La risorsa Italiana per pfSense

7 marzo 2021

Rilasciata la versione 2.5 di pfSense

 

Dopo un attesa durata 3 anni è stata rilasciata la versione 2.5 di pfSense. La precedente release (2.4) risale ad ottobre 2017. 

L'aggiornamento più sbandierato è però il grande assente, dopo vari comunicati che annunciavano la presenza a partire dalla versione 2.5 è arrivata la comunicazione sotto forma di piccola nota che ne dichiara l'assenza.

 

Stiamo parlando della necessità di avere processori con supporto alle istruzioni AES-NI per poter installare ed eseguire pfSense. Una mossa che avrebbe messo fuori gioco i produttori di appliance a basso costo e la possibilità di riutilizzare hw datato per l'impiego come firewall.

Versione di FreeBSD

La prima modifica è legata alla versione di FreeBSD che passa dalla 11.3 alla 12.2 questo introduce importanti aggiornamenti ai componenti di base come OpenSSL.

WireGuard

Un'altra modifica degna di nota è l'introduzione di WirwGuard come alternativa per creare tunnel VPN a livello kernel.  

WireGuard è un software open-source e un protocollo che attraverso VPN permette di creare connessioni sicure punto-punto in configurazione routed o bridged. Viene eseguito come modulo nel kernel e punta ad avere prestazioni migliori rispetto ad IPsec e OpenVPN.

File system check

Una modifica degna di nota riguarda l'opzione di riavvio, in realtà non è così importante, ma finalmente è possibile riavviare il firewall ed attivare il check del file system al riavvio senza dover creare manualmente file che ne forzino l'attivazione.

Log

Un'altra modifica interessante è legata al sistema di gestione dei log, l'interfaccia ha subito delle modifiche ed ora mostra in tab separati varie informazioni come i log dell'interfaccia web o i log di boot. Oltre l'interfaccia è stato modificato il sistema di gestione dei log con l'introduzione della rotazione, gestibile dal menù di configurazione dei log.

Gestione dei certificati

Diverse modifiche riguardano anche il gestore dei certificati, è ora possibile effettuare il rinnovo dei certificati scaduti ed è attivo un sistema di notifica per i certifiati scaduti o in scadenza.

OpenVPN ed IPSec

Anche per quanto riguarda OpenVPN c'è stato l'aggiornamento alla versione 2.5 che porta in dote l'algoritmo ChaCha20-Poly1305. Lo stesso algoritmo alla base di WireGuard e che promette lo stesso miglioramento di performance.

Il passaggio alla versione 2.5 richiede l'aggiornamento dei client quindi se state facendo uso di OpenVPN per gestire il lavoro in smart-working avete un primo motivo per non effettuare un aggiornamento immediato.

Anche per IPSec ci sono stati aggiornamenti e migliorie.

Routing

L'introduzzione della versione 2.5 porta con se anche la rimozione di tutti i pacchetti di routing ad eccezione di quelli basati sul pacchetto FRR.

Sono stati quindi rimossi: RIP (routed), OpenBGPD, OSPF (Quagga).

 
  LoadBalancer

Il servizio di LoadBalancer interno è sato rimosso, ora è necessario installare il pacchetto HAproxy

 Aggiornamento

Come sempre, prima di aggiornare, il consiglio è di leggere attentamete le informazioni di rilascio che potete trovare qui e fare attenzione ad i seguenti aspetti:

  • Se utilizzate OpenVPN effettuate prima l'aggiornamento dei client;
  • Se utilizzate uno dei protocolli di routing sopra citati effettuate prima il passaggio ad FRR;
  • Se utilizzate il servizio LoadBalancer effettuate prima il passaggio ad HAproxy;
  • Se utilizzate let's encrypt verificate che non esistano certificati CA scaduti e se esistono eliminateli per non essere invasi da notifiche inutili, ovviamente vale anche per qualsiasi certificato scaduto.

Se tutti questi controlli hanno dato esito positivo non vi resta che effettuare una pulizia dei repository dei packages lanciando dalla console i seguenti comandi

pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrad

rm /usr/local/etc/pkg.conf

Ora potete procedere con l'aggiornamento come di consueto

Per quanto riguarda l'update, nei test effettuati anche su configurazioni complesse, non ho riscontrato problemi. Ho notato che la rimozione di package come routed (RIP) non rimuovono dalla configurazione i relativi tag.

Se aggiornate in presenza di pacchetti deprecati perderete le funzionalità offerte da teli pacchetti, non sono state previste migrazioni automatiche a versioni alternative dei servizi.

Se durante gli aggiornamenti doveste riscontrare anomalie, scrivetelo nei commenti.



3 commenti:

Fossi Matto ha detto...

Mha... i dopo l'aggiornamento alla 2.5 ho problemi allo squidguard che non filtra più i contenuti, anche quelli di shalla.
Proverò a fare un wipe dei dischi e poi a rifare una installazione ex novo ed un ripristino della configurazione... vediamo se la cosa si risolve.
In ogni caso non mi stupisco più di questi problemi su pfsense, oramai è diventato inaffidabile. Ad ogni aggiornamento ho sempre avuto piccoli o grandi problemi, che per essere risolti ho sempre dovuto procedere in questo modo.
Evidentemente in Netgate, non hanno interesse a portare avanti il ramo community/opensource, ed evidentemente prestano più attenzione alla versioni per i loro appliances.
Pazienza... credo sia tempo di dare un occhio più seriamente a OPNsense.

Anonimo ha detto...

E pure le nat con configurazioni dual wan non funziona. Nonostante le regole, il gateway continua ad uscire quello sulla wan principale.
Pfsense è sempre peggio... è evidente che in netgate, per ovvie ragioni, puntano più alla loro versione commerciale.
Mi sa che è tempo di pensare ad una migrazione a Opnsense

Fabio Viganò ha detto...

La versione 2.5.1 ha un bug su NAT e multi wan, è stato corretto nella beta 2.5.2
In generale la versione 2.5.1 è un disastro, noi non la installiamo, siamo fermi alla 2.5
Ciao

Nome

Email *

Messaggio *