IPFire estrena una actualización de calado con su edición 2.29 – Core Update 197, y llega con mejoras que tocan desde la VPN hasta el rendimiento del sistema. En el centro de todo está el salto a OpenVPN 2.6, una renovación profunda que moderniza la base de código, amplía la compatibilidad de clientes y refuerza la seguridad sin obligarte a rehacer configuraciones existentes. Esta entrega, además, ajusta el consumo para que la CPU pase más tiempo en estados de ahorro, manteniendo el cortafuegos ágil y reduciendo calor y factura eléctrica. Un avance completo que combina seguridad, eficiencia y estabilidad.

La publicación de esta versión viene respaldada por un equipo que ha invertido muchas horas en pulir detalles y probar cambios, y que, aun así, solicita apoyo económico porque las donaciones han bajado más de lo habitual. Si IPFire protege tu red, es un buen momento para arrimar el hombro: cada aportación va directa al desarrollo y se traduce en nuevas funciones, mejor rendimiento y defensas más sólidas para todos. El proyecto lo deja claro: mantener viva la llama requiere comunidad y contribuciones.

OpenVPN 2.6: renovación total en IPFire 2.29 Core Update 197 sin romper nada

El núcleo de la actualización está en OpenVPN. IPFire pasa a la rama 2.6 con una reingeniería seria del servicio, pero cuidando que no tengas que tocar los clientes actuales. El sistema es capaz de soportar clientes más antiguos y modernos a la vez, y lo hace incorporando negociación de cifrados, limpieza de opciones obsoletas y cambios en la topología. Todo orientado a seguridad por defecto y compatibilidad amplia.

Entre los cambios más visibles, el exportador de configuración del cliente se simplifica de forma notable. Se abandona el archivo ZIP y ahora todo el material criptográfico —certificados y claves— se integra dentro de un único archivo de configuración, listo para importar en los clientes populares sin pasos extra. Menos clics, menos archivos y cero líos para desplegar perfiles.

En el frente criptográfico, el servidor y el cliente pueden acordar el cifrado durante la conexión si ambos lo soportan, en lugar de forzarlo de manera estática en los dos extremos como se hacía antes. IPFire mantiene una opción de respaldo para instalaciones antiguas que lo necesiten —el llamado Fallback Cipher—, pero en instalaciones nuevas se exige negociación. Cuando no se utilice un cifrado AEAD, el hash por defecto pasa a ser SHA-512. Además, los controles de criptografía se han reubicado en la sección de ajustes avanzados para tenerlo todo ordenado. Negociación de ciphers, SHA-512 por defecto sin AEAD y controles avanzados más claros.

Más mejoras en OpenVPN

Otro cambio importante: se elimina por completo el soporte de compresión en OpenVPN. La razón es clara: se ha demostrado que puede abrir puertas a ataques laterales. Los clientes que aún insistan en usar compresión seguirán conectando, pero el servidor intentará desactivarla siempre que pueda y ya no es posible activarla de forma forzada. Compresión fuera de juego para cerrar vectores de ataque.

También cambia la topología de red. Desaparece el método clásico en el que cada cliente recibía una subred de cuatro IPs. A partir de ahora, cada cliente usa una única IP. Esto libera un montón de direcciones que quedaban inutilizables y multiplica por cuatro el tamaño efectivo de los pools. Más direcciones aprovechables y gestión más sencilla por cliente.

Aunque parezca menor, es muy útil poder retocar los parámetros de OpenVPN sin tener que parar antes el servicio de road warrior. Cuando el servidor se reinicia para aplicar cambios, los clientes reciben un aviso y se reconectan al instante. En paralelo, se han afinado descripciones, etiquetas y encabezados en la interfaz web para hacer la configuración más intuitiva. Cambios en caliente y una interfaz que guía mejor cada ajuste.

Por dentro, el código se ha limpiado y refactorizado a lo grande para que el mantenimiento sea más llevadero. Y un apunte práctico para administradores: si antes la interfaz solo aceptaba notación de subred antigua, ahora también admite CIDR, lo cual encaja mejor con la operativa moderna. Además, desaparece el aviso permanente de certificados que podía resultar molesto. Refactorización, soporte CIDR y adiós a advertencias que ya no aportaban.

Ahorro energético y menos calor sin perder respuesta

Hasta ahora, IPFire mantenía los núcleos de CPU a su máxima frecuencia por defecto para minimizar la latencia, pero los procesadores actuales suben y bajan de frecuencia con rapidez y contamos con sistemas con muchos núcleos. Con pruebas de rendimiento en la mano, el proyecto cambia el enfoque: por defecto, se reducirá la frecuencia cuando sea posible. Se mantiene la agilidad de red y se recorta consumo y temperatura.

Cuando el hardware lo soporta, se activa Intel P-State; en caso contrario, se recurre al gobernador schedutil recientemente incorporado al kernel de Linux. Las mediciones del equipo muestran que no aumenta la latencia en la reenvío de paquetes. De paso, el paquete cpufrequtil deja de formar parte de la distribución, ya que este manejo moderno de frecuencia lo hace innecesario. Intel P-State o schedutil, sin impacto en latencia y con menos dependencias.

Más mejoras prácticas del día a día

WireGuard también recibe atenciones: a partir de ahora puedes importar ficheros de configuración con saltos de línea de Windows sin convertirlos previamente, y cualquier ruta IPv6 que llegue en esas importaciones será ignorada para evitar conflictos en despliegues IPv4 puros. Importaciones más flexibles y menos sorpresas con rutas automáticas.

En el sistema de prevención de intrusiones, se retira la lista de huellas SSL alojada en abuse.ch porque el propio proyecto la ha discontinuado. Mejor quitar un feed obsoleto que mantener una falsa sensación de cobertura. IPS más limpio y alineado con fuentes activas y mantenidas.

Una novedad que te encantará si gestionas copias grandes: desde la interfaz web ya es posible restaurar backups de más de 2 GiB. Era una limitación engorrosa y, por fin, desaparece. Restauraciones voluminosas, desde el navegador y sin trucos.

Se resuelve además una condición de carrera que, en algunos arranques, podía dejar ciertas interfaces de red sin levantar correctamente. Este tipo de fallos intermitentes son difíciles de acotar, pero el arreglo debería aportar más consistencia al boot. Arranques más predecibles y enlaces activos a la primera.

Kernel actualizado y nuevas mitigaciones de seguridad

El corazón del sistema pasa a basarse en Linux 6.12.41 LTS. Este salto no solo trae mejoras generales, sino también mitigaciones específicas contra Transient Scheduler Attacks. El estado de estas defensas queda reflejado en la página de vulnerabilidades de hardware dentro de IPFire, lo que ayuda a verificar de un vistazo qué está activo en tu equipo. Kernel moderno con mitigaciones al día y visibilidad clara desde el panel.

Paquetes actualizados en IPFire 2.29 Core Update 197: la lista es larga

La Core Update 197 viene cargada de actualizaciones de componentes básicos y librerías (ver Core Update 196). Entre otras, se incluyen Apache 2.4.65, automake 1.18.1, bash 5.3.3, bind 9.20.11, btrfs-progs 6.15, cURL 8.15.0, e2fsprogs 1.47.3, fontconfig 2.17.1, gettext 0.26, GnuTLS 3.8.10, jq 1.8.1, libhtp 0.5.51, libjpeg 3.1.1, libpng 1.6.50, libssh 0.11.2, libtalloc 2.4.3, libtasn1 4.20.0, libunistring —nuevo paquete en el conjunto—, lm_sensors 3.6.2, LVM2 2.03.33, nettle 3.10.2, OpenSSL 3.5.1, OpenVPN 2.6.14, pango 1.56.4, pciutils 3.14.0, readline 8.3.1, shadow 4.18.0, SQLite 3.50.2, strongSwan 6.0.2, Suricata 7.0.11, unbound 1.23.1 y util-linux 2.41.1. Decenas de piezas clave al día para sumar estabilidad y parches de seguridad.

Además, se ha añadido un idioma más a la interfaz: el chino. Es un paso más para hacer que la plataforma llegue, pulida y cuidada, a más administradores alrededor del mundo. Localización que crece y mejora la accesibilidad global.

Add-ons y nuevas herramientas integradas en IPFire 2.29 Core Update 197

En el terreno de complementos, hay incorporaciones interesantes. Por un lado, llegan utilidades para emular un dispositivo TPM 2.0, requisito imprescindible si quieres ejecutar máquinas virtuales con Windows 11 o versiones posteriores. También se suma arpwatch, que permite enviar un correo cuando un host aparece por primera vez en una interfaz local; útil para detectar dispositivos nuevos o no autorizados. Herramientas prácticas para virtualización moderna y vigilancia de red.

El add-on de Zabbix se actualiza a la edición 7.0.16 LTS y, de propina, incorpora monitorización de túneles WireGuard, soporte de ARP ping para la puerta de enlace de Internet y la integración con la funcionalidad IPFire Location. Esto reduce el tiempo de despliegue de observabilidad y mejora la visión del estado de la red. Monitorización más completa con Zabbix LTS bien afinado.

Si utilizas Borg Backup, hay una comodidad añadida: la dependencia libxxhash ahora se instala automáticamente —incidencia 13868—, con lo que se evitan errores de paquetes faltantes al preparar copias. Backups más simples al resolver dependencias de forma automática.

También llegan nuevas versiones de varios add-ons conocidos: cifs-utils 7.4, dnsdist 2.0.0, FreeRADIUS 3.2.7, Git 2.50.1, HAProxy 3.2.2, ncdu 1.22, taglib 2.1.1, tshark 4.4.8 y Samba 4.22.3. Son piezas muy utilizadas en entornos mixtos, por lo que tenerlas al día suma compatibilidad, rendimiento y parches. Capa de servicios actualizada para administrar y diagnosticar mejor.

Descarga, actualización y compatibilidad de IPFire 2.29 Core Update 197

IPFire 2.29 – Core Update 197 está disponible para descarga en imágenes ISO y USB para arquitecturas x86_64 y ARM64. Si ya usas IPFire, basta con actualizar tu instalación mediante el proceso habitual desde la interfaz. La transición a OpenVPN 2.6 ha sido diseñada para no exigir cambios en los clientes existentes, manteniendo en paralelo la compatibilidad con clientes antiguos y nuevos. Actualización sin sobresaltos y con soporte amplio de plataformas.

Para quienes despliegan WireGuard, la importación de perfiles es más tolerante con ficheros con saltos de línea de Windows, y las rutas IPv6 que vengan en esos archivos se omiten automáticamente si no proceden en tu red. Con el nuevo kernel y los paquetes renovados —incluidos OpenSSL 3.5.1, Suricata 7.0.11 o strongSwan 6.0.2—, el sistema queda en una posición sólida como firewall endurecido de cara a los próximos meses. VPNs pulidas y base del sistema endurecida con versiones recientes.

La Core Update 197 no es una mera revisión; condensa un rediseño serio de OpenVPN con configuración simplificada, seguridad por defecto más fuerte y topologías más eficientes, ajustes que recortan consumo sin penalizar latencia, un kernel LTS con mitigaciones al día, copias grandes restaurables desde la web y un aluvión de paquetes y add-ons actualizados —desde Apache y OpenSSL hasta Zabbix, HAProxy o Samba—. Con aportes útiles como la emulación de TPM 2.0 y la vigilancia de nuevos hosts con arpwatch, y teniendo en cuenta la respuesta de la comunidad, queda un sabor a proyecto maduro que escucha, innova y pule. Una actualización redonda que eleva la seguridad, agiliza la administración y prepara IPFire para lo que venga.