Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

pfSense 2.6.0 est disponible

icon 15/02/2022 - 9 commentaires

Lundi 14 février 2022 est sortie la dernière version de pfSense. La version 2.6.0.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Filtrage / NAT


Plusieurs modifications / corrections apportées, dont notamment :
  • Ajout du support d'IPv6 pour les règles easyrule.
  • Possibilité d'utiliser un alias pour le champ destination des règles de NAT 1:1
  • La copie d'une règle de redirection de port (Port Forward) tient maintenant compte de la configuration existante pour l'association d'une règle de filtrage (Filter Rule Association).
  • Ajout d'une icône permettant de visualiser le sens du filtrage pour les règles de l'onglet "Floating".
  • Lorsque le nom d'un groupe d'interfaces commençait par un chiffre, cela générait un XML invalide. C'est corrigé.



IPsec


Cette version apporte plusieurs modifications importantes à IPsec. Ce sont des modifications portant sur la stabilité et les performances.

Le nom des interfaces IPsec VTI (IPsec routé) a changé. Les configurations existantes seront mises à jour automatiquement dans la mesure du possible pour utiliser les nouveaux noms.

Une fois la mise à jour vers pfSense 2.6.0 réalisée, il est conseillé de vérifier que les noms des instances VTI configurées ont correctement été repris pour l'assignation des interfaces. Cette vérification s'opère depuis le menu Interfaces > Assignments.

Il y a énormément de corrections de petits bugs spécifiques apportés à cette version de pfSense. Il est compliqué de tous les lister, mais en résumé, si vous avez des problèmes avec IPsec, mettez à jour !



ZFS


Plusieurs modifications mineures ont été apportées. Notamment le nom du pool ZFS et les ensembles de données ont été mis à jour.

Ces modifications ne sont pas appliquées lors de la mise à jour pour les pfSense déjà installés avec ZFS.
Ces changements ne sont pris en compte que pour les nouvelles installations.

Autre changement concernant ZFS : la compression pour les rotations des fichiers de journalisation est maintenant désactivée, car ZFS effectue sa propre compression.
Encore une fois, ce paramètre s'applique uniquement pour les nouvelles installations, mais pas pour les mises à jour. Aussi, si vous êtes sur un système de fichiers ZFS et que vous mettez à jour, il est conseillé de désactiver la compression pour les rotations des fichiers de journalisation. Cette opération s'effectue depuis le menu Status > System Logs, onglet "Settings".

Pour rappel, ZFS permet, entre autre, de créer des points de restauration permettant de réaliser des retours en arrière très simplement et très rapidement en cas de besoin.



Sécurité


  • Le format de hachage des mots de passe pour les utilisateurs locaux a été modifié de bcrypt à SHA-512.
  • Plusieurs corrections ont été apportées à l'interface graphique qui présentait des vulnérabilités potentielles à des attaques de type cross-site scripting (XSS).
  • Désactivation de l'accès ssh pour les comptes admin et root lorsque le compte admin est désactivé sur l'interface web.



Bugs / Améliorations


  • Il est enfin possible de configurer l'adresse IP WAN avec un /32 depuis le menu de la console (très utile pour des serveurs pfSense hébergés, par exemple).
  • Diverses améliorations sur la page et sur le processus de déconnexion du portail captif.
  • Correction de plusieurs bugs sur la validation du formulaire de configuration d'un serveur OpenVPN. Certains paramètres (notamment les paramètres NCP permettant une négociation des paramètres cryptographiques entre le client et le serveur) n'étaient pas correctement appliqués.
  • Correction d'une erreur qui apparaissait lorsqu'un alias de type "URL Table" était rechargé mais qu'il était vide.
  • Correction de plusieurs bugs qui existaient sur l'imbrication d'alias (c'est-à-dire un alias faisant référence à un autre alias).
  • Correction de bugs d'affichage.
  • Le service AutoConfigBackup a été amélioré sur plusieurs points, dont : amélioration des informations liées à la restauration, précisions sur l'emplacement des sauvegardes, amélioration de la performance générale du service.
  • Plusieurs corrections liées à CARP. Ces corrections portent principalement sur le fait de pouvoir modifier le VHID d'une adresse VIP déjà créée (la mise à jour n'était pas correctement appliquée ou diffusée).
  • Corrections de problématiques d'encodage de caractères UTF-8 pour les certificats créés localement sur pfSense.
  • Amélioration de la stabilité d'Unbound qui avait tendance à crasher facilement sur les installations personnalisées comportant des erreurs.
  • Il n'était plus possible d'utiliser le protocole de priorisation de trafic CBQ sur les interfaces VLAN (cela plantait). C'est corrigé.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Si votre pfSense est installé sur un système de fichiers ZFS, pensez à créer un point de restauration.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.6.0 New Features and Changes [EN]



Pour aller plus loin


[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité
[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

[pfSense] La puissance de ZFS pour des mises à jour et des retours arrière en toute sérénité

icon 08/02/2022 - 5 commentaires

Dans cet article nous présentons l'intérêt de l'utilisation du système de fichiers ZFS et de ses instantanés lors des mises à jour de pfSense.
Il s'agit d'une solution très efficace pour gérer ses mises à jour et ses possibilités de retour arrière vers des points de restauration très facilement.



ZFS, c'est quoi ? Quel intérêt ?


ZFS est un système de fichiers et un gestionnaire de volume open source.

ZFS offre de très nombreuses fonctionnalités. Nous ne les détaillerons pas dans cet article, nous proposons la consultation de la page Wikipédia qui lui est dédiée : ZFS.

Pour des firewall tournant sous pfSense, ZFS présente deux gros intérêts : la facilité d'installation de deux disques en haute-disponibilité (Raid) et la possibilité de réaliser des instantanés (snapshot).

Dans cet article, nous nous intéressons particulièrement à l'intérêt des snapshot ZFS lors des mises à jour de pfSense.

En effet, il peut arriver qu'une nouvelle version de pfSense comporte des bugs et que ceux-ci ne soient pas corriger immédiatement (ex : les versions 2.5.0 et 2.5.1 qui étaient catastrophiques) ; ou qu'il y ait une incompatibilité matérielle suite à une mise à jour (aucun risque si vous prenez votre matériel chez Provya ;-) ).

Dans ce cas, il peut être pratique de disposer d'un point de restauration pour pouvoir faire un retour-arrière rapide vers la version précédente de pfSense (ex : 2.4.5-p1).

Dans cet article, nous présentons comment créer un point de restauration grâce aux instantanés. Comment procéder à une restauration si besoin. Et comment supprimer le point de restauration si la mise à jour s'est bien passée.

Cette stratégie est applicable aussi bien à pfSense qu'à OPNsense.



Instantané, snapshot, qu'est-ce que c'est ?


Un instantané est une copie en lecture seule d'un système de fichiers ou d'un volume.

La création d'un instantané est quasiment immédiate.

Initialement, un instantané ne consomme pas d'espace disque supplémentaire. Toutefois, à mesure que les données contenues dans le jeu de données actif changent, l'instantané consomme de l'espace disque en continuant à faire référence aux anciennes données et empêche donc de libérer de l'espace disque.

Snapshot est le terme anglais pour instantané. Les termes "instantané" et "snapshot" désignent donc la même chose.



Pré-requis


1/2. Disposer d'un accès au firewall


Il faut disposer d'un accès en mode console au firewall. Il existe trois possibilités : utiliser la console présente dans l'interface web de pfSense, activer le serveur SSH de pfSense ou activer le port console (si le firewall est équipé d'un port console).


Utiliser la console de l'interface web

Il s'agit de la solution la plus simple. pfSense dispose d'un accès console depuis l'interface web. Pour y accéder, se rendre dans le menu Diagnostics > Command Prompt :

Invite de commande depuis le webui de pfSense - Provya


Il sera possible de saisir les commandes indiquées et de cliquer sur le bouton "Execute" pour les exécuter. Le résultat de la commande sera affiché à l'écran.

OPNsense n'offre pas d'accès console depuis son interface web. Ceci pour des raisons de sécurité.


Activer le serveur SSH de pfSense

La deuxième possibilité est de se connecter au firewall via son serveur SSH.
Par défaut, le serveur SSH est désactivé.

Pour l'activer, se rendre dans le menu System > Advanced :

Menu System > Advanced - pfSense - Provya


Descendre au niveau de la section "Secure Shell" et cocher la case "Enable Secure Shell".
Il est également possible de paramétrer la méthode d'authentification (mot de passe ou certificat) et le port d'écoute (22 par défaut).

Activer le serveur SSH de pfSense - Provya


Il faudra aussi potentiellement créer une règle de filtrage côté LAN pour autoriser la connexion sur le port 22 (ou sur le port choisi à l'étape précédente, s'il a été personnalisé).

Exemple de règle :

Règle de firewall pour l'accès SSH - pfSense - Provya


Pour OPNsense, le principe est le même : il faut activer le serveur SSH du firewall. La configuration s'opère depuis le menu Système > Paramètres > Administration.

Au niveau de la section "Shell Sécurisé", cocher la case "Activer le Shell sécurisé", autoriser potentiellement le compte root à se connecter si l'on ne possède pas un autre compte administrateur, autoriser (ou non) l'authentification par mot de passe et choisir le port d'écoute.
Il est également possible de personnaliser un certain nombre de paramètres de sécurité.

Activer serveur SSH - OPNsense - Provya



Activer le port console de pfSense

La troisième et dernière possibilité est de se connecter au firewall par son port console (ou port série).
Le port console est désactivé par défaut.
Il faudra bien sûr que le firewall soit équipé d'un port console.

Se rendre dans le menu System > Advanced et descendre jusqu'à la section "Serial Communications".
Cocher la case "Enable serial port" et cocher la case "Password protect the console menu" afin de protéger la console par un mot de passe.

Par défaut, lorsque le port console est activé, n'importe qui peut se brancher directement sur le firewall et disposer d'un accès root. Ce qui représente un risque en terme de sécurité.

Activer port console - pfSense - Provya



Pour OPNsense, la configuration s'opère depuis le menu Système > Paramètres > Administration :

Activer port console - OPNsense - Provya




2/2. Disposer d'un système de fichiers ZFS



Dernier pré-requis, il faut bien sûr que notre firewall soit installé avec le système de fichiers ZFS.

Pour savoir si notre système de fichiers est ZFS, saisir la commande suivante :

zfs list

S'il s'agit d'un système de fichiers ZFS, nous devrions obtenir un résultat du type :

NAME                 USED  AVAIL  REFER  MOUNTPOINT
zroot                900M  12.2G    88K  /zroot
zroot/ROOT           886M  12.2G    88K  none
zroot/ROOT/default   886M  12.2G   886M  /
zroot/tmp            192K  12.2G   192K  /tmp
zroot/var           11.4M  12.2G  11.4M  /var

Autrement, nous obtenons un résultat du type :

no datasets available



Procédure


Dans cet article, nous prenons comme exemple la mise à jour de pfSense de la version 2.5.2 vers la version 2.6.0 (non, la version 2.6.0 n'est pas encore sortie, mais ce n'est plus qu'une question de jours / semaines ;-) )

Les étapes à suivre sont les suivantes.

1. Voir les environnements de démarrage actuels avec la commande bectl list.

Si nous n'avons jamais trifouillé ces options, nous devrions obtenir quelque chose comme ceci :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE      Active Mountpoint Space Created
default NR     /          886M  2021-12-17 16:21

  • N signifie actif actuellement (Now)
  • R signifie actif au prochain redémarrage (Reboot)


2. Ajouter un nouvel environnement de démarrage que l'on appelle "pfsense-2.5.2" (ce sera notre point de restauration en cas de besoin) :

bectl create pfsense-2.5.2

3. Pour plus de lisibilité, renommer l'environnement de démarrage actuel (default) en "pfsense-2.6.0" :

bectl rename default pfsense-2.6.0

Une fois ces commande saisies, nous obtenons les environnements de démarrage suivants :

BE            Active Mountpoint Space Created
pfsense-2.5.2 -      -          8K    2022-02-07 17:56
pfsense-2.6.0 NR     /          886M  2021-12-17 16:21

On peut voir que notre nouvel environnement de démarrage ne prend que très peu d'espace disque à ce stade (8 Ko).

4. Réaliser un instantané des partitions /var et /tmp :

zfs snapshot zroot/var@pfsense-2.5.2
zfs snapshot zroot/tmp@pfsense-2.5.2

Les partitions /var et /tmp ne sont pas sur le même pool. Il faut donc les sauvegarder via un instantané. C'est ce que nous venons de faire.

Il est possible d'afficher la liste des instantanés ZFS avec la commande suivante :

zfs list -t snapshot

Le résultat ressemblera à ceci :

NAME                                             USED  AVAIL  REFER  MOUNTPOINT
zroot/ROOT/pfsense-2.6.0@2022-02-07-17:56:35-0      0      -   886M  -
zroot/tmp@pfsense-2.5.2                           64K      -   192K  -
zroot/var@pfsense-2.5.2                           88K      -  11.4M  -

Encore une fois, on voit que les instantanés ne consomment pratiquement pas d'espace disque supplémentaire au moment de leur création.

C'est tout !

Nous avons créé un deuxième environnement de démarrage (qui est une copie du premier à ce stade) et un instantané des partitions /var et /tmp.

À ce stade, nous pouvons lancer la mise à jour de pfSense (ou d'OPNsense) de manière tout à fait classique.

On peut aussi tester la branche de développement, installer des packages, tester des configurations, etc. En cas de pépin, nous pourrons très rapidement revenir à notre point de restauration.

Dans notre cas, et pour l'exemple, nous décidons de tester la version 2.6.0 de pfSense :

Tester pfSense 2.6.0 Release Candidate - Provya


Pour mettre à jour notre serveur, n'hésitons pas à nous appuyer sur notre article dédié : [pfSense] Mettre à jour son serveur pfSense



La mise à jour s'est bien passée, comment supprimer l'instantané ?



Si notre mise à jour s'est bien passée. Nous conseillons de ne toucher à rien durant les premiers jours / semaines, le temps de s'assurer qu'il n'y ait pas d'effets de bord et que tous les services fonctionnent tel qu'attendu.

Si c'est le cas, alors nous pouvons supprimer notre point de restauration et nos instantanés, ce qui permettra de libérer de l'espace sur le disque-dur.

En effet, là où notre point de restauration de notre environnement de démarrage ne prenait que 8 Ko à sa création, il en consomme maintenant bien plus :

[2.6.0-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE            Active Mountpoint Space Created
pfsense-2.5.2 -      -          777M  2022-02-07 17:56
pfsense-2.6.0 NR     /          1.74G 2021-12-17 16:21

Notre point de restauration de notre environnement de démarrage consomme maintenant 777 Mo d'espace sur le disque-dur.

Idem pour les instantanés de /var et /tmp :

[2.6.0-RELEASE][root@pfSense.home.arpa]/root: zfs list -t snapshot
NAME                                             USED  AVAIL  REFER  MOUNTPOINT
zroot/ROOT/pfsense-2.6.0@2022-02-07-17:56:35-0   777M      -   886M  -
zroot/tmp@pfsense-2.5.2                          160K      -   192K  -
zroot/var@pfsense-2.5.2                         5.05M      -  11.4M  -


Pour supprimer le point de restauration et les instantanés, les trois commandes à saisir sont les suivantes :

bectl destroy pfsense-2.5.2
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2

C'est tout.



Je souhaite faire un retour-arrière, comment faire ?



Si la mise à jour s'est mal passée ou si nous souhaitons revenir à l'état antérieur, il suffit de restaurer les instantanés ZFS et de modifier l'environnement de démarrage pour choisir notre point de restauration.

Pour activer notre point de restauration au prochain démarrage, la commande à saisir est la suivante :

bectl activate pfsense-2.5.2

Nous obtenons un message de confirmation. Il est également possible de vérifier la bonne prise en compte de la configuration via la commande bectl list :

BE            Active Mountpoint Space Created
pfsense-2.5.2 R      -          886M  2022-02-07 17:56
pfsense-2.6.0 N      /          893M  2021-12-17 16:21

Le marqueur R a bien basculé sur notre environnement de démarrage pfsense-2.5.2.

Et pour rétablir les instantanés, les commandes à saisir sont les suivantes :

zfs rollback -R zroot/var@pfsense-2.5.2
zfs rollback -R zroot/tmp@pfsense-2.5.2

Il reste à redémarrer le firewall pour que les changements soient totalement pris en compte.

Le redémarrage peut être lancé depuis l'interface web ou depuis la ligne de commande. La ligne de commande à saisir sera :

shutdown -r now


Une fois redémarré, on pourra supprimer les instantanés et l'environnement de démarrage qui ne sont plus utilisés, soit dans notre exemple :

bectl destroy pfsense-2.6.0
zfs destroy zroot/var@pfsense-2.5.2
zfs destroy zroot/tmp@pfsense-2.5.2

On peut vérifier que les commandes ont bien été prises en compte en listant les instantanés ZFS :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: zfs list -t snapshot
no datasets available

Les instantanés ont bien été supprimés.


Puis, en vérifiant les environnements de démarrage disponibles :

[2.5.2-RELEASE][root@pfSense.home.arpa]/root: bectl list
BE            Active Mountpoint Space Created
pfsense-2.5.2 NR     /          886M  2022-02-07 17:56


Enfin, pour se remettre totalement dans la situation d'origine, on pourrait renommer l'environnement de démarrage en "default" avec la commande suivante :

bectl rename pfsense-2.5.2 default

Voilà, nous avons fait le tour des éléments à connaître pour créer des points de restauration super facilement sur pfSense et OPNsense.
C'est une approche que nous recommandons fortement de suivre avant de lancer la mise à jour de nos firewall.



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.5.2 est disponible

icon 08/07/2021 - Aucun commentaire

English version: pfSense 2.5.2 now available

Mercredi 07 juillet 2021 est sortie la dernière version de pfSense. La version 2.5.2.

Il s'agit d'une mise à jour qui apporte principalement des corrections de bugs, ainsi qu'un timide retour de Wireguard.

Dans cet article, nous faisons le tour rapide des éléments marquants de cette mise à jour.



Bugs / Améliorations


Concernant le routage, il existait deux bugs importants qui ont été corrigés :
  • Correction de l'énorme bug qui empêchait de mettre en œuvre des redirections de ports sur les WAN secondaires. Ce problème était apparu avec la version 2.5.1.
  • Correction d'un bug qui empêchait de faire du 1:1 NAT sur les VPN IPsec.

De nombreuses anomalies liées à l'interface web ou à PHP ont également été corrigées :
  • Dashboard / sonde de température : les valeurs retournées étaient vides ou fausses pour certains matériels.
  • Widget IPsec : uniquement la première phase 2 était affichée dans certain cas sur le tableau de bord.
  • La modification de Widget pouvait provoquer des avertissements PHP (Warning).
  • Le Widget NTP affichait des valeurs incorrectes ou incohérentes.
  • Affichage / code PHP : correction d'un certain nombre d'erreurs d'affichage ou d'erreurs PHP.
  • Corrections des erreurs PHP qui étaient affichées lorsque le fichier PHP_error.log était trop volumineux.

Les autres corrections notables sont les suivantes :
  • Portail captif : correction d'une faille de sécurité de type XSS qui permettait l'exécution de code javascript s'il était passé dans la variable redirurl ;
  • Résolveur DNS (Unbound) : retour vers Unbound 1.12.x car il y avait trop d'instabilité avec Unbound 1.13.x. C'est temporaire, les futures version de pfSense re-basculeront sur Unbound 1.13.x dès que cela aura été stabilisé ;
  • AES-NI (accélération cryptographique) : correction d'un bug sur le support de SHA1 et SHA-256 lorsqu'AES-NI est utilisé ;
  • IPsec : correction de nombreux bugs résiduels qui étaient apparus avec pfSense 2.5.0 et qui n'avaient pas été corrigés avec la version 2.5.1 ;
  • OpenVPN : correction de plusieurs petits bugs et mise à jour d'OpenVPN vers la version 2.5.2 ;
  • Interfaces réseaux : correction d'un bug qui empêchait de modifier la MTU si IPv4 et IPv6 étaient tous les deux actifs sur l'interface.


Enfin, plusieurs améliorations au niveau du système d'exploitation (FreeBSD) ont été ajoutées :
  • Ajout du pilote RTL8153 (qui est un adaptateur USB vers Ethernet) au noyau FreeBSD ;
  • Ajout du support pour la console Xen ;
  • Ajout de nouveaux algorithmes de contrôle de la congestion réseau.



Nouveautés


Il n'y a pas de grosses nouveautés pour cette version de pfSense.

On peut cependant noter l'ajout du support des fournisseurs de DNS dynamique suivant : Mythic-Beasts, one.com, Yandex PDD, NIC.RU et Gandi LiveDNS IPv6.

Dernier élément notable, le package WireGuard est réintroduit en tant que package expérimental.
À utiliser avec précaution, donc.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.5.2 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.5.1 est disponible

icon 15/04/2021 - 3 commentaires

English version: pfSense 2.5.1 now available

Mardi 13 avril 2021 est sortie la dernière version de pfSense. La version 2.5.1.

Il s'agit d'une mise à jour qui corrige principalement les très nombreux bugs apportés avec pfSense 2.5.0. Autre nouveauté importante : le logiciel WireGuard est retiré de pfSense.

Dans cet article, nous faisons un tour rapide des éléments marquants de cette mise à jour.



Nouveautés


Il s'agit de la seule nouveauté de pfSense 2.5.1, comme nous l'avions annoncé dans un précédent article, WireGuard est retiré de pfSense 2.5.1 pour des raisons de sécurité.

/!\ Attention : pour bénéficier de cette mise à jour, vous devez supprimer toutes configurations existantes de WireGuard : si vous avez configuré un VPN WireGuard sur votre pfSense, la mise à jour 2.5.1 ne pourra pas se faire.



Bugs / Améliorations


Les principaux bugs corrigés ou les principales améliorations apportées sont les suivantes :
  • Alias : il n'était plus possible de renommer un alias déjà en cours d'utilisation. C'est corrigé.
  • Authentification : correction d'un problème d'authentification LDAP pour les accès SSH à pfSense.
  • Certificats : plusieurs bugs ont été corrigés. Notamment des bugs portant sur le renouvellement de certificat.
  • Tableau de bord : correction de plusieurs indicateurs qui remontaient des valeurs incorrectes, notamment sur le processeur ou sur la table d'états.
  • Gateway : plusieurs bugs corrigés notamment sur la gestion de passerelles se trouvant sur un sous-réseau différent de l'interface WAN.
  • IPsec : énormément de bugs ont été corrigés (bugs qui avaient été introduits par la version 2.5.0).
  • OpenVPN : plusieurs bugs, plutôt mineurs, ou anomalies d'affichage ont été corrigés.
  • IPv6 : correction d'une anomalie sur la gestion des RA (Routeur Advertisements).
  • Notifications : certaines notifications (notamment via Telegram) ne respectaient pas la configuration du proxy. C'est corrigé.
  • Haute-disponibilité : correction d'erreurs de synchronisations avec XMLRPC.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Vous ne pourrez pas mettre à jour si vous utilisez un VPN WireGuard : la mise à jour vous sera proposée, mais elle échouera. Vous devez d'abord supprimer les configuration WireGuard existantes avant de pouvoir mettre à jour.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (à saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 21.02.2/2.5.1 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
WireGuard est retiré de pfSense pour des raisons de sécurité
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.5.0 et pfSense Plus 21.02 sont disponibles !

icon 18/02/2021 - Aucun commentaire

English version: pfSense 2.5.0 and pfSense Plus 21.02 now available

Mercredi 17 février 2021 est sortie la dernière version de pfSense. La version 2.5.0. Ainsi que la première version de pfSense Plus : la version 21.02.

Il s'agit d'une mise à jour importante en terme de fonctionnalités, de correctifs de sécurité et de stabilité.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.



Nouveautés


Les nouveautés principales sont les suivantes :

  • mise à jour de l'OS vers FreeBSD 12.2 (qui est la dernière version stable de FreeBSD) ;
  • implémentation de Wireguard, qui est une solution VPN open-source qui se veut être très simple à mettre en œuvre et très performante ;
  • suppression de la fonctionnalité "Load Balancer" intégrée à pfSense : il est recommandé de se tourner vers le package HAProxy ;
  • Ajout de l'authentification Radius pour les utilisateurs SSH ;
  • Amélioration de la gestion des sauvegardes (davantage d'options sont disponibles, notamment pour sauvegarder les baux DHCP, ou les adresses MAC utilisées sur le portail captif, ...)
  • mise à jour d'OpenSSL vers la version 1.1.1 ;
  • mise à jour d'OpenVPN vers la version 2.5.0 ;
  • mise à jour de PHP (7.4) et de Python (3.7)



Bugs / Améliorations


Plusieurs bugs ont été corrigés et des améliorations apportées :

  • Alias : correction de plusieurs bugs (notamment pour les alias mélangeant des adresses IPv4 et IPv6).
  • LDAP / Radius : correction de plusieurs bugs pour l'authentification LDAP / Radius.
  • Portail captif : correction de plusieurs bugs mineurs sur la gestion de l'authentification.
  • Certificats : amélioration sur la gestion, la création et le renouvellement des certificats.
  • Service DHCP : ajout de fonctionnalités diverses (suppression de tous les baux en un clic, ajout d'options DHCP pour les entrées statiques, ...).
  • Passerelle : amélioration de la gestion des passerelles par défaut : il est maintenant possible d'obtenir une passerelle par DHCP qui soit en dehors du sous-réseau de l'interface ; et corrections de quelques bugs mineurs liés à IPv6.
  • IPsec : pas mal d'améliorations cosmétiques ou techniques : plusieurs petits bugs ont été corrigés et la gestion des VPN IPsec gagne en lisibilité.
  • Notifications : évolution de la gestion des notifications : les notifications via Growl ont été supprimées ; ajout de la possibilité d'envoi de notifications via Telegram.
  • OpenVPN : il n'est plus possible de désactiver la négociation des paramètres de sécurité (NCP - Negotiable Cryptographic Parameters) ; et dorénavant par défaut, lorsqu'un client envoie des paquets compressés, pfSense les décompresse, mais les réponses ne seront pas compressées (la compression sous OpenVPN est dépréciée depuis très longtemps pour des raisons de sécurité et de performance).



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (en saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 21.02/2.5.0 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.4.5-p1 est disponible !

icon 10/06/2020 - Aucun commentaire

English version: pfSense 2.4.5-p1 now available

Mardi 09 juin 2020 est sortie la dernière version de pfSense. La version 2.4.5-p1.

Cette mise à jour comporte des correctifs de sécurité et de stabilité.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.



Sécurité


Les mises à jour de sécurité majeures sont les suivantes :

  • Correction du bug provoquant un emballement du CPU sur les pfSense virtualisés. Le bug apparaissait lors du rechargement d'une grande table pf (comme la liste des bogons, par exemple). Nous avions détaillé le bug dans notre article pfSense 2.4.5 est disponible !.
  • Correction d'un bug sur le package SSHGuard qui l'empêchait de protéger correctement les attaques par force brute.
  • Mise à jour de Unbound afin de corriger les vulnérabilités CVE-2020-12662 [EN] et CVE-2020-12663 [EN] ; il s'agit de vulnérabilités d'importance "haute" ; Unbound est un résolveur DNS.
  • Mise à jour de json-c afin de corriger la vulnérabilité CVE-2020-12762 [EN] ; il s'agit d'une vulnérabilité d'importance "haute" ; json-c est une bibliothèque d'implémentation du format JSON en C.
  • Correction d'une mauvaise gestion des droits attribués aux groupes d'utilisateurs.
  • Corrections de plusieurs avis de sécurité de FreeBSD.



Bugs / Amélioration


Plusieurs bugs ont été corrigés et des améliorations apportées :

  • Correction d'un problème lié au choix de la langue. C'est principalement le Mandarin de Taïwan qui était impacté par ce problème.
  • Ajout du pilote iwm pour les cartes wifi Intel (le pilote ne permet aux cartes wifi Intel de ne fonctionner qu'en mode client uniquement).
  • Ajour du pilote glxgb pour le support des cartes Ethernet QLogic 10Gbit/s.
  • Mise à jour du support de la norme EDNS ; EDNS (Extension mechanisms for DNS) est une extension au protocole DNS permettant l'ajout de fonctionnalités et l'augmentation de la taille de certains paramètres.
  • Squid : correction d'un dysfonctionnement sur les filtres LDAP contenant des accents.



Processus de mise à jour


Cette nouvelle version est disponible pour les mises à jour, et en téléchargement pour les nouvelles installations.

Si aucune mise à jour ne vous est proposée, il peut être utile de rafraîchir les dépôts de votre pfSense à l'aide des commandes suivantes (en saisir en console ou depuis un shell) :

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade

Pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.4.5-p1 New Features and Changes [EN]



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel de qualité ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

pfSense 2.4.5 est disponible !

icon 31/03/2020 - 2 commentaires

English version: pfSense 2.4.5 now available

Jeudi 26 mars 2020 est sortie la dernière version de pfSense. La version 2.4.5.

Cette mise à jour comporte des correctifs de sécurité, plusieurs nouvelles fonctionnalités et des correctifs de stabilité.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.



Nouvelles fonctionnalités


Les nouvelles fonctionnalités majeures sont les suivantes :

  • Le système d'exploitation est mis à jour vers FreeBSD 11.3 ;
  • Ajout de la possibilité de faire des recherches et des filtres sur plusieurs pages, dont notamment, la page de gestion des certificats (System > Cert. Manager), la page de visualisation des baux DHCP (Status > DHCP Leases), la page de visualisation de la table ARP (Diagnostics > ARP Table) ;
  • Ajout des groupes DH et PFS 25, 26, 27 et 31 pour les VPN ;
  • Modification de la configuration par défaut du système de fichiers UFS à noatime pour les nouvelles installations (ce paramètre n'est pas appliqué si vous faites une mise à jour de votre pfSense). Cela permet de réduire les écritures inutiles sur le disque ;
  • Ajout du paramètre autocomplete=new-password sur les formulaires de l'interface web contenant des champs d'authentification. Cela évite une auto-complétion par le navigateur ;
  • Ajout de Gandi et Linode dans la gestion des DNS dynamique (Services > Dynamic DNS).



Sécurité


Les mises à jour de sécurité majeures sont les suivantes :

  • Renforcement contre les attaques de type cross-site scripting (XSS) sur plusieurs pages de l'interface web ;
  • Résolution d'un problème d'escalade de privilège : un utilisateur authentifié, qui était autorisé à accéder au widget d'image pouvait exécuter un code PHP arbitraire ou accéder à des pages pour lesquelles il n'avait normalement pas les droits ;
  • Correction du format des messages d'échec d'authentification XMLRPC (servant pour la réplication sur une installation avec deux pfSense en cluster) afin que ces messages puissent être traités par sshguard ;
  • Mise à jour de la page d'erreur CSRF (Cross-site request forgery).



Bugs


Plusieurs bugs importants ont également été corrigés. C'est une très bonne chose.

Les bugs en question sont les suivants :

  • La durée de vie par défaut du certificat de l'interface web a été réduite à 398 jours. Ce qui est beaucoup plus conforme aux standards actuels. Un certificat avec une durée de vie trop longue entraînait des erreurs sur un certain nombre de plateformes (principalement iOS 13 et macOS 10.15). Si vous êtes sur une mise à jour et non pas sur une nouvelle installation, vous pouvez générer un nouveau certificat à partir de la console ou en SSH avec la commande : pfSsh.php playback generateguicert ;
  • Corrections de plusieurs bugs sur les IPsec VTI (IPsec routé) ;
  • Correction de plusieurs bugs d'affichage avec la gestion des vues personnalisées sur la page de supervision (Status > Monitoring) ;
  • Correction du bug de redirection pour les utilisateurs (autre que le compte admin) qui étaient redirigés vers une mauvaise page lorsqu'ils souhaitaient accéder à la page de gestion des utilisateurs (System > User Manager) ;
  • Correction d'un problème lors de la résolution des entrées FQDN dans les alias où certaines entrées pouvaient être manquantes.



Processus de mise à jour


En raison de la nature importante des changements dans cette mise à jour, des alertes ou des erreurs peuvent être affichées durant le process de mise à jour. Il ne faut pas spécialement en tenir compte. Notamment si vous voyez des erreurs concernant PHP ou la mise à jour de packages.
En conséquence, seules les erreurs qui persistent après la mise à jour sont significatives.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.4.5 New Features and Changes[EN]



Avertissement : Hyper-V


Attention, un bug a été rapporté pour les installations pfSense 2.4.5 fonctionnant sous Hyper-V (versions 2016 ou 2019). Il y a un emballement du CPU dès que plus de 2 CPU sont attribués à la VM faisant tourner pfSense.
Une solution de contournement consiste à réduire à un le nombre de CPU virtuel alloué à la VM.

Merci à @Hello qui a signalé ce problème en commentaire.

Mise à jour : l'origine du problème a été trouvé. Un bug a été ouvert : pf: tables use non SMP-friendly counters. Le bug apparaît lorsqu'un grande table est rechargée (la liste des bogons, par exemple) ; aussi une possible solution de contournement est de décocher la case "Block bogon networks" sur toutes les interfaces.



Pour aller plus loin


[pfSense] Mettre à jour son serveur pfSense
[pfSense] Configurer un cluster de 2 pfSense redondants (failover)
[pfSense] Tout comprendre aux alias
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez du matériel ou un support professionnel ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :

[pfSense] Mettre à jour son serveur pfSense

icon 20/08/2019 - Aucun commentaire

English version: [pfSense] Upgrading pfSense (how-to)

Il est important de conserver une version de pfSense à jour sur ses firewall en production.
Nous présentons ici la procédure que nous utilisons lors de la mise à jour d'un pfSense standalone ou d'un cluster de pfSense.

Article mis à jour le  : 20/08/2019

Avant de commencer, si votre système de fichiers est ZFS, pensez à créer un point de restauration avant de lancer la mise à jour.



1. Procédure de mise à niveau pour un pfSense seul


Dans le cas d'un serveur pfSense fonctionnant de manière autonome, la mise à jour va s'effectuer en 3 étapes :
  1. Sauvegarde de la configuration : permettra un retour-arrière rapide en cas de problème
  2. Mise à jour du serveur pfSense
  3. Sauvegarde de la configuration après la mise à jour : permet de bénéficier d'une sauvegarde à jour de la configuration en cas de panne ultérieure


Sauvegarde de la configuration


Se rendre dans le menu Diagnostics > Backup/Restore :

menu Diagnostics > Backup & Restore pfSense - Provya


Dans le champ "Backup configuration" > "Backup area" choisir "ALL", laisser coché la case "Do not backup RRD data", et décoché les deux autres cases, puis cliquer sur "Download Configuration as XML" :

Exemple configuration backup pour pfSense - Provya



Mise à jour du serveur pfSense


Naviguer dans le menu System > Update :

menu System Update pfSense - Provya


Puis cliquer sur "Upgrade now" pour lancer la mise à jour.

Lors de la mise à jour, une coupure de service est à prévoir (redémarrage du serveur pfSense possible).


Sauvegarde de la configuration après la mise à jour


Refaire une sauvegarde en suivant la procédure décrite précédemment.

La mise à jour du serveur pfSense est terminée !



2. Procédure de mise à niveau d'un cluster de pfSense


Dans le cas de serveurs pfSense fonctionnant en redondance, la mise à jour va s'effectuer de la manière suivante :
  1. Faire une sauvegarde du pfSense secondaire
  2. Lancer la mise à jour du pfSense secondaire
  3. Une fois la mise à jour du pfSense secondaire complète, faire une sauvegarde du pfSense primaire
  4. Désactiver CARP sur le pfSense primaire => les adresses VIP vont basculer sur le pfSense secondaire
  5. Lancer la mise à jour du pfSense primaire


Sauvegarde de la configuration du pfSense secondaire


Se rendre dans le menu Diagnostics > Backup/Restore :

menu Diagnostics > Backup & Restore pfSense - Provya



Dans le champ "Backup configuration" > "Backup area" choisir "ALL", cocher la case "Do not backup RRD data", décocher les deux autres cases, puis cliquer sur "Download Configuration" :

Exemple configuration backup pour pfSense - Provya



Mise à jour du serveur pfSense secondaire


Naviguer dans le menu System > Update :

menu System Update pfSense - Provya


Puis cliquer sur "Upgrade now" pour lancer la mise à jour.


Sauvegarde de la configuration du pfSense primaire


Une fois la mise à jour terminée sur le pfSense secondaire, effectuer une sauvegarde du pfSense primaire en suivant la procédure détaillée à l'étape précédente.


Désactivation CARP du pfSense primaire


Avant de mettre à jour le pfSense primaire, nous basculons les adresses VIP sur le pfSense secondaire afin de ne pas perturber le service.

Pour cela, se rendre dans dans Status > CARP (failover) :

menu Status CARP Failover pfSense - Provya


Puis cliquer sur "Enter Persistent CARP Maintenance Mode" :

désactiver or disabled carp failover on pfSense - Provya


Les adresses VIP vont basculer sur le serveur pfSense secondaire.


Mise à jour du serveur pfSense primaire


Nous pouvons maintenant mettre à jour tranquillement le serveur primaire. La procédure est toujours la même que celle décrite aux étapes précédentes.


Une fois la mise à jour du serveur primaire terminée, la VIP ne va pas re-basculer d'elle-même sur le serveur pfSense primaire. Il faut la réactiver. Pour cela, nous nous rendons dans le menu Status > CARP (failover) et cliquons sur "Leave Persistent CARP Maintenance Mode" :

réactiver or enabled carp failover on pfSense - Provya



Il ne reste plus qu'à faire une sauvegarde du serveur pfSense primaire afin d'avoir une sauvegarde de la dernière configuration à jour.

La mise à jour du cluster de pfSense est terminée !



3. Vérifier et corriger la mise à jour des packages


Les packages peuvent parfois être une source de problème lors d'une mise à jour. Si des packages semblent ne plus fonctionner correctement après une mise à jour, il est recommandé de désinstaller le ou les packages concernés, puis de les réinstaller.



Pour aller plus loin


Best practices / Recommandations pour la configuration de votre firewall
[pfSense] Configurer un cluster de 2 pfSense redondants (failover)
Tous nos articles classés par thème
Voir un article au hasard


Vous avez aimé cet article ? Vous cherchez un support professionnel ? Alors contactez-nous.

Découvrez nos services et firewall pour pfSense, assemblés en France, garantie 3 ans


Formation pfSense     Firewall pro-Middle     Firewall pro-Large     Liste de filtrage des IP malveillantes

store.provya.fr

icon Tags de l'article :