firewall rules now defaulting to MVC/API, outbound NAT to source NAT migration assistant, captive portal IPv6 support, Kea DDNS/custom options/dynamic prefix delegation, FreeBSD 15.1, OpenVPN 2.7, PHP 8.5, Python 3.13, plus much more.

The upgrade path for 26.1 will likely be unlocked later today. We want to ensure the upgrade goes as smoothly as possible so please be patient! :)

Here are the full patch notes:
  • system: remove periodic backups settings and backend code
  • system: migrate gateway groups to MVC/API
  • system: new service widget flat tile layout (partially contributed by Konstantinos Spartalis)
  • system: make LDAP auth adhere to bad login penalty as well (contributed by Matt Andreko)
  • system: move ldap_escape() to caller for now to avoid side effects
  • system: improve the log_archive script to also work on log subdirectories
  • system: change our version of "certctl" to emit files instead of links like it is the case in FreeBSD 15.1
  • system: include interfaces widget in dashboard default
  • system: adjust dashboard widget resize logic to observe border box instead of content box
  • reporting: migrate several settings pages to MVC/API and assorted changes
  • reporting: do not show disabled interfaces in traffic graphs (contributed by Konstantinos Spartalis)
  • interfaces: migrate interface assignments to MVC/API
  • interfaces: fix faulty netmask on loopback address due to upstream change
  • firmware: remove overzealous cleansing in output_cmd to unhide individual character progress
  • firewall: move config.xml default LAN allow rules to new rules GUI
  • firewall: legacy rules pages move to plugin
  • firewall: restrict automatic DHCPv6 filter rules to plugin/track6 use
  • firewall: always set a sequence at the end of the rule set when cloning a NAT rule
  • firewall: remove unused "safepoint" actions
  • firewall: fix automatic source NAT rules not displayed for PPPoE interfaces
  • firewall: flatten automatic source NAT rules into two per WAN type interface
  • firewall: prevent deletion if a group is referenced in MVC rules
  • firewall: constraint source NAT getAction() to only general page and align setAction() accordingly
  • firewall: use proper path for one-to-one NAT rules for renaming operations
  • firewall: avoid emitting reply-to on block rules as well
  • firewall: change interface group render/apply order
  • firewall: adjust MVC alias rename according to address_to_pconfig()
  • firewall: adapt getAdvancedIds() to the sectioned form structure
  • firewall: invalidate rule stats cache for firewall utilities API endpoint
  • captive portal: move template actions out of the ServiceController into its own TemplateController
  • captive portal: adjust accounting interval to Acct-Interim-Interval
  • dnsmasq: possible use before define in lease watcher
  • intrusion detection: rename "uncategorized" rule package to "adult" (contributed by Konstantinos Spartalis)
  • monit: fix mail-format and poll-time validation
  • unbound: missing NetMaskAllowed=N on override address
  • wireguard: add allowed-ips to reresolve-dns.py in case none are set yet
  • acl: merge user management ACLs into one single privilege
  • backend: allow "strict" mode +TARGETS using the preamble "!"
  • backend: swap "strict" template logic as it was reversed
  • mvc: refactor base_dialog and parseFormNode() to simplify the template
  • mvc: remove unused argument from getFormGrid()
  • mvc: BaseField: emit descriptions in getNodes() when they are not the same as the value to match getNodeContent()
  • mvc: PortField: reject whitespaces in port ranges during validation
  • mvc: ModelRelationField: remove grouped option handling
  • mvc: add file type to forms
  • ui: add "opnsense-auto" theme which switches between "opnsense" and "opnsense-dark" depending on browser setting
  • ui: decrease flashing in opnsense-auto theme when switching (contributed by Konstantinos Spartalis)
  • ui: remove direct apply_btn_id usage in favour of base_apply_button template partial
  • ui: fix menu registration not setting "active"
  • plugins: os-firewall-legacy 1.0 contains the static PHP firewall rules pages
  • plugins: os-ndproxy has been removed, use os-ndp-proxy-go instead
  • src: FreeBSD 15.1-RELEASE-p1 plus assorted stable/15 networking commits
  • src: pf: do not mangle IP header before shared forwarding
  • src: pf: stop resolving hosts via DNS that use ":" modifier
  • src: pf: clear anchor after stepping into it in pf_match_translation_rule()
  • src: pf: pf_route() "dst" no longer holds the gateway in 15.x
  • ports: libevent 2.1.13
  • ports: lighttpd 1.4.85
  • ports: openvpn 2.7.5
  • ports: sqlite 3.53.3
  • ports: suricata 8.0.6
Migration notes, known issues and limitations:
  • The privileges "page-system-groupmanager" and "page-system-usermanager-addprivs" were merged into "page-system-groupmanager" and are no longer available separately. This was done to avoid the misconception that access to a user management page gives constrained rights to each page, but that is not the case. User management is a process involving all 3 pages.
  • The static PHP pages for firewall rule management have been moved to the "os-firewall-legacy" plugin which can be manually installed before or after the upgrade. All rules will continue to work regardless of the plugin being installed or not and are easily migrated using the given assistant.
  • Hyper-V guests may be producing panics on certain hosts with more than one virtual processor assigned. Make sure to snapshot beforehand and stay on 26.1.x until the situation is clear.
  • Since this is a major OS upgrade and OpenSSL changes from 3.0 to 3.5 third party repositories may interfere with your upgrade experience. Removing offending repositories and plugins may help; or wait for affirmation from the respective repository owners.

OPNsense

Versienummer 26.7
Releasestatus Final
Besturingssystemen BSD
Website OPNsense
Download https://opnsense.org/download
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

15-07-2026 • 14:45

9

Submitter: Ybox

Bron: OPNsense

Update-historie

Reacties (9)

Sorteer op:

Weergave:

Ik gebruik dit al een jaar of 7-8 op dedicated hardware, en upgrade na upgrade verloopt vlekkeloos. Nu ik de hardware ga vervangen, lees ik wel eens dat sommigen OpnSense in een virtual machine of container draaien... Is dat de "nieuwe" manier om je [Homelab/Thuisnetwerk] op te zetten, of laat ik mij misleiden door artikels die een test-opstelling bespreken? Het lijkt mij veiliger om na je modem een baremetal toestel te zetten dat niet anders doet dan routing/NAT/gateway, met eventueel enkele services zoals DHCP en NTP, met daarachter dan 1 of meerdere andere toestellen die alle services in VMs of containers draaien, neen?
Nadeel van het draaien in bijvoorbeeld proxmox is dat wanneer je je proxmox host gaat updaten je hele netwerk plat gaat.
Proxmox cluster maken. Kun je je netwerk VM's (live) migreren naar een andere node bij een host update/reboot. Los daarvan is eigenlijk alleen een kernel update nog een reden om te rebooten en dat duurt ook maar een minuut ofzo.

Bijkomend voordeel; mocht er een update (OPNsense...) fout gaan kun je in no time een backup van je VM terugzetten en je bent weer online. Doe dat maar eens bare metal. ;-)

[Reactie gewijzigd door d3vlin op 15 juli 2026 15:15]

mocht er een update (OPNsense...) fout gaan kun je in no time een backup van je VM terugzetten en je bent weer online. Doe dat maar eens bare metal. ;-)
Ik ben verre van een expert, maar ik draai mijn OPNsense op een "chinese" mini PC ding met N100 CPU en 5x 2.5Gbps LAN als router,

voor een update doe ik gewoon een extra ZFS snapshot, (ingebouwd in OPNsense) is al ooit 1x foutgelopen (Adguard Home werkte niet meer en geen zin om van 0 op te zetten) , gewoon even snapshot terug er op en was ook binnen de 40seconden terug op mijn vorige versie.

Ik zet ook voor elke grote versie upgrade even een volledige backup naar mijn server zodat als het compleet fout loopt ik wel ook terug van 0 kan beginnen en een backup heb.
Ik heb dat ook overwogen, maar uiteindelijk besloten dat ik de vrijheid wil houden om onderhoud aan servers te kunnen doen zonder dat de rest van mijn netwerk er last van heeft. Ook als zo'n cluster eens helemaal offline is. Dus moet mijn gateway/firewall zo min mogelijk afhankelijk zijn van dingen.

[Reactie gewijzigd door Sfynx op 15 juli 2026 17:05]

Het lijkt mij veiliger om na je modem een baremetal toestel te zetten dat niet anders doet dan routing/NAT/gateway, met eventueel enkele services zoals DHCP en NTP, met daarachter dan 1 of meerdere andere toestellen die alle services in VMs of containers draaien, neen?
Mits goed geconfigureerd zal de grootste invloed op beveiliging beschikbaarheid zijn. Upgrade je hypervisor en je router valt tijdelijk uit. Upgrade faalt en VM komt niet meer online? Geen internet meer. Gebaseerd op de samenstelling van het huishouden kan dit verschillend ervaren worden, van enkel een leermoment tot het einde van de wereld.

Zelf draai ik OPNsense baremetal op een mini-PC in een meterkast, vlakbij de glasvezelaansluiting en een (OpenWRT) managed switch die andere delen van de woning verbindt. De serieuzere servers draai ik elders. Zo blijven het netwerk en de internetverbinding online als ik enkel met servers bezig ben.

[Reactie gewijzigd door The Zep Man op 15 juli 2026 15:54]

Ik heb OPNsense een ruime tijd op Proxmox gedraaid, maar toen ik mijn netwerk steeds meer onderverdeelde in segmenten werd dit steeds minder praktisch (vooral met updates/reboots). Daarom draai ik OPNsense nu op een dedicated (mini) Pc.
Mijn advies, tenzij je een cluster proxmox hebt (ne daar zijn ook nog segragation probleem bij waar je rekening mee moet houden), dan zou ik altijd voor dedicated gaan.

Clustered Proxmox zou kunnen maar dan moet je virtualized bridges gebruiken, wat meest logische is, maar dit betekent wel dat je vlan of liefst een dedicated WAN nic(s) in je cluster moet gebruiken om zo je failover te maken zodat als je werk doet aan je proxmox host je netwerk up blijft. Ander ding is als je vlans gaat gebruiken en je trunkt het, dat je een risico neemt wat vlan hopping heet. Daarom zie je vaak dat als mensen virtualized aanbevelen, om een fysieke nic in passthrough mode zet. Zodat je WAN poort geisoleerd blijft in de VM.

Heel eerlijk de vraag is of de complexiteit dan meerwaarde heeft tov dedicated hardware. Ik heb beide gedaan (in proxmox cluster en in een enkele proxmox host) en de overhead was het mij iig niet waard.
ui: add "opnsense-auto" theme which switches between "opnsense" and "opnsense-dark" depending on browser setting
Nice! Ik wist wel dat dark mode erin zat, maar overdag hoeft dat van mij niet perse. Dit is wel handig.

Het zou fijn zijn als de webinterface wat sneller zou worden. Heb OPNsense al een aantal jaren naar volle tevredenheid in gebruik, maar die webinterface vind ik soms best wel traag. Ik draai het bare metal en mijn machine is geen snelheidswonder (N3710), maar ik heb er wel een SSD en meer dan genoeg RAM in zitten.

Om te kunnen reageren moet je ingelogd zijn