OPNsense 25.7 è disponibile

Mercoledì 23 luglio 2025 è stata rilasciata l’ultima versione principale di OPNsense: la 25.7, soprannominata “Visionary Viper” (la vipera visionaria).

Questa nuova versione segna una tappa importante nell’evoluzione di OPNsense, con miglioramenti significativi in termini di sicurezza, prestazioni e facilità d’utilizzo.

In questo articolo passiamo in rassegna gli elementi più rilevanti di questo aggiornamento.

Le informazioni principali di questo aggiornamento sono le seguenti:

• Assistente di configurazione riscritto: l’assistente per la prima configurazione (wizard) è stato completamente ripensato con un approccio MVC/API, per una configurazione più rapida e coerente.
• Modalità Web UI rigorosa (sperimentale): possibilità di eseguire l’interfaccia web con privilegi non-root per migliorare la sicurezza operativa.
• Dashboard migliorato: aggiornamento a ChartJS 4 per migliori prestazioni e una presentazione più chiara dei dati di sistema.
• Nuovo plugin di backup SFTP: sostituzione dell’integrazione con Google Drive con una soluzione SFTP sicura e conforme agli standard.
• Rivisitazione della gestione alias: supporto per import/export in formato JSON, automazione migliorata ed elaborazione più rapida delle regole.
• Supporto DHCP duale: Dnsmasq per implementazioni leggere e Kea DHCP per configurazioni IPv6 avanzate e scalabili.
• Servizi VPN modulari: OpenVPN e IPsec legacy spostati in plugin opzionali.
• Aggiornamento a FreeBSD 14.3: compatibilità hardware estesa, prestazioni migliorate e maggiore affidabilità a lungo termine.
• Supporto per la lingua greca: localizzazione ampliata per utenti e team internazionali.

Nella parte successiva dell’articolo presenteremo più nel dettaglio le novità e i cambiamenti significativi.

L’assistente di prima configurazione di OPNsense (wizard) è stato completamente riscritto utilizzando l’architettura moderna MVC/API.

Questa revisione consente una configurazione iniziale più rapida e coerente, basata su API moderne per una maggiore affidabilità.

Questa evoluzione si inserisce nella continuità del lavoro di migrazione progressiva dell’intero codice di OPNsense verso un’architettura più moderna e facilmente manutenibile.

OPNsense 25.7 introduce, in via sperimentale, la possibilità di eseguire l’interfaccia web con privilegi non-root, utilizzando l’utente “wwwonly”.
Questa funzionalità migliora la sicurezza operativa limitando i privilegi dell’interfaccia di amministrazione.

Si tratta di un passo avanti importante in termini di sicurezza, poiché riduce la superficie di attacco potenziale attraverso l’interfaccia web.

Va notato che questa funzionalità non è attiva di default e che, allo stato attuale, non è necessariamente consigliato abilitarla in ambienti di produzione.

Per testare questa funzionalità, è possibile procedere dal menu System > Settings > Administration: in fondo alla pagina, selezionare la casella Strict security.

Il dashboard di OPNsense è stato aggiornato a ChartJS 4, offrendo prestazioni migliorate e una presentazione più chiara dei dati di monitoraggio del sistema.

I componenti di monitoraggio ora visualizzano informazioni più precise, con performance superiori.

La gestione degli alias subisce una revisione importante con l’introduzione del supporto per l’import/export in formato JSON.
Questa evoluzione semplifica notevolmente l’automazione e accelera l’elaborazione delle regole del firewall.

Gli amministratori possono ora importare ed esportare più facilmente le proprie configurazioni di alias, rendendo più semplice sia i deployment automatizzati sia la gestione di configurazioni complesse.

OPNsense 25.7 introduce il supporto DHCP duale con due opzioni:

• Dnsmasq per implementazioni leggere e semplici
• Kea DHCP per configurazioni avanzate o in ambienti ad alta disponibilità

Questo approccio consente agli amministratori di scegliere la soluzione DHCP più adatta alle proprie esigenze.

Come già annunciato, le voci “legacy” di OpenVPN e IPsec sono state rimosse.

È comunque possibile riattivarle installando plugin aggiuntivi: os-openvpn-legacy per OpenVPN e os-strongswan-legacy per IPsec.

L’integrazione con Google Drive per i backup è stata spostata sotto forma di plugin.

Sono ora disponibili tre plugin per i backup automatici offline:

• os-gdrive-backup: per backup su Google Drive
• os-git-backup: per backup su repository Git
• os-sftp-backup: per backup tramite protocollo SFTP

Gli altri miglioramenti significativi sono i seguenti:

• Gestore utenti: aggiunto il supporto per l’import/export in formato CSV e per vincoli sulla rete di origine, al fine di facilitare il controllo degli accessi (ciò consente, ad esempio, di specificare che un determinato gruppo di utenti possa connettersi solo da un certo indirizzo IP o rete, ma non da Internet).
• Portale captive: il dispatcher API ora funziona con separazione dei privilegi tramite l’utente e il gruppo “wwwonly”.
• Rilevamento intrusioni: aggiunto il supporto JA4 e un banner di override per l’uso di custom.yaml.

Punti importanti da ricordare:

• I backup su Google Drive deprecati sono stati spostati nei plugin.
• Gli URL API registrati nelle ACL predefinite sono passati da formato camelCase a snake_case.
• I valori di ritorno delle griglie API ora offrono “%field” per una descrizione del valore, quando disponibile.
• I servizi VPN legacy (OpenVPN e IPsec) sono stati spostati in plugin come primo passo verso la loro dismissione.
• I parametri tunable hw.ibrs_disable e vm.pmap.pti sono stati ripristinati ai valori predefiniti di FreeBSD.

Questa nuova versione è disponibile sia come aggiornamento sia per il download in caso di nuove installazioni.

Si consiglia di effettuare un backup prima di avviare l’aggiornamento.

Se il vostro file system è ZFS, è opportuno creare anche un punto di ripristino.

L’aggiornamento è importante: il download sarà di circa 1 GB e richiederà circa 15 minuti, a seconda della vostra installazione.

Infine, potete consultare l’elenco completo delle modifiche visitando la seguente pagina: