Software-update - OPNsense 26.1

In dit artikel:

OPNsense 26.1, bijgenaamd "Witty Woodpecker", is uitgebracht als volgende grote versie van de op FreeBSD gebaseerde open source firewall (oorspronkelijk geforkt van m0n0wall en pfSense). OPNsense blijft een webgebaseerde firewalloplossing met functies zoals MFA, OpenVPN, IPsec, CARP, captive portal, packet filtering en traffic shaping. De nieuwe uitgave legt vooral nadruk op API/MVC-integratie, IPv6-verbeteringen en expandering van automatiseringsmogelijkheden.

Belangrijkste vernieuwingen
- Automatisering en regels: automatiseringsregels zijn opgewaardeerd naar de nieuwe regels-GUI zodat bijna de hele firewall-ervaring via MVC/API beschikbaar is. Er is ook een migratiepagina voor regels (gebruik met voorzichtigheid).
- Intrusion prevention: Suricata is geüpdatet naar versie 8 en ondersteunt nu een inline inspectiemodus via “divert”.
- IPv6 en netwerkdiensten: diverse betrouwbaarheid- en featureverbeteringen voor IPv6, een nieuw IPv6-mode “Identity association” (vergelijkbaar met Track interface maar zonder automatisch starten van ISC-DHCPv6/radvd), en router-advertisements via MVC/API.
- DHCP en resolutie: Dnsmasq wordt de standaard voor DHCPv4, DHCPv6 en RA; resolv.conf kan via /etc/resolv.conf.local worden aangepast. Prefix delegatie wordt niet langer standaard aangeboden.
- Host discovery: de nieuwe host discovery-service (hostwatch) is standaard ingeschakeld sinds 25.7.11 en kan uitgeschakeld worden via Interfaces → Neighbors.
- Veiligheid en codehardening: herziening van shell-commando-escaping, verwijdering van onveilige historische uitvoerfuncties (mwexec_bg/mwexec), en veilige uitvoeringswijzigingen door de hele backend.
- UI/MVC-migraties: meerdere instellingenpagina’s (interfaces, radvd, wizard, enz.) zijn naar MVC/API gemigreerd en de GUI is op bepaalde punten moderner en consistenter gemaakt.

Migratie- en compatibiliteitspunten
- ISC-DHCP is naar een plugin verplaatst en wordt tijdens upgrades automatisch geïnstalleerd maar staat niet op schone installaties. Gebruik alternatieve DHCPv6-servers wanneer prefix delegation nodig is.
- Sommige legacy functies en API’s (zoals sessionClose en custom.yaml voor Suricata) zijn verwijderd; aangepaste code moet worden aangepast.
- NAT-terminologie en -gedrag: Port Forwarding is hernoemd naar Destination NAT; gekoppelde firewallregels worden niet meer dynamisch ondersteund maar blijven bewerkbaar in hun laatste staat.
- Let op compatibiliteit van eigen scripts met de nieuwe mwexecf()-familie en andere verwijderde functies.

Overig
- Diverse plugins en packages zijn geüpdatet (o.a. os-acme-client, os-nginx, os-postfix) en er zijn talrijke kleine fixes en verbeteringen in netwerkdrivers en ports. De upgrade-route vanaf 25.7 werd verwacht om 29 januari te worden vrijgegeven; gebruikers wordt geadviseerd de releasenotes en migratiedocumentatie te raadplegen en voorzichtig te zijn bij het toepassen van upgrades.