Messages

Eine super Option wäre, wenn dabei das System in einen funktionierenden Zustand (vor dem letzten Patch oder vor allen Patches) zurückgesetzt würde und man die Möglichkeit hätte, die aktuell laufende Config weiter einzusetzen.

Da haben wir die allseits gefragte Variante mit "alles". :)

Mit boot environments auf ZFS geht das. Mit nano boot slices auch. Mit einer einzigen Partition leider nicht. Warum? Weil man sich auch alle Dateien merken müsste die neu waren. Du kannst zwar mit einem "backup" alles zurückspielen, aber gerade Downgrades machen hier enorme Probleme weil neuere Libraries dem alten Backup ja nie bekannt waren. Die bleiben dann im System und der Linker will dann diese Nutzen und dann ist das Verhalten der Box eher undefiniert. Erschwerend hier sind auch die schon angesprochenen Nutzer-Additionen, die sich nicht zurückrollen lassen, außer mit den eingangs genannten beiden Möglichkeiten. Und wenn diese Nutzer-Additionen das Ursprungsproblem sind geht auch nach dem Rollback nichts. Ich würde einfach gern vermeiden eine falsche Sicherheit vorzutäuschen.

i386 Images haben wir seit 15.1.1, also schon länger. So weit sind damit alle glücklich? :)

Auch mit LibreSSL sind wir bis jetzt sehr zufrieden was Stabilität und Bugs betrifft. Wir hatten zwei, beide waren aber nicht von LibreSSl verursacht sondern befanden sich auch auf den anderen Images.

Wir haben noch keine Direkt Disk Images; alle Images sind Installationsmedien. Das wird sich aber ganz bald ändern. Wir werden ein SD Image anbieten (Größe 1GB) mit spätestens dem übernächsten Release.


Grüße,
Franco

Last time I checked PCBSD used grub to support ZFS boot earlier than FreeBSD. Not sure if that has changed. Talking about drift, you know...

Because we like to challenge our users to ask and request. Fixed. :)

https://forum.opnsense.org/index.php?board=12.0

Wir arbeiten daran ein System wieder in einen Grundzustand zu versetzen. Sofern die Config nicht das System lahm legt, lässt sich so das System bereinigen. Ich mag das In-Place Backup nicht, weil es Modifikationen aufnimmt, die in erster Linie nicht im System sein sollten, es sei denn man kann sie administrieren (und das schließt ein eigenes Backup mit ein).

Ist das eine Option ein Factory-Reset anzubieten, dass nicht nur Config sondern auch das System zurücksetzen kann mit einem einzigen Befehl?

The goal here should be to migrate these boot environments to stock FreeBSD. I know that Kris does great work all the time, but I do not think that diverging too much from FreeBSD's code base is a good option in the long run as we have many battles to fight, most of them security and user experience related.

The first improvements to the bsdinstaller make their way into our ports tree now, hopefully I'll get a chance to try a ZFS install with that soon. The list of requested additions and garbage collection is long though. Let's see, shall we.

Crash reporter gets a makeover very soon. Please note that sending the crash report yields undefined behaviour as there is no server accepting the requests just yet.

Two actual issues through the crash reporter have been picked up and will be fixed (one with the firmware upgrade, the other one with webui reload).

Thanks for the heads-up guys. Crash reporter getting more prominent now is a good thing... :)

Fixed via https://github.com/opnsense/ports/commit/fc3b2211db3e58ee253b184ad1502b3ea68d1899

Still ironing out smaller hiccups on our way to 15.1.8.

Gentlemen,

bad news is we won't ship images for 15.1.7-LibreSSL. Good news, though, the amd64/i386 packages are updated and await your firmware upgrade.

Yes, please run the firmware upgrade first from the Dashboard.

Then (and only then) run our nifty base upgrade tool on the root shell:

Code Select Expand

# opnsense-update && reboot

Edit: If you are new to the show, and want to run 15.1.7, grab a 15.1.6.1 snapshot from here and upgrade using the method described above. https://pkg.opnsense.org/snapshots/

Edit2: i386 images are up. You guys realise the i386 LibreSSL snapshot had OpenSSL? :P


Enjoy,
Franco

Verschoben. :)

Der OpenVPN Client-Exporter wurde schon oft genug genannt um ihn als wichtiges Feature zu betrachten und wir hoffen dies bis spätestens 15.7 hinzufügen zu können, aber können hier keine definitive Aussage machen. Derzeit Arbeiten wir am neuen MVC, welches später als Grundlage für Packages genutzt werden soll. Jegliche Hilfe und Vorarbeit für den Exporter ist sehr willkommen.

Bei den Backups bin ich mir nicht so sicher. Die Configs sind das Herzstück der Software und dafür braucht man kein Plattenimage. Eine kaputte Installation lässt sich mit unserem Config Importer + Quick/Easy Install leicht bereinigen. Einzig und allein manuelle Modifikationen am System wären für ein Backup interessant, aber hier ist die Frage ob wir wirklich absichern wollen (oder auch: können), was nicht in unseren Händen liegt?


Grüße Franco

gettext() is used in most of the GUI so the challenge of translating those strings would be the the bulk of work. We had to delete some of the out of sync translations and would appreciate help in bringing them back with the proper build tools to back this process up making it easier to handle for actual translators and not coders. As far as the road to 15.7 is concerned, we do not want to work on translations for this particular release.

Hello everyone,

we are saddened by the news of Leonard Nimoy passing away. He has been an inspiration for many of us ever since Star Trek first flickered over the TV screens and all the years thereafter. What a strange world we'd live in if it weren't for him? Thank you, Leonard, 15.1.7 is being released in your honour.

As we move forward, we've found that 15.1.6.1's new tool opnsense-update works really well for everybody and thus we are very happy with the new live upgrade path. To show you that we are super serious we are shipping the latest FreeBSD 10.1 release engineering and security advisories and encourage you to try it out. We also have numerous tweaks with regard to tightening security in Bind, OpenSSL, StrongSwan, OpenSSH as well as needed GUI fixes thanks to the steady stream of incoming reports. If you encounter an issue or even a slight hiccup, please let us know through any of the available channels.

The images can be found here:

https://sourceforge.net/projects/opnsense/files/15.1.7/

How to upgrade:

Always backup your config. Do not try to go from the LibreSSL snapshot to OpenSSL. The parallel LibreSSL snapshot will be out by tomorrow.

Do a clean install using the desired install media. You can always import the old configuration from the installer if you already have an older installation.

Alternatively and experimentally, upgrade using the firmware update, then drop to a root shell and issue the following commands.

# opnsense-update && reboot

At this point, using any of the two methods, you should be on OPNsense 15.1.7-78bdb9aef FreeBSD 10.1-RELEASE-p6.

This is the official change log:

• Merged the latest FreeBSD 10.1-p6 patches:
• ---Fix integer overflow in IGMP protocol. (SA-15:04)
• ---Fix vt(4) crash with improper ioctl parameters. (EN-15:01)
• ---Updated base system OpenSSL to 1.0.1l. (EN-15:02)
• ---Fix freebsd-update libraries update ordering issue. (EN-15:03)
• Disabled OpenSSH's High Performance SSH/SCP and None-Cipher extensions to follow up on several security-related discussions.
• Switched from a heavy Bind installation to a lightweight one to reduce attack surface.
• Removed and replaced the legacy `check_reload_status' daemon with a Python-based rewrite.
• Fixed the auto-login console lockout regression introduced in 15.1.6.1.
• Fixed a problem associated with OpenVPN not being able to read passwords from files.
• Notable ports upgrades: bind-tools 9.10.2, strongswan 5.2.2_1, curl 7.41 plus our LibreSSL fixes for mpd4/mpd5/libpdel.
• Removed PHP-FPM remnants from IPv6 and OpenVPN scripts.
• Fixed several OpenSSL invokes to use the latest port version as opposed to the base version.
• Improved memory/disc/swap usage on the dashboard.
• Properly set DNS Resolver Advanced defaults.
• Fixed append of custom Unbound scrips.
• Modified the root menu shell to pass through to a real shell when arguments are given.
• Zapped the spurious "Array" prefix in user-defined aliases.
• Moved the bogons files fetch location to a local mirror.
• The core.git development boot hook has been improved to properly include /usr/local/etc/rc changes.
• All of our packages are now annotated as coming from our mirror as well as additional safeguards potentially allowing you to use additional FreeBSD packages on top of OPNsense.

Live long and prosper,
The OPNsense team

No worries. 15.1.7 is coming out today with the proper fix. You can upgrade relatively easy using the install media by choosing "Import Configuration" from the installer, then reinstall again (most likely "Quick/Easy Install").

It greatly depends on the components you are targeting.

Since we have FreeBSD ports, countless audits take place and CVEs are being fixed constantly. We try to stay up to date with the curve on that front.

In terms of our code we tend to refactor and rewrite what we deem insecure or outright sloppy, although the more exposure and audits we get the more secure we will become.


Hope that helps,
Franco

Da ist leider noch nichts geplant. Es kommt vor allem darauf an wie wichtig unseren Nutzern die Captive Portal Funktionalität ist und wie wir diese Vernünftig ohne große Umwege um FreeBSD umsetzen können. Vor allem benötigen wir hier Ideen und Feedback um sinnvolle Verbesserungen durchzuführen... daher frag ich mal nach: Datenbank-basisert, eher als eine Art "CRM" für das Captive Portal oder was genau meinst du?

You are probably talking about having it reachable from the LAN through the WAN IP. Try accessing from the WAN port: it does not work. Not even ICMP ping replies by default from there.