OPNsense 25.1.11: Letztes Maintenance-Release vor Version 25.7

Die auf FreeBSD basierende Router- und Firewall-Distribution OPNsense liefert das letzte Update für den 25.1-Zweig aus. Parallel dazu gibt es einen RC2 für Version 25.7. OPNsense, ursprünglich ein Fork von pfSense, hat mittlerweile eine fast komplett eigenständige Codebasis und feierte kürzlich das zehnjährige Bestehen. OPNsense 25.1 „Ultimate Unicorn“ bekommt mit Patchlevel 11 sein elftes und letztes Update.

Laut den Entwicklern enthält OPNsense 25.1.11 eine Reihe der „latest FreeBSD SA/EN patches“. Gemeint sind damit die FreeBSD Security Advisories (SA, Sicherheitslücken) und die FreeBSD Errata Notices (EN, Softwarefehler). Damit ist OPNsense sicherheitstechnisch und in Bezug auf Bugs auf dem Stand der FreeBSD-14.2-Basis. Erst mit dem kommenden OPNsense 25.7.x wird der Wechsel auf das aktuelle FreeBSD 14.3 stattfinden.

Viele Fixes inklusive behobenem OpenZFS-Bug

Weitere Fixes betreffen beispielsweise die Übergabe von Parametern an cron(8)-Jobs, diverse dnsmasq(8)-Bugs sowie ein Problem bei openvpn(8). Die Plug-ins für universellen TLS/SSL-Tunnel-Service (os-stunnel) und Zabbix (Monitoring) wurden verbessert. Auch OpenZFS, dessen Entwicklung seit der Zusammenführung mit GNU/Linux nun viel schneller weiterentwickelt wird, benötigt seitdem auch häufig Bugfixes – in diesem Fall, um Korruptionen in ZFS-Replikationsströmen von verschlüsselten Datensätzen zu verhindern.

Außerhalb des FreeBSD-Basissystems, also in den Ports, sind auch viele Fehlerverbesserungen eingeflossen: libxml, nss, PHP, sqlite sowie ein Angriff zur Ausweitung der lokalen Rechte bei sudo(8) und einer Sicherheitslücke bei OpenSSL. OPNsense bot anfangs (Version 15.7) die Möglichkeit, zwischen OpenSSL und dem auf Sicherheit optimierten OpenBSD-Projekt LibreSSL zu wählen. Mit OPNsense 23.1 haben die Entwickler LibreSSL aus ihrem Produkt entfernt.

Cloud-Metriken mit kleinem Stolperstein in libuuid(3)

Ein nicht komplett gelöstes Problem von OPNsense 25.1.11 scheint es bei leicht veralteten Versionen von libuuid(3) zu geben, das ein Teil des e2fsprogs-Paketes ist. OPNsense benötigt das nicht etwa, um ext2/3/4-Dateisysteme zu managen, sondern UUIDs zu generieren, beispielsweise für HTTP-Cookies. Die wiederum benötigt das weitverbreitete und cloudbasierte Netdata.

Über Netdata werden sekundengenau sämtliche Telemetriedaten der OPNsense-Firwall gesammelt, in die Cloud gesendet und können dort recht hübsch angezeigt werden. Sollten sich Netdata nicht installieren lassen, empfehlen die OPNsense-Entwickler eventuelle zusätzliche Repositories zu deaktivieren und das Update erneut zu starten.

Kommt die Tage: Das neue OPNsense 25.7

Das kommende OPNsense 25.7 wird noch im Juli erscheinen. Es bringt ein Upgrade der FreeBSD-Basis von Version 14.2 auf das aktuelle 14.3 samt aller Verbesserungen und Bugfixes, von denen allerdings viele schon in die Vorgängerversion eingeflossen sind. Wer den gerade veröffentlichten Release Candidate 2 (OPNsense 25.7-RC2) bereits ausprobieren möchte, muss zuerst den RC1 installieren, da RC2 nur als Online-Update zur Verfügung steht. In der Ankündigung ganz unten sind wichtige Informationen zu einer eventuell anstehenden Migration von 25.1 auf 25.7 aufgeführt, die beispielsweise Backups auf Google Drive, OpenVPN oder IPsec betreffen.

Die Versionsnummern von OPNsense folgen einem klaren Muster. Die freie OPNsense „Basis-Edition“ wird in der Regel zweimal jährlich im Januar und im Juli veröffentlicht. Die Versionsnummer ergibt sich aus dem Jahr und dem Monat sowie einem Patchlevel. OPNsense 25.1.11 wurde also erstmals im Januar freigegeben und hat bislang 11 Maintenance-Updates erhalten. Version 25.7.1 wird also noch diesen Monat erscheinen. Die kommerzielle „Business-Edition“ mit zusätzlichen Plug-ins für Enterprise-Kunden erscheint jeweils drei Monate später und erhält keine Update-Kennzeichnung: Aus dem kommenden freien OPNsense 25.7.x wird im Oktober die kommerzielle Version 25.10 mit dann gleicher Software-Basis.

Zusätzliche Infos und Verfügbarkeit

OPNsense ist eine Open Source Firewall Distribution, die auf dem FreeBSD Betriebssystem und dessen aus OpenBSD entliehenem Paketfilter pf(8) basiert und unter der wirklich freien „2-clause BSD License“ steht. OPNsense bietet neben den Grundfunktionen eines Router und einer Firewall auch eine Reihe von Plug-ins an, die einfach über das WebUI nachinstalliert werden können. Die meisten Plug-ins sind freie und kostenlose Community-Plug-ins, die kommerzielle Version bietet auch Plug-ins wie ein zentrales Management (OPNCentral), eine Web Application Firewall (OPNWAF) oder eine GeoIP-Datenbank. Eine 3-Jahres-Lizenz gibt es ab 399 Euro in dem Web-Shop, auf dem auch Hardware-Appliances angeboten werden.

(axk)