Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

pfSense 2.6.0 est disponible

icon 15/02/2022

Lundi 14 février 2022 est sortie la dernière version de pfSense. La version 2.6.0.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Filtrage / NAT


Plusieurs modifications / corrections apportées, dont notamment :
  • Ajout du support d'IPv6 pour les règles easyrule.
  • Possibilité d'utiliser un alias pour le champ destination des règles de NAT 1:1
  • La copie d'une règle de redirection de port (Port Forward) tient maintenant compte de la configuration existante pour l'association d'une règle de filtrage (Filter Rule Association).
  • Ajout d'une icône permettant de visualiser le sens du filtrage pour les règles de l'onglet "Floating".
  • Lorsque le nom d'un groupe d'interfaces commençait par un chiffre, cela générait un XML invalide. C'est corrigé.



IPsec


Cette version apporte plusieurs modifications importantes à IPsec. Ce sont des modifications portant sur la stabilité et les performances.

Le nom des interfaces IPsec VTI (IPsec routé) a changé. Les configurations existantes seront mises à jour automatiquement dans la mesure du possible pour utiliser les nouveaux noms.

Une fois la mise à jour vers pfSense 2.6.0 réalisée, il est conseillé de vérifier que les noms des instances VTI configurées ont correctement été repris pour l'assignation des interfaces. Cette vérification s'opère depuis le menu Interfaces > Assignments.

Il y a énormément de corrections de petits bugs spécifiques apportés à cette version de pfSense. Il est compliqué de tous les lister, mais en résumé, si vous avez des problèmes avec IPsec, mettez à jour !



ZFS


Plusieurs modifications mineures ont été apportées. Notamment le nom du pool ZFS et les ensembles de données ont été mis à jour.

Ces modifications ne sont pas appliquées lors de la mise à jour pour les pfSense déjà installés avec ZFS.
Ces changements ne sont pris en compte que pour les nouvelles installations.

Autre changement concernant ZFS : la compression pour les rotations des fichiers de journalisation est maintenant désactivée, car ZFS effectue sa propre compression.
Encore une fois, ce paramètre s'applique uniquement pour les nouvelles installations, mais pas pour les mises à jour. Aussi, si vous êtes sur un système de fichiers ZFS et que vous mettez à jour, il est conseillé de désactiver la compression pour les rotations des fichiers de journalisation. Cette opération s'effectue depuis le menu Status > System Logs, onglet "Settings".

Pour rappel, ZFS permet, entre autre, de créer des points de restauration permettant de réaliser des retours en arrière très simplement et très rapidement en cas de besoin.



Sécurité


  • Le format de hachage des mots de passe pour les utilisateurs locaux a été modifié de bcrypt à SHA-512.
  • Plusieurs corrections ont été apportées à l'interface graphique qui présentait des vulnérabilités potentielles à des attaques de type cross-site scripting (XSS).
  • Désactivation de l'accès ssh pour les comptes admin et root lorsque le compte admin est désactivé sur l'interface web.



Bugs / Améliorations


  • Il est enfin possible de configurer l'adresse IP WAN avec un /32 depuis le menu de la console (très utile pour des serveurs pfSense hébergés, par exemple).
  • Diverses améliorations sur la page et sur le processus de déconnexion du portail captif.
  • Correction de plusieurs bugs sur la validation du formulaire de configuration d'un serveur OpenVPN. Certains paramètres (notamment les paramètres NCP permettant une négociation des paramètres cryptographiques entre le client et le serveur) n'étaient pas correctement appliqués.
  • Correction d'une erreur qui apparaissait lorsqu'un alias de type "URL Table" était rechargé mais qu'il était vide.
  • Correction de plusieurs bugs qui existaient sur l'imbrication d'alias (c'est-à-dire un alias faisant référence à un autre alias).
  • Correction de bugs d'affichage.
  • Le service AutoConfigBackup a été amélioré sur plusieurs points, dont : amélioration des informations liées à la restauration, précisions sur l'emplacement des sauvegardes, amélioration de la performance générale du service.
  • Plusieurs corrections liées à CARP. Ces corrections portent principalement sur le fait de pouvoir modifier le VHID d'une adresse VIP déjà créée (la mise à jour n'était pas correctement appliquée ou diffusée).
  • Corrections de problématiques d'encodage de caractères UTF-8 pour les certificats créés localement sur pfSense.
  • Amélioration de la stabilité d'Unbound qui avait tendance à crasher facilement sur les installations personnalisées comportant des erreurs.
  • Il n'était plus possible d'utiliser le protocole de priorisation de trafic CBQ sur les interfaces VLAN (cela plantait). C'est corrigé.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.6.0 New Features and Changes [EN]



Pour aller plus loin


[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.


Découvrez nos services firewall SSD pour pfSense, compatibles AES-NI, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

7 commentaires

fverryden - 22/02/2022 à 19:37:13

Bonsoir à tous,

Depuis la mise a jour , Le VPN IPSEC se reconnecte bien mais est instable par moment et les flux transitent mal et notamment sur le protocole SIP.

Nous avons effectué toutes les vérifications, pas de pertes de paquets etc...,
Les interfaces se sont bien rétablies etc...
Avez-vous de problèmes similaires?

Dans l'attente de votre aide

@répondre #lien

TanguyIMS - 24/02/2022 à 15:37:26

@fverryden :

Bonjour fverryden,

Même chose de mon côté, IPsec stable avant mise à jour et dès mise à niveau, coupure IPSec sans aucune raison.

Avec version 2.5.2, coupure en OpenVPN et bureau à distance qui fige.

Seule solution, repasser à la version 2.4.5 p1 qui semble beaucoup plus stable.

@répondre #lien

fverryden - 27/02/2022 à 12:17:07

Bonjour TanguyIMS,

Je viens d'avoir un retour du support NETGATE:
Hello!

You can check this docs

https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html

You can try to set conservative firewall / optimization


Je viens de modifier dans mes paramétrages.

Je pourrais vérifier MARDI .

Je ferais un retour

Bon WK

@répondre #lien

fverryden - 01/03/2022 à 19:28:24

Bonsoir,
Après avoir passé un certain temps avec le support de NETGATE aujourd'hui, ils ne trouvent pas la solution pour le moment.

Ce qui a été fait:

Mode Conservateur,
Méthode Asynchrone,
Vérification des NAT Outbound
Essais avec différents paramétrages dans le VPN PACKET PROCESSING
Abaissement du MSS Maximum à1300

Bref beaucoup de choses sans succès.

Un petit coup de main ne serait pas de refus

Vous remerciant

@répondre #lien

Guillaume - 03/03/2022 à 08:29:47

Bonjour,

Nous n'avons pas constaté de bugs sur IPsec avec pfSense 2.6.0. En revanche, il existe des différences de configurations importantes. Notamment pour les IPsec VTI (IPsec routés).

Jusqu'à présent, tous les "problèmes" que nous avons constaté étaient liés à de mauvaises configurations. Ces configurations passaient avec pfSense 2.5.2, mais ne passent plus avec 2.6. Une fois la configuration corrigée, tout fonctionne parfaitement.


Pour @fverryden, la problématique liée à ses téléphones IP est corrigée. Il lui restait également une anomalie de configuration sur un autre VPN IPsec, j'espère qu'il en est venu à bout.


@TanguyIMS : OpenVPN est parfaitement stable sous pfSense 2.5.2. Il y a eu une grosse mise à jour d'OpenVPN entre pfSense 2.4.5-p1 et 2.5.x. Ainsi des configurations qui étaient erronées fonctionnaient sous pfSense 2.4.5-p1 (car plus permissif ou car certains paramètres n'étaient pas correctement pris en compte).
Si vous corrigez ces anomalies de configuration, OpenVPN fonctionnera parfaitement.

Dans tous les cas, c'est une très mauvaise idée de rester sous pfSense 2.4.5-p1 d'un point de vue sécurité.

Cordialement,

Guillaume
--
Provya

@répondre #lien

fverryden - 03/03/2022 à 08:38:48

@Guillaume: Bonjour,
Malheureusement nous n'en sommes toujours pas venu a bout.
Nous cherchons car nous avons une erreur de SYNTAX . Nous cherchons la solution.
Merci à vous

@répondre #lien

fverryden - 09/03/2022 à 16:25:32

Bonjour,

tous les VPN se connectent bien mais pas de com entrante ,
Pourtant, lorsque l'on trace de part et d'autre nous voyons bien les pings et les réponses .
Incompréhensible.

Pouvez-vous nous aider sur le sujet?

@répondre #lien

icon Flux RSS des commentaires de cet article