OPNsense 25.7.11 Enhances Network Visibility With Host Discovery Feature
2025/01/20 gbhackers — 2026年1月に、OPNsense チームはバージョン 25.7.11 をリリースした。このリリースでは、ファイアウォール全体にわたる接続デバイスの可視性が高められている。また、ポリシー制御を強化する注目すべきネットワーク機能強化として、ネットワーク可視性を向上させるネイティブ・ホスト検出サービスが追加された。このバージョン 25.7.11 における目玉機能は、”hostwatch” コンポーネントを基盤とした新しいホスト検出サービスである。
このサービスは、接続されたネットワーク全体にわたり、IPv4/IPv6 ホストの MAC アドレスを自動的に解決/記憶する。こうして記憶された情報は、ファイアウォールの MAC ベース・エイリアスやキャプティブ・ポータルのクライアントなどの、主要なサブシステムに提供される。
実運用において管理者は、ネットワーク上に存在するデバイスと、それらの Layer-2 での識別の状況を、正確かつタイムリーに把握できることになる。
MAC 駆動のファイアウォール・ルールは、継続的に更新される近隣デバイスの情報に基づいて動作できるようになる。それと同時に、キャプティブ・ポータルのワークフローは、時間の経過にわたってクライアント・デバイスを確実に追跡できる。
このサービスは、デフォルトで有効化されているが、より厳格なプライバシー方針や手動制御を望むユーザーは、設定で自動検出を無効にすることも可能である。
これにより、ホームラボから厳格なエンタープライズ環境に至るまでの、多様な運用モデルに適合する設計となっている。
OPNsense の伝統どおり、年末年始の休暇期間は、一連の IPv6 改善に活用された。
今回のリリースには、IPv6 アドレスのライフタイム管理/ルーター・アドバタイズメント処理/IPv6 トラフィックに対する divert (4) および pf (4) の挙動に関する複数のカーネル・レベル修正が含まれている。
新機能
| Feature Category | Component | New Capability | Description |
| Network Discovery | Host Discovery Service | Native MAC address resolution | Automatically resolves and remembers IPv4/IPv6 MAC addresses via the hostwatch component |
| Network Discovery | MAC Aliases | Dynamic MAC data integration | Firewall MAC aliases now use live host discovery data instead of static entries |
| IPv6 Stack | Kernel IPv6 | Address lifetime management | Fixes pltime/vltime expiration checks and prefix lifetime updates |
| IPv6 Stack | Router Advertisements | RA lifetime validation | rtsold now checks RA lifetime before triggering scripts |
| IPv6 Stack | DHCPv6 Client | Infrastructure preparation | Groundwork for major dhcp6c update in 26.1 |
| Core Migration | ISC-DHCP Removal | Plugin-based architecture | ISC-DHCP being removed from core; plugin available in development version |
| System Security | Safe Execution | exec() call elimination | Removed numerous exec() calls across system, backend, and auth scripts |
| Certificate Management | Trust Store | DNS SAN preservation | Properly fills DNS Subject Alternative Names from existing certificates |
| Firewall Automation | ICMP Handling | Protocol-aware options | ICMP type only shows when protocol is ICMP; adds multi-select ICMP6 options |
| Captive Portal | Client Tracking | Host discovery integration | Uses host discovery service by default for ARP table monitoring |
| VPN Services | OpenVPN | Client export enhancements | Adds search functionality, fixes archive export, reduces exec() usage |
| DNS Services | Unbound | Reporting and management | Adds per-policy quick actions, reference counters for aliases, UI layout fixes |
| Monitoring | Suricata IDS | Security update integration | Updated to Suricata 8.0.3 with latest vulnerability fixes |
| Routing | FRR Plugin | Protocol enhancements | os-frr 1.50 brings routing protocol improvements and fixes |
| IPv6 Proxy | NDP Proxy | Infrastructure updates | os-ndp-proxy-go 1.3 provides IPv6 neighbor discovery improvements |
| Monitoring | Telegraf | Metrics collection updates | os-telegraf 1.12.14 includes plugin updates and bug fixes |
| Kernel Network | netlink subsystem | Buffer management fixes | Prevents overwriting existing data in linear buffers; avoids direct ifnet access |
| Kernel Network | pf firewall | IPv6 divert packet handling | Fixes handling of IPv6 divert packets and ip_divert_ptr tests |
| Kernel Network | netmap | Memory allocator control | Memory allocator parameters now settable via loader.conf |
IPv6 のインターフェイス処理は、複数のアドレス・ライフタイムが存在する場合において、より長いものを優先するように調整され、sharednet のチューニングは適切な sysctl に移行され、PPP チェックも改善された。これらの変更は、より大規模な dhcp6c 更新を含む予定の、次期 26.1 リリースに向けた基盤を整えるものである。
それと同時に、今回の 25.7.11 では、OPNsense コアからの ISC-DHCP の段階的削除も継続されている。
代替となるプラグインは、すでに開発ブランチで提供されており、自動インストールされる見込みである。管理者に対して推奨されるのは、新しいスタックへ向けて再起動する前に、当該プラグインが存在することを確認することだ。
OPNSense によると、26.1-RC1 は来週初めに公開予定であり、続いて RC2 がリリースされ、最終版の 26.1 は 1 月 28 日を目標としているとのことだ。
ファイアウォール/サービス/セキュリティ・スタック全体にわたる改良と、ホスト検出と IPv6 に加え、25.7.11 では広範な調整と強化が行われている。
新バージョンのファイアウォールでは、自動化における ICMP/ICMPv6 処理の改善/ポート・エイリアス・チェックの簡素化/MAC エイリアスに対する検出データの直接統合が実装された。
キャプティブ・ポータルの処理は、インターフェイスから出力される不正な JSON に対してより堅牢になった。
コア・サービスにおける改善点は、証明書処理の強化/システムおよび IPsec コンポーネントにおける安全な実行経路/OpenVPN クライアント・エクスポートの修正と検索機能/Unbound のレポートおよびオーバーライド管理における利便性向上など、使い勝手と安全性の向上である。
MVC フレームワークと UI にも、性能および一貫性の調整が加えられた。
セキュリティ監視の面では、ports ツリーにより Suricata が 8.0.3 に更新されており、複数の脆弱性に対処し、IDS/IPS 配備における安定性と精度を向上させている。
オープンソースのファイアウォール OPNsense の最新版 25.7.11 がリリースされ、ネットワーク内のデバイスを把握する能力が大幅に向上しました。このリリースの目玉は、ホスト検出サービスの導入です。この新機能の背景にあるのは、ネットワークに接続されている IPv4/IPv6 デバイスの、固有番号である MAC アドレスを自動的に見つけ出し、正しく記憶しておく仕組みが必要だったことです。これにより管理者は、ネットワークに繋がっているユーザーをリアルタイムかつ正確に把握できるようになりました。OPNSense によると、26.1-RC1 は来週初めの公開が予定され、続いて RC2 がリリースされ、最終版の 26.1 は 1 月 28 日を目標としているとのことです。よろしければ、OPNSense での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.