Derniers commentaires

Guillaume sur [pfSense] Ajouter un accès IPv6 à une connexion Internet IPv4 (via un tunnel)
@jmguilbert : Bonjour, Votre FAI ne vous fournit-…
jmguilbert sur [pfSense] Ajouter un accès IPv6 à une connexion Internet IPv4 (via un tunnel)
Bonjour, Dans une configuration différente d'IPv6 avec Pfs…
skies sur [pfSense] Configurer un VPN IPsec site à site
je fais cette exercice sur virtual box ici comment fonction…
Guillaume sur [pfSense] Troubleshooting / Dépannage de ses règles de NAT
Bonjour @Ahmat : Avez-vous ajouté les règles de fi…
Ahmat sur [pfSense] Troubleshooting / Dépannage de ses règles de NAT
Bonjour J'ai un problème de connexion internet dans mon …

pfSense 2.4.5 est disponible !

31/03/2020 - 2 commentaires

English version: pfSense 2.4.5 now available

Jeudi 26 mars 2020 est sortie la dernière version de pfSense. La version 2.4.5.

Cette mise à jour comporte des correctifs de sécurité, plusieurs nouvelles fonctionnalités et des correctifs de stabilité.

Dans cet article, nous faisons le tour des éléments marquants de cette mise à jour.

Nouvelles fonctionnalités

Les nouvelles fonctionnalités majeures sont les suivantes :

Le système d'exploitation est mis à jour vers FreeBSD 11.3 ;
Ajout de la possibilité de faire des recherches et des filtres sur plusieurs pages, dont notamment, la page de gestion des certificats (System > Cert. Manager), la page de visualisation des baux DHCP (Status > DHCP Leases), la page de visualisation de la table ARP (Diagnostics > ARP Table) ;
Ajout des groupes DH et PFS 25, 26, 27 et 31 pour les VPN ;
Modification de la configuration par défaut du système de fichiers UFS à noatime pour les nouvelles installations (ce paramètre n'est pas appliqué si vous faites une mise à jour de votre pfSense). Cela permet de réduire les écritures inutiles sur le disque ;
Ajout du paramètre autocomplete=new-password sur les formulaires de l'interface web contenant des champs d'authentification. Cela évite une auto-complétion par le navigateur ;
Ajout de Gandi et Linode dans la gestion des DNS dynamique (Services > Dynamic DNS).

Sécurité

Les mises à jour de sécurité majeures sont les suivantes :

Renforcement contre les attaques de type cross-site scripting (XSS) sur plusieurs pages de l'interface web ;
Résolution d'un problème d'escalade de privilège : un utilisateur authentifié, qui était autorisé à accéder au widget d'image pouvait exécuter un code PHP arbitraire ou accéder à des pages pour lesquelles il n'avait normalement pas les droits ;
Correction du format des messages d'échec d'authentification XMLRPC (servant pour la réplication sur une installation avec deux pfSense en cluster) afin que ces messages puissent être traités par sshguard ;
Mise à jour de la page d'erreur CSRF (Cross-site request forgery).

Bugs

Plusieurs bugs importants ont également été corrigés. C'est une très bonne chose.

Les bugs en question sont les suivants :

La durée de vie par défaut du certificat de l'interface web a été réduite à 398 jours. Ce qui est beaucoup plus conforme aux standards actuels. Un certificat avec une durée de vie trop longue entraînait des erreurs sur un certain nombre de plateformes (principalement iOS 13 et macOS 10.15). Si vous êtes sur une mise à jour et non pas sur une nouvelle installation, vous pouvez générer un nouveau certificat à partir de la console ou en SSH avec la commande : pfSsh.php playback generateguicert ;
Corrections de plusieurs bugs sur les IPsec VTI (IPsec routé) ;
Correction de plusieurs bugs d'affichage avec la gestion des vues personnalisées sur la page de supervision (Status > Monitoring) ;
Correction du bug de redirection pour les utilisateurs (autre que le compte admin) qui étaient redirigés vers une mauvaise page lorsqu'ils souhaitaient accéder à la page de gestion des utilisateurs (System > User Manager) ;
Correction d'un problème lors de la résolution des entrées FQDN dans les alias où certaines entrées pouvaient être manquantes.

Processus de mise à jour

En raison de la nature importante des changements dans cette mise à jour, des alertes ou des erreurs peuvent être affichées durant le process de mise à jour. Il ne faut pas spécialement en tenir compte. Notamment si vous voyez des erreurs concernant PHP ou la mise à jour de packages.
En conséquence, seules les erreurs qui persistent après la mise à jour sont significatives.

Dans tous les cas, pensez à faire une sauvegarde avant de lancer la mise à jour, et suivez notre tuto complet : [pfSense] Mettre à jour son serveur pfSense.

Enfin, vous pouvez consulter la liste complète des changements en visitant la page suivante : 2.4.5 New Features and Changes[EN]

Avertissement : Hyper-V

Attention, un bug a été rapporté pour les installations pfSense 2.4.5 fonctionnant sous Hyper-V (versions 2016 ou 2019). Il y a un emballement du CPU dès que plus de 2 CPU sont attribués à la VM faisant tourner pfSense.
Une solution de contournement consiste à réduire à un le nombre de CPU virtuel alloué à la VM.

Merci à @Hello qui a signalé ce problème en commentaire.

Mise à jour : l'origine du problème a été trouvé. Un bug a été ouvert : pf: tables use non SMP-friendly counters. Le bug apparaît lorsqu'un grande table est rechargée (la liste des bogons, par exemple) ; aussi une possible solution de contournement est de décocher la case "Block bogon networks" sur toutes les interfaces.

Pour aller plus loin

[pfSense] Mettre à jour son serveur pfSense
[pfSense] Configurer un cluster de 2 pfSense redondants (failover)
[pfSense] Tout comprendre aux alias
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard

Vous avez aimé cet article ? Vous cherchez du matériel ou un support professionnel ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense

Firewall pro-Large pour pfSense et OPNsense

Firewall pro-Xtend pour pfSense et OPNsense

Firewall pro-Xtrem pour pfSense et OPNsense

store.provya.fr

icon Tags de l'article : mise à jour pfSense pfSense

[pfSense] Mettre à jour son serveur pfSense

20/08/2019 - Aucun commentaire

English version: [pfSense] Upgrading pfSense (how-to)

Il est important de conserver une version de pfSense à jour sur ses firewall en production.
Nous présentons ici la procédure que nous utilisons lors de la mise à jour d'un pfSense standalone ou d'un cluster de pfSense.

Article mis à jour le : 20/08/2019

Avant de commencer, si votre système de fichiers est ZFS, pensez à créer un point de restauration avant de lancer la mise à jour.

1. Procédure de mise à niveau pour un pfSense seul

Dans le cas d'un serveur pfSense fonctionnant de manière autonome, la mise à jour va s'effectuer en 3 étapes :

Sauvegarde de la configuration : permettra un retour-arrière rapide en cas de problème
Mise à jour du serveur pfSense
Sauvegarde de la configuration après la mise à jour : permet de bénéficier d'une sauvegarde à jour de la configuration en cas de panne ultérieure

Sauvegarde de la configuration

Se rendre dans le menu Diagnostics > Backup/Restore :

menu Diagnostics > Backup & Restore pfSense - Provya

Dans le champ "Backup configuration" > "Backup area" choisir "ALL", laisser coché la case "Do not backup RRD data", et décoché les deux autres cases, puis cliquer sur "Download Configuration as XML" :

Exemple configuration backup pour pfSense - Provya

Mise à jour du serveur pfSense

Naviguer dans le menu System > Update :

Puis cliquer sur "Upgrade now" pour lancer la mise à jour.

Lors de la mise à jour, une coupure de service est à prévoir (redémarrage du serveur pfSense possible).

Sauvegarde de la configuration après la mise à jour

Refaire une sauvegarde en suivant la procédure décrite précédemment.

La mise à jour du serveur pfSense est terminée !

2. Procédure de mise à niveau d'un cluster de pfSense

Dans le cas de serveurs pfSense fonctionnant en redondance, la mise à jour va s'effectuer de la manière suivante :

Faire une sauvegarde du pfSense secondaire
Lancer la mise à jour du pfSense secondaire
Une fois la mise à jour du pfSense secondaire complète, faire une sauvegarde du pfSense primaire
Désactiver CARP sur le pfSense primaire => les adresses VIP vont basculer sur le pfSense secondaire
Lancer la mise à jour du pfSense primaire

Sauvegarde de la configuration du pfSense secondaire

Se rendre dans le menu Diagnostics > Backup/Restore :

Dans le champ "Backup configuration" > "Backup area" choisir "ALL", cocher la case "Do not backup RRD data", décocher les deux autres cases, puis cliquer sur "Download Configuration" :

Mise à jour du serveur pfSense secondaire

Naviguer dans le menu System > Update :

Puis cliquer sur "Upgrade now" pour lancer la mise à jour.

Sauvegarde de la configuration du pfSense primaire

Une fois la mise à jour terminée sur le pfSense secondaire, effectuer une sauvegarde du pfSense primaire en suivant la procédure détaillée à l'étape précédente.

Désactivation CARP du pfSense primaire

Avant de mettre à jour le pfSense primaire, nous basculons les adresses VIP sur le pfSense secondaire afin de ne pas perturber le service.

Pour cela, se rendre dans dans Status > CARP (failover) :

menu Status CARP Failover pfSense - Provya

Puis cliquer sur "Enter Persistent CARP Maintenance Mode" :

désactiver or disabled carp failover on pfSense - Provya

Les adresses VIP vont basculer sur le serveur pfSense secondaire.

Mise à jour du serveur pfSense primaire

Nous pouvons maintenant mettre à jour tranquillement le serveur primaire. La procédure est toujours la même que celle décrite aux étapes précédentes.

Une fois la mise à jour du serveur primaire terminée, la VIP ne va pas re-basculer d'elle-même sur le serveur pfSense primaire. Il faut la réactiver. Pour cela, nous nous rendons dans le menu Status > CARP (failover) et cliquons sur "Leave Persistent CARP Maintenance Mode" :

réactiver or enabled carp failover on pfSense - Provya

Il ne reste plus qu'à faire une sauvegarde du serveur pfSense primaire afin d'avoir une sauvegarde de la dernière configuration à jour.

La mise à jour du cluster de pfSense est terminée !

3. Vérifier et corriger la mise à jour des packages

Les packages peuvent parfois être une source de problème lors d'une mise à jour. Si des packages semblent ne plus fonctionner correctement après une mise à jour, il est recommandé de désinstaller le ou les packages concernés, puis de les réinstaller.

Pour aller plus loin

Best practices / Recommandations pour la configuration de votre firewall
[pfSense] Configurer un cluster de 2 pfSense redondants (failover)
Tous nos articles classés par thème
Voir un article au hasard

Vous avez aimé cet article ? Vous cherchez un support professionnel ? Alors contactez-nous.

Retrouvez nos services et firewall pour pfSense

store.provya.fr

icon Tags de l'article : mise à jour pfSense pfSense pfSense redondant upgrade

« éléments plus récents