Rilasciata la versione 2.5 di pfSense
Dopo un attesa durata 3 anni è stata rilasciata la versione 2.5 di pfSense. La precedente release (2.4) risale ad ottobre 2017.
L'aggiornamento più sbandierato è però il grande assente, dopo vari comunicati che annunciavano la presenza a partire dalla versione 2.5 è arrivata la comunicazione sotto forma di piccola nota che ne dichiara l'assenza.
Stiamo parlando della necessità di avere processori con supporto alle istruzioni AES-NI per poter installare ed eseguire pfSense. Una mossa che avrebbe messo fuori gioco i produttori di appliance a basso costo e la possibilità di riutilizzare hw datato per l'impiego come firewall.
Versione di FreeBSD
La prima modifica è legata alla versione di FreeBSD che passa dalla 11.3 alla 12.2 questo introduce importanti aggiornamenti ai componenti di base come OpenSSL.
WireGuard
Un'altra modifica degna di nota è l'introduzione di WirwGuard come alternativa per creare tunnel VPN a livello kernel.
WireGuard è un software open-source e un protocollo che attraverso VPN permette di creare connessioni sicure punto-punto in configurazione routed o bridged. Viene eseguito come modulo nel kernel e punta ad avere prestazioni migliori rispetto ad IPsec e OpenVPN.
File system check
Una modifica degna di nota riguarda l'opzione di riavvio, in realtà non è così importante, ma finalmente è possibile riavviare il firewall ed attivare il check del file system al riavvio senza dover creare manualmente file che ne forzino l'attivazione.
Log
Un'altra modifica interessante è legata al sistema di gestione dei log, l'interfaccia ha subito delle modifiche ed ora mostra in tab separati varie informazioni come i log dell'interfaccia web o i log di boot. Oltre l'interfaccia è stato modificato il sistema di gestione dei log con l'introduzione della rotazione, gestibile dal menù di configurazione dei log.
Gestione dei certificati
OpenVPN ed IPSec
Anche per quanto riguarda OpenVPN c'è stato l'aggiornamento alla versione 2.5 che porta in dote l'algoritmo ChaCha20-Poly1305. Lo stesso algoritmo alla base di WireGuard e che promette lo stesso miglioramento di performance.
Il passaggio alla versione 2.5 richiede l'aggiornamento dei client quindi se state facendo uso di OpenVPN per gestire il lavoro in smart-working avete un primo motivo per non effettuare un aggiornamento immediato.
Anche per IPSec ci sono stati aggiornamenti e migliorie.
Routing
L'introduzzione della versione 2.5 porta con se anche la rimozione di tutti i pacchetti di routing ad eccezione di quelli basati sul pacchetto FRR.
Sono stati quindi rimossi: RIP (routed), OpenBGPD, OSPF (Quagga).
Il servizio di LoadBalancer interno è sato rimosso, ora è necessario installare il pacchetto HAproxy
Aggiornamento
Come sempre, prima di aggiornare, il consiglio è di leggere attentamete le informazioni di rilascio che potete trovare qui e fare attenzione ad i seguenti aspetti:
- Se utilizzate OpenVPN effettuate prima l'aggiornamento dei client;
- Se utilizzate uno dei protocolli di routing sopra citati effettuate prima il passaggio ad FRR;
- Se utilizzate il servizio LoadBalancer effettuate prima il passaggio ad HAproxy;
- Se utilizzate let's encrypt verificate che non esistano certificati CA scaduti e se esistono eliminateli per non essere invasi da notifiche inutili, ovviamente vale anche per qualsiasi certificato scaduto.
Se tutti questi controlli hanno dato esito positivo non vi resta che effettuare una pulizia dei repository dei packages lanciando dalla console i seguenti comandi
pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade
rm /usr/local/etc/pkg.conf
Ora potete procedere con l'aggiornamento come di consueto
Per quanto riguarda l'update, nei test effettuati anche su configurazioni complesse, non ho riscontrato problemi. Ho notato che la rimozione di package come routed (RIP) non rimuovono dalla configurazione i relativi tag.
Se aggiornate in presenza di pacchetti deprecati perderete le funzionalità offerte da teli pacchetti, non sono state previste migrazioni automatiche a versioni alternative dei servizi.
Se durante gli aggiornamenti doveste riscontrare anomalie, scrivetelo nei commenti.
3 commenti:
Mha... i dopo l'aggiornamento alla 2.5 ho problemi allo squidguard che non filtra più i contenuti, anche quelli di shalla.
Proverò a fare un wipe dei dischi e poi a rifare una installazione ex novo ed un ripristino della configurazione... vediamo se la cosa si risolve.
In ogni caso non mi stupisco più di questi problemi su pfsense, oramai è diventato inaffidabile. Ad ogni aggiornamento ho sempre avuto piccoli o grandi problemi, che per essere risolti ho sempre dovuto procedere in questo modo.
Evidentemente in Netgate, non hanno interesse a portare avanti il ramo community/opensource, ed evidentemente prestano più attenzione alla versioni per i loro appliances.
Pazienza... credo sia tempo di dare un occhio più seriamente a OPNsense.
E pure le nat con configurazioni dual wan non funziona. Nonostante le regole, il gateway continua ad uscire quello sulla wan principale.
Pfsense è sempre peggio... è evidente che in netgate, per ovvie ragioni, puntano più alla loro versione commerciale.
Mi sa che è tempo di pensare ad una migrazione a Opnsense
La versione 2.5.1 ha un bug su NAT e multi wan, è stato corretto nella beta 2.5.2
In generale la versione 2.5.1 è un disastro, noi non la installiamo, siamo fermi alla 2.5
Ciao
Posta un commento