Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

OPNsense 23.1 est disponible

icon 09/02/2023

Jeudi 26 janvier 2023 est sortie la dernière version d'OPNsense. La version 23.1, surnommée "Quintessential Quail".

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.


logo OPNsense




Les infos clefs en un coup d’œil


Les informations clefs de cette mise à jour sont les suivantes : grosse mise à jour d'Unbound DNS intégrant des statistiques détaillées sur les requêtes DNS traitées par OPNsense ; intégration de WireGuard au noyau de FreeBSD (qui remplace la version déjà proposée qui tournait dans l'espace utilisateur) ; amélioration de l'outil de capture de paquets (tcpdump) ; passage à PHP 8.1 ; beaucoup de mises à jour "sous le capot".

Dans la suite de l'article, nous présentons plus en détails les changements et nouveautés significatifs.



Mise à jour d'Unbound


Unbound est le résolveur DNS (validateur, cache, récursif) intégré à OPNsense.

Il connaît une grosse mise à jour offrant notamment une nouvelle interface permettant de voir des statistiques détaillées sur les requêtes DNS traitées par OPNsense.

Les statistiques sont accessibles depuis le menu Reporting.
Il faudra d'abord activer la collecte locale des statistiques : se rendre dans le menu Reporting > Settings et cocher la case "Enables local gathering of statistics." :

Activation des statistiques d'Unbound


La page de statistiques ressemblera à ceci :

Statistiques d'Unbound


Autre mise à jour intégrée à Unbound, le système d'intégration des listes de blocage DNS a été ré-écrit en python (vs un mix-PHP auparavant).



Amélioration de la gestion des interfaces


Il y a plusieurs mises à jour notables dans la gestion des interfaces sur les configurations avancées. Les principales sont :

  • Support du stacking de VLAN (802.1ad ou QinQ) ; techniquement, QinQ permet d'insérer plusieurs tags de VLAN dans la même trame Ethernet, ça permet, par exemple, de faire passer ses propres VLANs à l'intérieur d'un VLAN fourni par un opérateur télécom sur un réseau étendu.
  • GIF et GRE prennent désormais en charge les configurations IPv6 basées sur des sous-réseaux au lieu de toujours revenir à une configuration point à point (/128).
  • Plusieurs améliorations sur la gestion d'IPv6 sur les interface GIF, GRE et PPPoE.
  • Il est maintenant possible de filtrer par adresse MAC sur l'outil de capture de paquets. Cet outil de débogage est vraiment très riche et très performant surtout si on le compare à ce qui est proposé sur pfSense...
  • Quand on crée un groupe d'interfaces, il est maintenant possible de choisir si ce groupe apparaît uniquement dans les règles de filtrage ou également parmi la liste des interfaces (dans ce cas, les interfaces ne sont plus visibles que depuis leur groupe d'appartenance dans le menu Interfaces). Exemple :

Interfaces groupées OPNsense

Sur cette capture d'écran, les interfaces "LAN" et "VLAN_VOIP" sont regroupées sous "Groupe_Local"




Évolutions diverses


Plusieurs améliorations ou évolutions diverses, dont notamment :

  • LibreSSL est définitivement abandonné. C'était prévu et annoncé. OPNsense ne supporte plus qu'OpenSSL.
  • Il n'est plus possible de filtrer par système d'exploitation dans la gestion avancée des règles de filtrage. Tant mieux, cette option était totalement obsolète.
  • OpenVPN : il y aura dorénavant un nom de démon unique pour chaque instance. Cela facilite le débogage en cas de besoin.
  • WireGuard : la version de WireGuard intégrée au noyau FreeBSD est enfin disponible ! OPNsense proposait jusqu'à présent une version de WireGuard tournant dans l'espace utilisateur. On va donc pouvoir envisager d'intégrer réellement WireGuard sur ses firewall en production...
  • Pas mal de ré-écritures de codes afin de mettre à jour les pages qui étaient soit obsolètes (plus utilisées), soit qui n'étaient pas totalement (voire par du tout) développées suivant une implémentation MVC/API.



Problèmes connus et points d'attention


LibreSSL n'est plus proposé. Il faudra donc basculer sur OpenSSL avant de pouvoir mettre à jour. Il est à noter que c'est OpenSSL qui était déjà utilisé par défaut par OPNsense. Si vous n'y avez pas touché, il n'y a donc pas beaucoup de questions à se poser...

La configuration IPsec était jusqu'à présent gérée dans le fichier ipsec.conf ; elle bascule sur le fichier swanctl.conf. Pour l'immense majorité des tunnels IPsec cela ne devrait rien changer, mais pour quelques cas particuliers, il n'est pas impossible de voir apparaître des bugs (des configurations mal reprise principalement).

Plusieurs corrections rapides (hotfix) ont déjà été publiées (six, pour le moment). Si vous avez déjà mis à jour votre OPNsense vers la version 23.1, il peut donc être utile de refaire une vérification afin de vous assurer que vous disposez des derniers patchs.

Comme d'habitude, si vous n'avez pas appliqué les dernières mises à jour d'OPNsense, vous devrez d'abord mettre à jour votre OPNsense vers la dernière ancienne version disponible (soit la 22.7.11_1) avant de pouvoir procéder à la mise à jour vers la nouvelle version (23.1).



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Pensez à faire une sauvegarde avant de lancer la mise à jour.

Si votre système de fichiers est ZFS, pensez également à créer un point de restauration.

Pour la mise à jour, vous pouvez vous appuyer sur notre tuto écrit pour pfSense, mais facilement adaptable pour OPNsense : [pfSense] Mettre à jour son serveur pfSense.

La mise à jour d'OPNsense prendra environ 10 minutes.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : OPNsense 23.1 released [EN]



Pour aller plus loin


[pfSense / OPNsense] Créer un point de restauration pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.


Retrouvez nos services et firewall pour pfSense & OPNsense



Formation pfSense     Formation OPNsense     Liste de filtrage des IP malveillantes     Firewall pro-Soho pour pfSense et OPNsense         Firewall pro-Maxi pour pfSense et OPNsense    

store.provya.fr

icon Tags de l'article :

Aucun commentaire

icon Flux RSS des commentaires de cet article