OPNsense 22.1 est disponible

27/01/2022

Jeudi 27 janvier 2022 est sortie la dernière version d'OPNsense. La version 22.1.

Il s'agit d'une mise à jour importante, avec notamment la migration d'HardenedBSD vers FreeBSD 13.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.

OS : passage d'HardenedBSD à FreeBSD

Il s'agit là d'un changement important : OPNsense s'appuyait jusqu'à présent sur le système d'exploitation HardenedBSD. OPNsense 22.1 s'appuie dorénavant sur FreeBSD.

HardenedBSD est un fork de FreeBSD visant à améliorer la sécurité du système en implémentant des technologies d'atténuation et de durcissement contre l'exploitation de vulnérabilité informatique.

Beaucoup d'améliorations proposées par HardenedBSD ont été réintégrées à FreeBSD, notamment FreeBSD 13.

Enfin, lorsque certaines bugs spécifiques à HardenedBSD étaient rencontrés, ils étaient parfois difficiles à résoudre car la communauté HardenedBSD est beaucoup plus petite que la communauté FreeBSD.

Les équipes de développement d'OPNsense ont donc jugé qu'il était préférable de s'appuyer directement sur FreeBSD.

Autre point notable par rapport au système d'exploitation : il y a une amélioration de la gestion du système de fichiers ZFS.

Gestion des logs

La journalisation circulaire (circular log) a été retirée.

De manière simplifiée, la journalisation circulaire permet de définir une taille maximale par fichier de journalisation (ex : 100 Ko) et un nombre maximal de fichiers de journalisation à conserver (ex : 30 fichiers).

La journalisation se définit maintenant en nombre de jours de rétention : un fichier est conservé par jour et par type de services. On peut choisir la durée de conservation des fichiers de journalisation.

Le format de stockage des fichiers de journalisation est le suivant :

/var/log/<application>/<application>_[YYYYMMDD].log

Il était déjà possible de désactiver la journalisation circulaire depuis OPNsense 20.7. Elle est donc maintenant supprimée.

Nouveau fichier de journalisation "latest.log"

Le fichier latest.log contient les derniers logs toutes catégories confondues.

L'utilisation de ce fichier peut être très pratique pour gagner en efficacité lors de ses sessions de dépannage / troubleshooting, il évite d'avoir à passer d'un fichier de journalisation à l'autre pour chaque service.

Support de la RFC 5424

Les fichiers de journalisation sont maintenant tous compatibles avec le format syslog et offrent la possibilité de filtrer par gravité.

Gestion des interfaces

Plusieurs améliorations, dont :

Amélioration de la gestion des interfaces PPP en environnement haute-disponibilité : possibilité de désactiver l'interface PPP lorsque CARP passe en mode backup.
Meilleure granularité sur le choix de l'adresses MAC pour une interface donnée : le spoof d'adresse MAC s'applique maintenant uniquement sur l'interface sélectionnée et pas à ses parents ou enfants : avant, par exemple, le spoof s'apliquait sur l'interface parente et sur toutes les interfaces vlan configurées dessus, maintenant, la configuration se fait uniquement sur l'interface logique choisie.
Uniformisation et amélioration de la configuration des interfaces bridge (pont réseau) lorsqu'elles sont connectées au réseau.
Il est maintenant possible d'associer une adresse IP virtuelle (VIP) à une interface qui n'est pas configurée ; cette configuration peut s'avérer très utile dans certains environnements spécifiques comme par exemple la possibilité d'avoir un cluster de firewall OPNsense avec une interface WAN qui ne possède qu'une seule adresse IP.

Pare-feu / Alias

Suppression de l'option obsolète "kill states on gateway failure". Cette action est effectuée automatiquement pour les passerelles qui sont surveillées.
Ajout du support des alias d'hôtes IPv6 dynamiques.
Il est maintenant possible d'utiliser des alias dans la gestion des Router Advertisements pour IPv6.
Priorisation de trafic : ajout de l'option Gbit/s lors de la configuration des pipes (avant, pour 1 Gbit/s, il fallait saisir 1 000 Mbit/s).

IPsec

Lors de la création de nouvelles phases 1 et 2, certains paramètres de sécurité par défaut ont été remplacés par des paramètres plus modernes et sécurisés.
Suppression de certains algorithmes de chiffrement qui ne sont plus supportés par FreeBSD 13 (dans le détail : MD5, Blowfish, DES, 3DES et CAST128 ne sont plus pris en charge pour la phase 2).

Traductions

Amélioration de la traduction pour plusieurs langues dont le français (sont concernés dans le détail : français, allemand, italien, japonais, norvégien, espagnol et turc).

A contrario, l'italien a été rétrogradé au rang de "en cours de développement" à cause de son faible niveau de traduction.

Il est à noter que la traduction de l'interface d'OPNsense en français est vraiment très bonne (surtout si on compare à pfSense...).

Plugins

Plusieurs plugins ont été mis à jour dont ACME , bind, haproxy, zabbix, ...

Problèmes connus et points d'attention

OPNsense 22.1 contient une nouvelle version majeure du système d'exploitation. Les mises à jour doivent donc être effectuées avec prudence. Malgré tous les tests qui ont pu être effectués, il peut toujours subsister des anomalies ou des changements modifiant le comportement par défaut.
L'évolution du support des algorithmes de hachage ou de chiffrement sous FreeBSD 13 peut avoir des impacts sur les VPN IPsec déjà configurés. Si vous utilisez l'un des algorithmes de hachage obsolètes (MD5, Blowfish, DES, 3DES ou CAST128), il faut modifier la configuration de votre tunnel IPsec avant de lancer la mise à jour.
Si vous utilisez des cartes réseau Realtek (notamment avec des ports 2,5 Gbps), il est recommandé d'installer le plugin os-realtek-re avant de lancer la mise à jour. En effet, le pilote propriétaire Realtek n'est pas fourni par défaut sous FreeBSD 13, ce qui a pour conséquence que certaines cartes Realtek ne sont pas supportées par défaut.
L'usurpation (spoof) d'adresse MAC ne concerne maintenant que l'interface configurée et non les autres VLAN configurés sur la même interface ou l'interface parent. Il faut donc modifier la configuration de ses interfaces nécessitant une adresse MAC usurpée avant de faire la mise à jour.
Les valeurs par défaut du service NTPD ont été modifiées pour exclure l'option "iburst" par défaut. Le paramètre "limited" a été détaché de l'option "kod". Il faut donc vérifier ces points avant de mettre à jour si vous êtes concernés.
Le support GRE link1 a été supprimé et nécessite une route statique pour fonctionner.
La prise en charge de la journalisation circulaire a été supprimée. Aucune action n'est requise.

Processus de mise à jour

Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Pensez à faire une sauvegarde avant de lancer la mise à jour.

Si votre système de fichiers est ZFS, pensez également à créer un point de restauration.

Vous pouvez vous appuyer sur notre tuto écrit pour pfSense, mais facilement adaptable pour OPNsense : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : OPNsense 22.1 released [EN]