Remarques préliminaires

La version de pfSense® 2.2-RELEASE est désormais disponible depuis quelques jours. 

Cette release apporte des améliorations sur les performances et sur le support matériel. Elle est basée sur la version FreeBSD 10.1. De nouvelles options de chiffrement sont disponibles avec AES-GCM et le support de l'accélération AES-NI.

https://blog.pfsense.org/?p=1486

Au total 392 tickets ont été fermé (dont 55 nouvelles fonctionnalités), 135 bugs qui affectaient la 2.1.5 et les versions précédentes ont été patchés.
202 nouveaux bugs liés au changement de version FreeBSD (FreeBSD 8.3 à FreeBSD 10.1) ont été corrigés. 
Le démon IPsec est passé de Racoon vers StrongSwan, le backend PHP passe à la version 5.5 et change de FastCGI à PHP-FPM,
L'utilitaire Unbound DNS a été ajouté et fait désormais office package DNS. 

 

Mise à jour de sécurité 

Quatres patches de sécurité de faible impacts dans cette release :

  • Mise à jour openssl pour FreeBSD-SA-15:01.openssl
  • Multiples faible XSS dans l'interface web pfSense-SA-15_01
  • Mise à jour d'OpenVPN CVE-2014-8104
  • Mise à jour NTP FreeBSD-SA-14:31.ntp - ne semble pas impacter pfSense

 

Nouvelles fonctionnalités et changements

La liste des nouvelles fonctionnalités et changement dans la version pfSense® 2.2 est disponible ici : 

https://doc.pfsense.org/index.php/2.2_New_Features_and_Changes
Il est recommandé de lire cette documentation avant une mise à jour.

 

Déroulement de la mise à jour en 2.2

Comme d'habitude, la mise à jour peut être effectuée à partir de toute version antérieure directement vers la versionn 2.2.
 

Pensez bien à vider votre cache navigateur après la mise à jour. Du fait des changements dans le CSS et le JavaScript, forcez votre navigateur à supprimer le cache du navigateur.

Si vous voyez des problèmes esthétiques (sur l'interface web)  après la mise à jour, le cache du navigateur est probablement en cause.

 

Packages

Les paquets les plus populaires doivent normalement fonctionner correctement, nous avons dores et déjà testé Snort et quelques autres utilitaires… Il à fallu procéder à une ré-installation des packages depuis l'interface graphique pour obtenir un fonctionnement stable. 

Un certain nombre de package ont été supprimés à cause de leur manque de stabilité. 

Si vous êtes dépendant des packages, nous vous encourageons à les tester  avant de passer en production.

 

Nouveau gestionnaire IPSec

Le passage au package StrongSwan à la place de Racoon pour la gestion d'IPSec offre de nouvelles fonctionnalités notament pour IKE (gestion de la phase 1 d'échange de clés), avec le passage à IKEv2.  

De nouveau algorythmes de chiffrement font leur apparition avec AES-GCM. 

 

Le changment de version peut induire quelques difficultés dans la migration de vos configurations :

  1. Il est possible que les utilisateurs finaux aient des problèmes à se connecter, notamment avec l'activation du mode agressive avec du NAT-D. Si vous avez des connexions IPsec distante sur les versions pfSense 2.1.5 ou antérieur et que vous utilisez le mode "agressif", vous devez changer ce mode par le "Main mode" (tous les autres paramètres peuvent être laissés à l'identique. Dorénavant le "Main Mode" est préférable pour les connexions VPN site à site, en tout lieu.
  2. Des problèmes ont été remonté pour le calcul des clés avec plusieurs phases 2 sur une phase 1 pour IKEv1.Dans la plupart des cas, de multiples phases 2 sur une seule phase 1 fonctionnent correctement, il y a cependant certain cas de figure ou le recalcule des clés (re-keying) pose problème : il est donc conseillé d'effectuer des tests lorsque vous disposez de plusieurs phases 2 sur une seul lien de phase 1. Si vos deux sites supportent IKEv2, le passage d'IKEv1 vers IKEv2 permettra de résoudre ce problème.
  3. Le système d'analyse des configurations devient plus strict et des configurations "bugés" qui étaient tout de même opérationnelles ne fonctionneront plus ! 
    Pour les clients IPsec mobiles, il devient nécessaire (s'ils souhaitent accéder à Internet via IPsec) de préciser pour la Phase2(mobile) : 0.0.0.0/0 dans le champ "Local Network".

 

Plusieurs autres problèmes mineurs devraient être corrigés dans la version patch  2.2.1. qui sort généralement quelques semaines après toutes les sorties des premières versions Release. 

 

Astuces pour les utilisateurs Xen :

FreeBSD 10.1 est utilisé par pfSense 2.2, il comporte les drivers PVHVM pour Xen compilés dans le kernel.
Xen changera automatiquement le nom du disque et des interfaces réseaux pendant la mise à jour 2.2 de pfSense®, un hyperviseur ne doit normalement pas le faire mais Xen s'en occupe.

Le changement de disque peut être contourné en exécutant le script "/usr/local/sbin/ufslabels.sh" avant la mise à jour - cela permet de convertir fstab et d'indiquer des labels UFS plutôt que des noms de périphériques de disques dans fstab.
Le changement de périphérique de carte réseau nécessitera une ré-affectation des interfaces de Xen.

Remarque : Il y a eu des problèmes de performances importants dans Xen lié aux changements de carte réseau. Par conséquent, vous aurez probablement envie de changer votre configuration Xen afin de ne pas utiliser les cartes réseau PVHVM pour votre pfSense virtualisé. 

 

Considérations sur le limiter et la version pfSense® 2.2 

A ce jour, les limiteurs ne fonctionnent pas avec la haute disponibilité (HA). Si vous utilisez des limiteurs et de la haute disponibilité (CARP + pfsync + config sync) : ne mettez pas à jour votre appliance

Un tiquet est ouvert pour répondre à cet incident : https://redmine.pfsense.org/issues/4310

 

LAGG LACP changement de comportement

LAGG utilise par défaut LACP en « mode strict » dans FreeBSD 10.0 et supérieur. Cela signifie le protocole LAGG ne monte pas (interface UP) si votre switch ne comprend pas LACP (en terme de protocole).
Cela impliquera que le protocole LAGG ne fonctionnera pas après la mise à jour 2.2 si votre commutateur n'utilise pas le mode actif de LACP. 

Veillez donc à bien tester et configurer vos switchs avant la mise à jour pfSense® 2.2.