21.7.3 released

tiermutter

Well-known member
Kürzlich ist Version 21.7.3 erschienen... sehr interessant ist tls-crypt support für OpenVPN, was in dieser Version aber fehlerhaft ist, daher ist nachfolgender Patch erforderlich:
Code:
# opnsense-patch 98e6d76d

Hier die Release Notes:
o system: allow automatic user creation on LDAP-based logins
o interfaces: add and use unified function is_interface_assigned() to prevent deleting assigned interfaces
o interfaces: sync firewall groups after internal create/destroy operations
o interfaces: add netstat tree search and improve page layout
o interfaces: replace opportunistic diagnostics IP address lookups with more robust variants
o firewall: clarify match/set priority in rules
o firewall: improve alias description/preview
o firewall: aliases maximum entries progress bar
o dhcp: add shared dhcpd_leases() reader and use it in both lease pages
o openvpn: use is_interface_assigned() to prevent deletion of assigned instances
o openvpn: CARP status read cleanups (contributed by vnxme)
o openvpn: tls-crypt support (contributed by vnxme)
o openvpn: do not create empty router file
o router advertisements: remove AdvRDNSSLifetime / AdvDNSSLLifetime bounds (contributed by Maurice Walker)
o unbound: register DHCP leases with their matching IP range configured DHCP domain
o plugins: os-acme-client 3.1[1]
o plugins: os-chrony 1.4[2]
o plugins: os-collectd 1.4[3]
o plugins: os-fetchmail 1.1[4]
o plugins: os-freeradius 1.9.16[5]
o plugins: os-realtek-re 1.0 adds Realtek vendor NIC driver module
o plugins: os-telegraf 1.12.1[6]
o ports: dnsmasq 2.86[7]
o ports: filterlog 0.5 removes unused IPv6 options support
o ports: nss 3.70[8]
o ports: pcre 8.45[9]
o ports: python 3.8.12[10]
o ports: sudo 1.9.8p1[11]
o ports: suricata 6.0.3[12]
o ports: syslog-ng 3.34.1[13]
 

rednag

Well-known member
Kann man bei OPNsense so einfach irgendwas nachinstallieren?
Bei mir wird VPN auf der Sophos terminiert.
Wollte mir aber OPNsense sowieso nochmal in einer VM angucken. Die letzten Versuche waren 2020 und da hat mir auch ein wenig die Sinnhaftigkeit gefehlt.
2 Firewalls für @Home kann man machen, finde ich aber übertrieben.
 

blurrrr

Well-known member
Kann man bei OPNsense so einfach irgendwas nachinstallieren?
Du kannst eine Auswahl von Plugins/Addons, welche Du nachinstallieren kannst. Gilt sowohl für die pfsense, als auch für die opnsense.

EDIT: Firewalls hast Du dann schon mindestens "3" (Router-Firewall, Hardware-Firewall, Client-Firewall) 😜 2-stufige Firewall-Konzepte sind in bestimmten Konstellationen schon sinnvoll, allerdings gehen die meisten dann hin und nehmen direkt verschiedene Hersteller (nicht, dass ein Hersteller ein Sicherheitsproblem hat und damit direkt beide Firewalls umgangen werden können).
 

rednag

Well-known member
Wieder einen auf "Klug" machen?
Firewall auf dem Router zählt bei mir nicht.
Bei der Fritzbox gibts da nämlich keine selbstdefinierten Regeln. Also nichts wo ich als User eingreifen/verändern kann.
Und wenn ich mich auf die Firewall von Windows verlassen muß....Ne danke. :)
 

tiermutter

Well-known member
Es ist der hotfix 21.7.3_1 erschienen der das tls Problem direkt behebt.
Ich fahre übrigens noch ein Weilchen mit der 21.7.1 :)
 

rednag

Well-known member
Etwaige Updates der Firewall spiele ich eigentlich "relativ" zeitnah ein. Nach Veröffentlichung so 1-2 Wochen später.
Gibt dem Hersteller Zeit doch ein ewaiges nötiges Rollback zu machen. Und in meiner Hochsicherheitsumgebung halte ich eine gewisse Verzögerung für vertretbar.
 

tiermutter

Well-known member
OPNsense hat da eine andere Politik als es bei anderen Firewalls der Fall ist. Hier gibt es etwa monatlich Updates und halbjährlich sind es Major Releases.
Man kann OPNsense auch nicht mit alles und jedem vergleichen, dafür ist die Hardware einfach zu unterschiedlich, die verwendet werden kann. Das Problem hat PFsense zwar auch, fährt aber auch eine andere Updatepolitik. Ich begrüße die Updatepolitik von OPNsense, idR wartet man nämlich nicht länger als einen Monat auf gefixte CVE oder neue Features. Wenn man sie braucht/ betroffen ist kann das Update losgehen, ansonsten zwingt Dich keiner und genau das ist auch die Ansage der Entwickler:
Lass das Update doch sein, wenn Du es nicht brauchst!

Zuletzt scheint es öfter mal Probleme mit den Updates gegeben zu haben, meist aber in Verbindung mit anderer Software (insbesondere Sensei). Ich hingegen hatte noch nie Probleme nach einem Update. Wenn nichts dabei ist, was ich gerne hätte, warte ich meist auf ein Major Release (xx.1.y oder xx.7.y) bis ich ein Update fahre... und dann passiert das erstmal auf der Ersatz-FW oder nach einer Bare-Metal Sicherung.
 

rednag

Well-known member
Hab mir vorgestern mal die 21.7.1 als VM installiert.
Aus reiner Gewohnheit wollte ich
Code:
net-snmp
über die GUI nachinstallieren.
Ging nicht. Ich musste erst das Update auf 21.7.3 machen. Hab auch eine entsprechende Fehlermeldung bekommen.
Wenn so Kleinigkeiten daran scheitern müssen ja Welten zwischen den Versionen liegen...
 

tiermutter

Well-known member
Hm, das hatte ich zwar noch nicht (bestimmt auch nie ausprobiert), aber über das CLI geht es immer:
Code:
#pkg install os-net-snmp
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
937
Beiträge
13.660
Mitglieder
466
Neuestes Mitglied
wischi83
Oben