Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.7
Опубликован релиз дистрибутива для создания межсетевых экранов OPNsense 24.7, который 9 лет назад отделился от проекта pfSense с целью разработки полностью открытого дистрибутива, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (488 МБ).
Базовая начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.
В дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.
Среди изменений:
Осуществлён переход на кодовую базу FreeBSD 14.1 (ранее использовался код FreeBSD 13.2).
Предложена новая реализация информационной страницы (dashboard), примечательная современным оформлением и переходом на новый формат виджетов (поддержка старых виджетов прекращена).
Значительно ускорена установка соединений в VPN на базе WireGuard. Добавлена поддержка генерации QR-кодов для быстрой настройки мобильных клиентов.
Для OpenVPN реализована поддержка механизма DCO (Data Channel Offload) для выноса операций шифрования, обработки пакетов и управления каналом связи на сторону модуля, работающего на уровне ядра. DCO избавляет от накладных расходов, связанных с переключением контекста, оптимизирует работу за счёт прямого обращения к внутренним API ядра и исключает медленную передачу данных между ядром и пространством пользователя (шифрование, расшифровка и маршрутизация выполняется модулем без отправки трафика в обработчик в пространстве пользователя).
Интерфейсы для управления туннелями GIF и GRE, а также настройки цепочки доверия, отказоустойчивости и прямой трансляции адресов (NAT »1-в-1») переведены на использование MVC-фреймворка. Добавлены Web API для автоматизации управления сетевой конфигурацией.
- Расширена поддержка DHCPv6.
Добавлена поддержка динамического создания туннелей IPsec VTI (Virtual Tunnel Interface).
Обновлены версии Python 3.11, hostapd 2.11, libpfctl 0.12, phalcon 5.8.0, openvpn 2.6.12, wpa_supplicant 2.11.
Обновлены плагины: os-acme-client 4.4, os-caddy 1.6.1, os-dec-hw 1.1, os-etpro-telemetry 1.7, os-freeradius 1.29.4, os-nginx 1.34, os-theme-cicada 1.37 и os-theme-vicuna 1.47.
Источник: http://www.opennet.ru/opennews/art.shtml? num=61612
© OpenNet