OPNSense - Nuova versione

slackyster

Se qualcuno lo usa è uscita in questo momento la nuova versione 25.7

https://opnsense.c0urier.net/releases/25.7/

"25.7, nicknamed "Visionary Viper", features reusable and thoroughly
revamped frontend code, an SFTP backup plugin, experimental privilege
separation for the GUI, JSON container support for aliases, a new and
improved firewall automation GUI, performance enhancements especially
for numerous aliases being used at once, Dnsmasq DHCP support, Kea DHCPv6
support, Greek as a new language, FreeBSD 14.3 plus much more. "

Full Changelog :

o system: the setup wizard was rewritten using MVC/API
o system: change default DHCP use from ISC to Dnsmasq for factory reset and console port and address assignments
o system: numerous permission, ownership and directory alignments for web GUI privilege separation
o system: allow experimental feature to run web GUI privilege separated as "wwwonly" user
o system: add a banner when trying to revert the privilege separated GUI back to root at run time
o system: consistently use empty() checks on "blockbogons", "blockpriv", "dnsallowoverride" and "dnsallowoverride_exclude"
o system: change default system domain to "internal" (contributed by Self-Hosting-Group)
o system: add missing "kernel" application for remote logging
o system: remove the "optional" notion of tunables known to the system
o system: enable kernel timestamps by default
o system: allow CSR to be downloaded from System/Trust/Certificates (contributed by Gavin Chappell)
o reporting: removed the unused second argument in getSystemHealthAction()
o reporting: renamed getRRDlistAction() to getRrdListAction()
o interfaces: fix media settings write issue since 24.7 as it would not apply when "autoselect" result already matched
o interfaces: removed defunct SLAAC tracking functionality (SLAAC on WAN still works fine)
o interfaces: no longer fix improper WLAN clone naming at run time as it should be ensured by code for a long time now
o interfaces: remove the functions get_configured_carp_interface_list() and get_configured_ip_aliases_list()
o interfaces: add VIP grid formatter to hide row field content based on the set mode
o interfaces: drop redundant updates in rtsold_resolvconf.sh (contributed by Andrew Baumann)
o firewall: add expire option to external aliases to automatically cleanup tables via cron
o firewall: removed the expiretable binary use in favour of the builtin pfctl
o firewall: speed up alias functionality by using the new model caching
o firewall: consolidated ipfw/dnctl scripting and fix edge case reloads
o firewall: code cleanup and performance improvements for alias diagnostics page
o firewall: fix AttributeError: DNAME object has no attribute address on DNS fetch for aliases
o firewall: assorted UI updates for automation pages
o captive portal: make room for additional authentication profiles
o captive portal: API dispatcher is now privilege separated via "wwwonly" user and group
o dnsmasq: add optional subnet mask to "dhcp-range" to satisfy DHCP relay requirements
o dnsmasq: sync CSV export with ISC and Kea structure
o dnsmasq: add CNAME configuration option to host overrides
o dnsmasq: add ipset support
o firmware: opnsense-version: build time package variable replacements can now be read at run time
o firmware: hide community plugins by default and add a checkbox to unhide them on the same page
o firmware: introduce a new support tier 4 for development and otherwise unknown plugins
o firmware: disable the FreeBSD-kmods repository by default
o firmware: sunset mirror dns-root.de (many thanks to Alexander Lauster for maintaining it for almost a decade!)
o intrusion detection: add an override banner for custom.yaml use
o intrusion detection: add JA4 support (contributed by Maxime Thiebaut)
o isc-dhcp: show tracking IPv6 interfaces when automatically enabled and offer an explicit disable
o isc-dhcp: hide IPv4 menu items when Dnsmasq DHCP is enabled to improve out of the box experience
o isc-dhcp: add static mapping CSV export
o kea-dhcp: add DNS field to Kea DHCP4 reservations (contributed by Gtt1229)
o lang: add Greek as a new language (contributed by sopex)
o lang: make more strings translate-able (contributed by Tobias Degen)
o openvpn: the server wizard functionality has been permanently removed as it required the old wizard implementation
o openvpn: "keepalive_timeout" must be at least twice the interval value validation
o wireguard: add diagnostics and log file ACL
o backend: trigger boot template reload without using configd
o mvc: introduce generic model caching to improve operational performance
o mvc: field types quality of life improvements with new getValues() and isEqual() functions
o mvc: filed types deprecated getCurrentValue() in favour of getValue() and removed isEmptyString()
o mvc: new BaseSetField() as a parent class for several other field types and numerous new and improved unit tests
o mvc: support chown/chgrp in File and FileObject classes
o mvc: use getNodeContent() to gather grid data
o mvc: allow PortOptional=Y for IPPortField
o mvc: remove SelectOptions support for CSVListField
o ui: switch from Bootgrid to Tabulator for MVC grid rendering
o ui: numerous switches to shared base_bootgrid_table and base_apply_button use
o ui: flatten nested containers for grid inclusion
o ui: use snake_case for all API URLs and adjust ACLs accordingly
o ui: add standard HTML color input support
o ui: move tooltip load event to single-fire mode
o ui: add checkmark to SimpleActionButton as additional indicator
o ui: improve menu icons/text spacing (contributed by sopex)
o plugins: replace variables in package scripts by default
o plugins: os-acme-client 4.10[2]
o plugins: os-bind 1.34[3]
o plugins: os-crowdsec 1.0.11[4]
o plugins: os-frr 1.45[5]
o plugins: os-gdrive-backup 1.0 for Google Drive backup support
o plugins: os-grid_example 1.1 updates best practice on grid development
o plugins: os-openvpn-legacy 1.0 for legacy OpenVPN components support
o plugins: os-puppet-agent 1.2[6]
o plugins: os-strongswan-legacy 1.0 for legacy IPsec components support
o src: FreeBSD 14.3-RELEASE-p1 plus assorted stable/14 networking commits[7]

Migration notes, known issues and limitations:

o Deprecated Google Drive backups due to upstream policy changes and moved to plugins for existing users.
o API URLs registered in the default ACLs have been switched from "camleCase" to "snake_case".
o API grid return values now offer "%field" for a value description when available. "field" will now always be the literal value from the configuration. The API previously returned a display value for some field types, but not all.
o Reverted tunables "hw.ibrs_disable" and "vm.pmap.pti" to FreeBSD defaults. If you want these set differently, then add them with an explicit value.
o While the mirror dns-root.de has been removed it will not be stripped from a running configuration and may keep working for a while longer. To ensure updates, however, please choose a different mirror at your own convenience.
o Moved OpenVPN legacy to plugins as a first step to deprecation.
o Moved IPsec legacy to plugins as a first step to deprecation.

simonebortolin

Ma l'url? non dovrebbe essere https://forum.opnsense.org/index.php?topic=48072.0?

slackyster

se puo' essere utile c'è anche questo :

https://www.deciso.com/opnsense-25-7-visionary-viper-launches-with-smarter-security-and-faster-setup/

Ho solo fatto il copy paste del changelog per velocità di lettura, pensavo fosse abbastanza chiaro che non l'ho scritto io

edit : quindi? ormai l'utilità di questo post è venuto meno non essendo piu in tempo reale la notizia. Comunque grazie per non aver pubblicato il post. Non pensavo che i post andassero autorizzati uno per uno. Direi che sono piuttosto deluso.

simonebortolin

slackyster edit : quindi? ormai l'utilità di questo post è venuto meno non essendo piu in tempo reale la notizia. Comunque grazie per non aver pubblicato il post. Non pensavo che i post andassero autorizzati uno per uno. Direi che sono piuttosto deluso.

Tutti i post con il tag News vanno in approvazione. Bypassare il tag news in caso di news porta ad una ammozione. In questo caso, però non serviva.

slackyster

simonebortolin

Grazie mille per la spiegazione. Non facendo parte del regolamento era impossibile per il sottoscritto saperlo che vanno in approvazione le news.

Ho pensato di mettere il tag trattandosi di una notizia di una nuova versione di un software. Per cosa andrebbe usato il tag news giusto per sapere come usarlo al meglio ?

Ovviamente mi spiace per il missunderstanding e porgo le mie scuse se sono necessarie al riguardo. 🤝

simonebortolin

slackyster Grazie mille per la spiegazione. Non facendo parte del regolamento era impossibile per il sottoscritto saperlo che vanno in approvazione le news.

Infatti è corretto che non sia pubblico, perché altrimenti se ci fosse scritto la gente lo bypasserebbe.

slackyster Ho pensato di mettere il tag trattandosi di una notizia di una nuova versione di un software. Per cosa andrebbe usato il tag news giusto per sapere come usarlo al meglio ?

Il TagNews va usato per notizie trattate ad esempio da https://www.mondomobileweb.it/, https://fibra.click/newsletter/ ecc, non va usato per notizie come un update di una versione di sistema operativo.

Per ulteririori informazioni apri un post con tagFeedback quello non va in approvazione.

mag00

Non grosse novità da 25.1 a 25.7
Già aggiornato con una nuova installazione, speriamo in una roadmap “cicciona” da qui a gennaio 2026

slackyster

mag00

posso chiederti su quale hw lo usi o se in VM ?

io continuo a preferire pfsense a opnsense

sarebbe carino uno scambio di opinioni al riguardo da chi lo usa.

mag00

slackyster ce l ho su un Futro s940 con pentium J5005 e 8gb di RAM.
L ho installato direttamente in metal, non mi interessa una VM, il backup e ripristino di OPNSense permette di reinstallare da 0 tutto in meno di 30 min.

La mia configurazione tiene tranquillamente in ppoe Eolo 200 mb con IDS attiva (circa 25k regole), da alcuni forum sembrerebbe reggere anche 1Gbs.
Nel caso ci sono dei Lenovo molto interessanti con i3 o i5 🙂

Avevo provato pfsense e ti dirò, al 95% fanno le stesse cose se usato a livello “amatoriale”.
Personalmente preferisco OPNsense perché mi sembra più immediato e con una community che lo supporta meglio.

Tu cosa ne pensi? Che hw usi?

slackyster

mag00 ce l ho su un Futro s940 con pentium J5005 e 8gb di RAM.
L ho installato direttamente in metal, non mi interessa una VM, il backup e ripristino di OPNSense permette di reinstallare da 0 tutto in meno di 30 min.

Le installazioni bare metal sono sempre le migliori per questo hai la mia stima 😎

La mia configurazione tiene tranquillamente in ppoe Eolo 200 mb con IDS attiva (circa 25k regole), da alcuni forum sembrerebbe reggere anche 1Gbs.

Assolutamente si nonostante le 25k regole con una pppoe da 200mb stai tranquillo.

Nel caso ci sono dei Lenovo molto interessanti con i3 o i5 🙂

Se vuoi passare a qualcosa che consumi meno nel caso valuta un minipc su base N150 con scheda di rete intel i226-V e vai tranquillo su fino a 2.5gpbs senza battere ciglio anche se in pppoe pfsense e opensense non brillano di velocità oltre 1gbps- Nel caso valuta un operatore in IPoE se vuoi migliorare le prestazioni .

Avevo provato pfsense e ti dirò, al 95% fanno le stesse cose se usato a livello “amatoriale”.
Personalmente preferisco OPNsense perché mi sembra più immediato e con una community che lo supporta meglio.

Tu cosa ne pensi? Che hw usi?

Io uso OPNsense perchè è basato su hardenedBSD e non freeBSD come pfsense e mi permette di avere aggiornamenti di sicurezza piu veloci e release 4 volte l'anno. Pf sense è diventato troppo lento non riesce piu stare al passo con i tempi con le release della versione CE. Non posso usarla in ambito enterprise.

In più OPNsense alla fine sono ex ingegneri Pfsense che hanno preso l'eredità di monowall (il firewall che ha dato origine ad entrambi) e l'hanno continuata nella stessa versione opensource cosa che preferiso.

https://docs.opnsense.org/relations/m0n0wall.html

in ambito enteprise lo uso sull' hardware opnsense loro che mi piace anche il colore : ) in casa non lo uso perchè preferisco openwrt sul flint 2 che performa di piu sulla 2.5gbps

mag00

Non ho familiarità con openwrt.
Ci sono funzionalità che ci sono su uno piuttosto che sull altro?

Comunque concordo che probabilmente la mia soluzione con Opnsense è un po’ overkilling in ambito domestico.

Dalla versione 24.7 ppoe è stato aggiornato e ora sfrutta più core… per dire che probabilmente si è risolto il problema del PPoE con bsd.

slackyster

mag00 Non ho familiarità con openwrt.
Ci sono funzionalità che ci sono su uno piuttosto che sull altro?

openwrt è su kernel linux non bsd. Fanno piu o meno le stesse cose ma ad efficienza diversa. OpenWRT è meglio sulla architettura ARM64 e quindi è piu indicato per router all in one in quanto è molto efficiente in termini di rispario energetico e nel routing wan-wlan e nella gestione delle VPN. In più è in grado di avere latenze di lag molto basse con l'accelerazione hardware per il direct routing e bufferbloat A+

OPNSense è piu efficente su architettura X86-64 quindi puo' scalare molto di piu in ambienti complessi ed è un mostro in VLAN management e link aggregation e firewall rules .ed è OSI compliant in layer 2 quindi è piu sicuro in termini di MAC spoofing e ARP poisoning, tutte cose enterprise come vedi che in casa non servono.

Non ho idea della tua network topology ma se hai intenzione di fare un upgrade ti consiglio di valutare seriamente openwrt che per home seting è piu indicato. Attualmente il miglior router da mettersi in casa con openwrt è il Flint 2 . Lo trovi su amazon a 140EUR circa e gestisce fino a 6gbps, e fai tutto con un device solo nel caso vuoi liberarti del resto.

Comunque concordo che probabilmente la mia soluzione con Opnsense è un po’ overkilling in ambito domestico.

E come usare lo shuttle per fare Torino-Milano. Se ti trovi bene e non ti da problemi tienilo tranquillamente, è una ottima skill ma ovviamente è molto overkill.

Dalla versione 24.7 ppoe è stato aggiornato e ora sfrutta più core… per dire che probabilmente si è risolto il problema del PPoE con bsd.

è migliorato di brutto sia opnsense che pfsense. Hanno abbandonato finalmente netgraph che era single core in favore di if_pppoe è infatti le prestazioni sono andate su di brutto. finalmente si puo' usare per link fino a 10gbps ottenendo circa 8gbps ma è solo la prima versione, credo sia ancora un po instabile. Si aspettano miglioramenti con le prossime release. Per fine anno sarà una figata credo.

mag00

Sull efficienza che hai citato creda contribuisca anche L architettura ARM64 in sé, molto più efficiente su istruzioni base di x86-64.

Personalmente a casa ho sperimentato le VLAN e ti dirò… anche in ambiente domestico secondo me hanno senso.
Ad esempio, Io ho la rete con VLAN divise in:

rete host
rete guest (wifi isolato dalle altre)
TVCC (con accesso internet completamente bloccato e NVR accessibile solo da rete host o vpn)
rete gaming (per console - isolata, con priorità di traffico e upnp abilitato così si gestisce le porte da sola)

Openwrt gestisce le VLAN?
Come è messo a firewall? Ha più o meno la stessa flessibilità di Opnsense?

Scusa se ti tartasso di domande, ma siccome usi entrambi i sistemi sei una buona fonte 😉

DragonMaz

mag00 Le VLAN le gestisce, non ha la stessa flessibilità di pfSense / OPNSense, in compenso se la cava molto meglio a fare switch virtuali, es col vecchio minipc avevo segmentato le porte fisiche ( un minipc con 4 porte che facevano da LAN ), con OPNSense facevo 300 mega, con OpenWRT tranquillamente 2.2.

slackyster

mag00

Personalmente a casa ho sperimentato le VLAN e ti dirò… anche in ambiente domestico secondo me hanno senso.

Le VLAN certo che hanno sempre senso ma ti faccio presente che sono cose da prosumer e non consumer, praticamente è rarissimo trovare un router home che permetta di gestirle. Tu sei su OPN che è materiale enterprise. Tieni conto che la maggior parte delle persone sia consumer che in ambiente IT non sa nemmeno la differenza tra VLAN e subnet.

In un ambiente domestico hanno senso per via della domotica quindi si sono d'accordo che una rete separata per tutti gli IoT sia indicata.

Openwrt gestisce le VLAN?

Senza problemi ma è piu macchinoso configurarle rispetto a OPNSense dove puoi fare tutto semplicemente con l'interfaccia grafica.

Per farti capire come si configurano le VLAN su openwrt

https://binupradeep.com/networking/openwrt_vlan/#configuring-vlan-bridge

Quello che posso dirti e che il miglior router su openwrt, Flint 2 , attualmente con il suo firmware dove permette di avere una GUI semplificata per gestire openwrt viene fornito con 2 vlan settate di default ( main e guest su entrambe le reti wifi) e attualmente stanno implementando il codice per averne 3 ( main, guest e IoT sempre sui canali wifi 2.4 e 5) Direi che per un router home setting 3 vlan sono piu che sufficienti.

Ovvio che il tuo setup è overkill e scendere da OPNSense a OpenWRT perderesti molte funzionalità che openwrt non ha di suo. Ad esempio OPNSense usa di default unbound per il dns resolve mentre OpenWRT deve sempre affidarsi al dns upstream, questo per farti un esempio.

Come è messo a firewall? Ha più o meno la stessa flessibilità di Opnsense?

OPNSense è nato da pfsense che è nato da monowall, e hanno la gestione firewall come fondamento di sviluppo, sono nati come firewall e poi hanno aggiunto il resto quindi sono una spanna sopra non di poco rispetto a OPenwrt, pensati da zero per ambienti enterprise su X86. Puoi comunque impostare tutto cio che hai adesso ma nuovamente è piu macchinoso salvo per le cose basilari di gestione porte che quello è uguale per tutti ormai.

Scusa se ti tartasso di domande, ma siccome usi entrambi i sistemi sei una buona fonte

Non preoccuparti se posso rispondo sempre volentieri 🙂 Se hai intenzione di togliere di mezzo quello che hai adesso è passare ad un router che fa tutto fino a 2,5gbits di WAN con gestione VPN e failover e blocco della pubblicità a livello DNS allora puoi pensare al flint 2 a 140EUR altrmenti resta pure con OPNSense 🙂

canotto Quale potrebbe essere la migliore scelta ? Opnsense / Pfsense / altro ....

Sinceramnte di Fortigate sono soddisfatto, ma il pizzo del rinnovo annuale bello caro e salato non lo digerisco tanto

Attualmente la miglior soluzione è restare con fortigate e ti spiego perchè.

Non conoscendo che azienda sia la tua ne quanti dipendenti debba gestire fortigate ti assicura al prezzo che paghi un servizio oltre all' hardware che è di prima qualità. In piu il 100E è perfetto fino ad 1 gbps che è l'upgrade che hai fatto tu adesso della linea quindi è perfettamente dimensionato e lo sfrutterai finalmente al massimo delle sue potenzialità. Lo so che il costo annuale è una palla da pagare ma non pensare che una soluzione opensource sia priva di costi tutt'altro. Non è solo questione di comprare un router.

In più tu hai già i dipendenti in remoto e l'azienda settata in modo da sfruttare l'infrastruttura attuale e poter aggiornare la linea internet senza dover modificare niente altro è un grande vantaggio, zero downtime e zero tempo di training per i dipendenti. Tieni tutto cosi' com'è e non preoccuparti sei in una botte di ferro.

Un domani che vorrai avere una linea piu veloce tipo una 10gbps simmetrica per stare dietro allo sviluppo aziendale allora si puo' pensare a una nuova infrastruttura da zero rimuovendo tutto e avviando un periodo di change management che comprende anche un upgrade di VPN per i dipendenti da remoto.

Quando si tratta di ambienti SMB o enterprise bisogna sempre andarci con i piedi di piombo per evitare di distruggere il workflow aziendale e creare stress inutilmente. Il lavoro di chiunque ti venga a fare supporto IT deve essere completamente trasparente e di supporto a fianco alle persone e ai dipartimenti, non venire e cambiare tutto in favore di qualche megabyte in piu per qualche centinaio di euro in meno.

Stabilità e non destructive routine vengono prima in ambiente business. 🙂 Se hai capito il concetto che ho cercato di passarti in questa risposta altrmenti sono qui se hai altri dubbi 🙂

canotto

ciao a tutti, scusate se mi accodo ma sembrate esperti di opnsense/pfsense

stavo valutando di cambiare in azienda il firewall attuale (Fortigate 100E) con un firewall opnsense/pfsense e chiedevo secondo voi quale potrebbe essere il modello hardware consigliato contando questi fattori :

linea internet attuale 100 Mbps simmetrica, a breve 1 Gbps simmetrica (BEA Open Fiber)
presenza di porta SFP+ 10 Gbps per collegarsi agli switch core
il firewall fa anche switching tra le vlan

un must-have è la VPN per chi lavora in remoto, attualmente usiamo la VPN IPSEC tramite il firewall con ottime prestazioni e volevo mantenere l'autenticazione user + password + 2FA (TOTP)

Quale potrebbe essere la migliore scelta ? Opnsense / Pfsense / altro ....

Sinceramnte di Fortigate sono soddisfatto, ma il pizzo del rinnovo annuale bello caro e salato non lo digerisco tanto ...

Grazie

perrcla

canotto puoi farci tutto, solo non sicuro sicuro della possibilità di usare totp per la IPsec.
Quella forse dovrai gestirla con un radius esterno + eap.

La community di opnsense è più attiva.

Attenzione: non ne fare solo un aspetto economico, perché poi ci resti male...

Fortigate lo paghi, vero, ma probabilmente hai lo swap dell'hardware guasto, supporto 24/7 e tutto il resto.
Ad esempio, 2 ore di supporto ufficiale opnsense ti costano 329 euro...

Fai le tue valutazioni. Il firewall è uno degli apparati più critici.

Perché fai fare inter-vlan switching al firewall?
È switching pure o hai regole di mezzo?

Technetium

perrcla ma probabilmente hai lo swap dell'hardware guasto,

Non l'ho visto tra i servizi/garanzie di fortigate. Probabilmente è l'azienda che lo rivende a fornire servizi simili... che hanno comunque un bel costo.

perrcla 2 ore di supporto ufficiale opnsense ti costano 329 euro...

Probabilmente non sai cosa costa fortigate in abbonamento/supporto extra 😄 300 euro non li vedi nemmeno.

canotto tavo valutando di cambiare in azienda il firewall attuale (Fortigate 100E) con un firewall opnsense/pfsense

Mah... se avete fortigate... io manterrei quello. Tra l'altro il 100 la linea a 1G la gestisce.

SkyNut

canotto beh coi fortigate hai un azienda che ti dà supporto hardware e software di alto livello, al quale tu o il tuo fornitore può rivolgersi per ogni problema, pfsense/opnsense devi fidarti molto del tuo fornitore, che abbia un ricambio hw al volo e che sappia davvero metterci le mani in caso di problemi. i 100E sono in EOL a metà 2026 se non sbaglio, in azienda li avevamo e siamo passati ai 121G. costano caro? dipende da quanto vale la tua azienda, noi abbiamo firmato il rinnovo subito alla proposta perché ci son sembrati regalati, 2x 121G in HA con 3 anni di licenze + migrazione attorno ai 15.000€. l'unica cosa che odiamo dei fortigate è la loro vpn solo forti client, software pessimo che non vedo l'ora di sradicare da ogni pc, ma non so che alternativa valida usare devo ancora informarmi.
pfsense lo avevano alcune aziende che seguivo... è lì, fa il suo, finché va non da problemi anzi, ma non ci affiderei mai una vera azienda. non perché ha problemi intrinsechi, ma perché se hai un problema devi trovare chi sa "smarmellarci".

un OT anche per me, ho anche io il Flint2 con OpenWRT liscio, che ci posso installare di utile? oltre adguard home. ha un hw bello potente, ma non so che farmene 😅

doppio OT, qualcuno ha mai provato questa? https://nethsecurity.org/
l'ho virtualizzata l'altro giorno in 10 minuti liberi, pare un bel progetto italiano!

mik1969

slackyster
leggo sempre con alto interesse i tuoi messaggi complimenti x la competenza e le risposte esaustive dalle quali inizio a capire qualcosina di reti

perrcla

Technetium Probabilmente non sai cosa costa fortigate in abbonamento/supporto extra 😄 300 euro non li vedi nemmeno.

Lo so lo so... E infatti sono passato a watchguard 😁

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile