OPNsense 24.7 est disponible

31/07/2024

Jeudi 25 juillet 2024 est sortie la dernière version majeure d'OPNsense. La version 24.7, surnommée "Thriving Tiger" (le tigre prospère).

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.

Les infos clefs en un coup d’œil

Les informations clefs de cette mise à jour sont les suivantes :

Tout nouveau tableau de bord : le lobby et son fonctionnement a été complètement revu (plus d'infos ci-dessous) ;
Amélioration du support de WireGuard avec l'intégration d'un générateur de QR code ;
Amélioration du suport des tunnels IPsec routés (IPsec VTI) ;
L'intégration (au stade expérimental pour le moment) du support de DCO pour OpenVPN ;
Mise à jour vers FreeBSD 14.1
Mise à jour vers Python 3.11
ZFS sera dorénavant le choix par défaut lors de l'installation d'OPNsense (contre UFS jusqu'à présent)

Dans la suite de l'article, nous présentons plus en détails les nouveautés et changements significatifs.

Mise à jour du tableau de bord (lobby)

Le tableau de bord a été complètement réécrit afin de proposer une interface nettement plus moderne et dynamique.

Les informations sont bien mieux présentées.

Le rafraîchissement se fait maintenant en continu, alors que jusqu'à présent la mise à jour de l'affichage suivait une fréquence de 3 à 5 secondes.

Générateur de QR code pour WireGuard

Pour faciliter le déploiement d'un VPN Wireguard, notamment sur mobile, OPNsense propose la génération d'un QR code de configuration :

Support d'OpenVPN DCO

OpenVPN DCO (Data Channel Offload) est une technologie initialement intégrée à Linux permettant de transférer au noyau le traitement et le calcul de données jusqu'à présent réalisés dans l'espace utilisateur.
Cette évolution permet d'augmenter considérablement les performances des accès OpenVPN.

WireGuard utilise la même approche consistant à décharger la gestion du data plane directement au niveau du noyau.

Il s'agit donc d'une très bonne nouvelle. Il est à noter que cette fonctionnalité est pour le moment intégrée à titre expérimental.

pfSense+ de son côté intégrait déjà OpenVPN DCO, mais il n'est pas prévu que cette intégration soit reportée sur pfSense CE (la version open-source de pfSense).

Autres améliorations apportées par OPNsense 24.7

Autres points à noter :

poursuite de la bascule du code vers les API. Cela n'est pas très visible pour les utilisateurs, mais c'est essentiel pour la stabilité du développement et l'apparition de fonctionnalités complémentaires ;
amélioration de la sécurité du code PHP en "durcissant" un certain nombre de paramètres ;
possibilité d'afficher en streaming les fichiers de logs directement sur le tableau de bord ;
mise à jour des différents plugins.

Problèmes connus et points d'attention

Comme d'habitude, plusieurs corrections rapides (hotfix) ont déjà été publiées. Si vous avez déjà mis à jour votre OPNsense vers la version 24.7, il peut donc être utile de refaire une vérification afin de vous assurer que vous disposez des derniers patchs.

Comme d'habitude, si vous n'avez pas appliqué les dernières mises à jour d'OPNsense, vous devrez d'abord mettre à jour votre OPNsense vers la dernière ancienne version disponible (soit la 24.1.10_8) avant de pouvoir procéder à la mise à jour vers la nouvelle version (24.7).

Processus de mise à jour

Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Pensez à faire une sauvegarde avant de lancer la mise à jour.

Si votre système de fichiers est ZFS, pensez également à créer un point de restauration.

Pour la mise à jour, vous pouvez vous appuyer sur notre tuto écrit pour pfSense, mais facilement adaptable pour OPNsense : [pfSense] Mettre à jour son serveur pfSense.

La mise à jour est importante, elle téléchargera environ 900 Mo, et prendra environ 15 minutes, suivant votre installation.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : OPNsense 24.7 released [EN]