IPFire 2.29 Core Update 199 llega cargada de cambios profundos que tocan prácticamente todas las capas del sistema: desde el soporte inalámbrico de última generación hasta el endurecimiento de la seguridad del núcleo, pasando por mejoras en VPN, proxy, interfaz web y un buen puñado de paquetes actualizados. Esta versión, publicada inicialmente como build de pruebas, apunta directamente a entornos exigentes, tanto empresariales como domésticos avanzados.

A lo largo de esta guía vamos a desgranar todas las novedades técnicas y funcionales de esta actualización: soporte para WiFi 7 y WiFi 6, integración nativa de LLDP/CDP, nuevo kernel, cambios en el sistema de prevención de intrusiones, mejoras en OpenVPN, afinado del proxy, pequeños detalles de la interfaz, evolución de los add-ons y el esfuerzo de desarrollo que hay detrás. Si trabajas con IPFire en producción, te interesa conocer bien qué cambia y cómo puede beneficiarte.

IPFire 2.29 Core Update 199 da salto de nivel en redes inalámbricas: soporte para WiFi 7 y WiFi 6

Una de las grandes estrellas de esta versión es la compatibilidad directa de IPFire con puntos de acceso WiFi 7 y WiFi 6. Hasta ahora, parte del hardware ya funcionaba, pero no se estaban aprovechando plenamente las capacidades avanzadas de estos estándares. Con el Core Update 199, el sistema sí sabe exprimir esas funciones avanzadas para ofrecer más velocidad y menor latencia.

Ahora es posible indicar simplemente el modo WiFi preferido desde la interfaz, y dejar que IPFire se encargue del resto de la configuración. Se añaden 802.11be (WiFi 7) y 802.11ax (WiFi 6) a los ya presentes 802.11ac/agn, y se admite un ancho de canal de hasta 320 MHz. Esto se traduce en cifras de ancho de banda realmente serias: más de 5,7 Gbps con dos flujos espaciales o alrededor de 11,5 Gbps con cuatro streams, todo ello sobre el aire.

Otro cambio importante es que IPFire detecta de forma automática las capacidades del hardware WiFi y activa las funciones soportadas sin necesidad de toquetear ajustes crípticos. Antes, la configuración de las llamadas «HT Capabilities» y «VHT Capabilities» se hacía a mano, con el consiguiente riesgo de errores y pérdida de tiempo. Ahora el sistema se encarga de habilitar todo lo que la tarjeta inalámbrica soporte de forma segura, lo que resulta en redes más estables y rápidas.

En materia de seguridad inalámbrica, se introduce la opción de reforzar las redes que aún usan WPA2 o WPA1. Cuando existan clientes que no pueden usar WPA3, IPFire permitirá utilizar SHA256 durante la autenticación, fortaleciendo el handshake sin obligar a abandonar estos protocolos más antiguos, algo todavía necesario en muchos parques de dispositivos mixtos.

De serie, esta actualización activa la protección del SSID mediante MFP (Management Frame Protection, 802.11w) allí donde esté disponible. En esos casos, el sistema habilita automáticamente Beacon Protection y Operating Channel Validation, dificultando ataques basados en frames de gestión falsos y mejorando la robustez de la red frente a interferencias maliciosas.

Para optimizar el uso del espectro, IPFire incorpora un mecanismo que convierte el tráfico multicast en unicast por defecto cuando la mayoría de los clientes son modernos y rápidos. Esto libera tiempo de aire y reduce colisiones, algo especialmente útil en redes muy pobladas donde se consumen muchos servicios audiovisuales o tráfico broadcast.

Si el hardware lo permite, se realiza detección de radar en segundo plano, imprescindible para convivir correctamente con los canales DFS y cumplir con la normativa en bandas de frecuencia compartidas con servicios de radar. Todo ello se integra sin cambios drásticos en la interfaz, que se mantiene muy similar, ya que la «magia» ocurre debajo del capó.

Los productos de Lightning Wire Labs, diseñados específicamente para IPFire, activarán de forma automática estas capacidades WiFi avanzadas, con lo que quienes utilicen estos appliances obtendrán desde el primer momento el máximo partido de la nueva pila inalámbrica.

Descubrimiento de red con LLDP y Cisco Discovery Protocol

En entornos complejos, saber exactamente a qué se está conectando cada interfaz del firewall es clave para el diagnóstico y la documentación. Con el Core Update 199, IPFire incorpora soporte nativo para LLDP (Link Layer Discovery Protocol) y CDPv2 (Cisco Discovery Protocol), dos protocolos ampliamente utilizados en switches gestionables y equipamiento de red profesional.

Gracias a esta integración, el firewall puede identificar automáticamente los dispositivos conectados a cada puerto físico y determinar a qué puerto de switch se une cada interfaz. Esto simplifica mucho la vida cuando trabajas con racks llenos de equipos, VLANs, troncales y agregaciones, y se integra muy bien con herramientas de monitorización y mapeo como Observium.

La funcionalidad se administra cómodamente desde la interfaz web, en el menú Servicios → LLDP, donde es posible activarla, desactivarla o ajustar parámetros según las necesidades del entorno. De este modo, IPFire se convierte en un actor más visible y totalmente integrado en la topología de la red.

Kernel actualizado y mejoras de rendimiento en IPFire 2.29 Core Update 199

Otra pieza clave de este Core Update es la actualización del kernel de IPFire a la rama Linux 6.12.58. Este salto de versión arrastra numerosas correcciones de seguridad y estabilidad, además de mejoras de rendimiento que se notan especialmente en hardware moderno y cargas exigentes.

Se han revisado determinados ajustes de configuración relacionados con la depuración de la planificación y la concurrencia (preemption debugging). La desactivación o afinado de ciertos parámetros de depuración que no son necesarios en producción se traduce en un incremento apreciable del rendimiento en muchos sistemas, reduciendo latencias y mejorando el tiempo de respuesta del firewall bajo carga.

Refuerzo del sistema de prevención de intrusiones (IPS)

El corazón del IPS de IPFire, Suricata, se ha actualizado a la versión 8.0.2. Este cambio no solo supone mejoras internas en el motor de análisis de tráfico, sino que también abre la puerta a nuevas reglas y capacidades de detección, manteniendo el sistema al día frente a amenazas actuales.

La funcionalidad de informes del IPS también recibía un ajuste importante debido a incidencias con la base de datos SQLite utilizada internamente. Cuando ésta se encontraba ocupada, algunos avisos podían perderse. El problema se ha resuelto con la versión 0.5 del paquete suricata-reporter, que garantiza que las alertas se registren y reporten de forma fiable.

Además, los informes del IPS pasan a tener un horario de envío fijo a la 1:00 de la madrugada. Este pequeño cambio responde a la petición de varios administradores que necesitaban disponer de los reports listos a primera hora de la mañana, facilitando así la revisión diaria del estado de seguridad antes del inicio de la jornada.

Mejoras en OpenVPN para clientes itinerantes en IPFire 2.29 Core Update 199

El módulo de OpenVPN Roadwarrior también recibe un paquete de pequeñas pero significativas optimizaciones para entornos de acceso remoto. En primer lugar, si el servidor aún hace uso de cifrados considerados heredados, la interfaz los resaltará para llamar la atención del administrador y animarle a planificar una migración hacia algoritmos más robustos.

Se añade la posibilidad de empujar múltiples servidores DNS y WINS a los clientes, algo muy útil en redes corporativas con varios dominios, resolvers internos o entornos mixtos. Esto flexibiliza mucho la configuración sin tener que recurrir a hacks o scripts adicionales en los clientes.

El servidor OpenVPN pasa a funcionar siempre en modo multi-home, lo que encaja mejor con la realidad de IPFire, normalmente desplegado con varias interfaces de red. Con este ajuste, el servidor responde consistentemente utilizando la misma dirección IP a la que se conectó el cliente, tanto si llega desde la red interna como desde el exterior, evitando comportamientos extraños en escenarios con múltiples rutas.

También se corrige un bug que impedía que la primera ruta personalizada se empujara correctamente a los clientes. Este fallo podía causar que determinadas redes no fueran accesibles a través del túnel, aunque el resto de la configuración estuviese bien definida. Con el parche, las rutas personalizadas se distribuyen como cabría esperar.

En cuanto a la autenticación, el componente encargado de validar usuarios maneja mejor los flujos de OTP. Cuando el cliente se «lía» durante el proceso de autenticación en dos pasos, el servidor hará un esfuerzo adicional por guiarle y completar el login correctamente, reduciendo incidencias por malentendidos de los usuarios finales.

Finalmente, se elimina del archivo de configuración cliente la directiva auth-nocache, ya que en este contexto resultaba inefectiva. Al suprimirla, se simplifica el fichero sin impacto negativo en la seguridad real del despliegue.

Proxy: mitigaciones de seguridad y estabilidad de IPFire 2.29 Core Update 199

El proxy de IPFire también se ve beneficiado con cambios pensados para reducir riesgos de seguridad y pulir situaciones de carrera. En primer lugar, se aplica una mitigación específica frente a la vulnerabilidad identificada como CVE-2025-62168, reforzando la configuración para evitar posibles explotaciones.

Por otro lado, se soluciona una condición de carrera que podía provocar el cierre forzoso del proceso del Filtro de URL durante la compilación de sus bases de datos. Bajo determinadas circunstancias, esto se traducía en bloqueos puntuales o pérdida de filtrado hasta que el servicio se reiniciaba. Con el arreglo incorporado, la compilación de listas debería transcurrir sin interrupciones.

Pequeñas grandes mejoras en la interfaz web

La interfaz de administración web recibe varios detalles que, sin ser espectaculares, mejoran claramente la usabilidad del día a día. El módulo de firewall corrige un error que impedía crear nuevos grupos de localizaciones, una función muy útil para gestionar reglas basadas en países o regiones.

En la sección dedicada a vulnerabilidades de hardware, ahora se muestra un mensaje más claro cuando el sistema no soporta SMT (Simultaneous Multithreading). En lugar de mensajes confusos, el administrador entiende mejor la situación de su CPU y cómo afecta a determinadas mitigaciones.</p&amp;gt;&lt;/p>

El módulo de correo ajusta el tratamiento de credenciales que contienen caracteres especiales delicados, evitando que se corrompan o se «manglen» durante el guardado. Esto reduce incidencias a la hora de configurar notificaciones y otros servicios que dependen de autenticación SMTP.

Cambios generales y paquete de actualizaciones del sistema

Más allá de las funciones concretas, esta actualización incluye modificaciones de base en el sistema y una gran remesa de paquetes actualizados. En primer lugar, el demonio D-Bus pasa a ejecutarse por defecto en IPFire, preparando el terreno para futuras características que se apoyarán en esta infraestructura de mensajería interna.

El sistema de construcción de initramfs también evoluciona: dracut se sustituye por dracut-ng, dado que el proyecto original ha quedado abandonado por parte de Red Hat. Este cambio garantiza un mantenimiento activo y una base más sólida para procesos de arranque y recuperación.

Entre las novedades utilitarias destaca la incorporación de dma, una herramienta pensada para generar buzones locales y gestionar el correo de manera ligera, especialmente útil en sistemas que no requieren un MTA pesado pero sí cierta funcionalidad de entrega interna.

La pila de cifrado también se ajusta para alinear IPFire con las recomendaciones actuales: la suite de cifrados de SSH se sincroniza con upstream y pasa a dar prioridad a AES-GCM frente a AES-CTR, favoreciendo modos autenticados más robustos por defecto.

Se corrige además una condición de carrera en la aplicación de reglas del firewall, en la que un conjunto de reglas ya aplicado podía desaparecer si se insertaba otra regla al mismo tiempo. Con el arreglo, las reglas se mantienen de forma consistente aunque haya cambios frecuentes en la política.

Otros cambios

En cuanto al catálogo de paquetes base, el Core Update 199 actualiza una larga lista de componentes fundamentales. Entre ellos se incluyen, entre muchos otros, coreutils 9.8, c-ares 1.34.5 (con parche frente a CVE-2025-31498), cURL 8.17.0 y BIND 9.20.16, pilares básicos para utilidades de sistema y resolución de nombres.

También se suben de versión bibliotecas y herramientas clave como boost 1.89.0, btrfs-progs 6.17.1, elfutils 0.194, expat 2.7.3 (con correcciones para CVE-2025-59375 y CVE-2024-8176), fmt 12.1.0, FUSE 3.17.4 y glib 2.86.0, reforzando compatibilidad y seguridad.

Se incluyen actualizaciones de harfbuzz 12.1.0, hwdata 0.400, iana-etc 20251030, iproute2 6.17.0, kbd 2.9.0, less 685, libarchive 3.8.2, libcap 2.77, libgpg-error 1.56, libxml2 2.15.1 y LVM2 2.03.36, todos ellos componentes críticos para la gestión del sistema, consola, almacenamiento y parsing de datos.

El conjunto de herramientas de compilación y desarrollo también se pone al día con nasm 3.00, ninja 1.13.1, protobuf 33.0 y Rust 1.85.0, mientras que la base de datos embebida y varios servicios de red mejoran gracias a SQLite 3.51.0, Suricata 8.0.2, suricata-reporter 0.5, strongSwan 6.0.3, unbound 1.24.1 y otros.

Completan el lote de actualizaciones diversas utilidades de administración y sistema como sysvinit 3.14, udev 258, util-linux 2.41.2, vim 9.1.1854, whois 5.6.5, usbutils 019 y xfsprogs 6.17.0, además de múltiples «code cleanups» repartidos por todo el código, que mejoran mantenibilidad y reduce deuda técnica.

Add-ons: nuevas funciones y versiones renovadas

El ecosistema de complementos de IPFire también se actualiza, incorporando correcciones y nuevas posibilidades en varios add-ons. Uno de los que recibe atención es arpwatch, orientado a monitorizar cambios de direcciones MAC en la red.

En arpwatch se corrige un fallo que impedía enviar el remitente correcto en los correos electrónicos de aviso, provocando que algunos servidores rechazasen esos mensajes. Además, las direcciones MAC pasan a mostrarse siempre con relleno de ceros, facilitando la lectura y evitando confusiones.

El add-on ffmpeg se actualiza a la versión 8.0 e incorpora de nuevo enlace con OpenSSL y la librería lame. Gracias a ello, IPFire puede volver a manejar flujos desde fuentes externas vía HTTPS y codificación mp3 sin problemas, recuperando capacidades de streaming que algunos administradores echaban en falta.

Junto a estos cambios, se actualizan numerosos paquetes adicionales dentro de los add-ons, como ClamAV 1.5.1, dnsdist 2.0.1, fetchmail 6.5.7, hostapd f747ae0, libmpdclient 2.23, mpd 0.24.5 y mympd 22.1.1, mejorando funciones de antivirus, DNS avanzado, correo, servicios multimedia y gestión de puntos de acceso.

La magnitud de esta versión deja claro que IPFire sigue apostando por ampliar capacidades de red, reforzar la seguridad y pulir continuamente la experiencia de administración. Desde la nueva generación WiFi y la visibilidad mejorada con LLDP/CDP, hasta el kernel modernizado, el IPS más fiable, las mejoras en OpenVPN, el proxy reforzado, las pequeñas correcciones de la interfaz, la batería de paquetes actualizados y los add-ons ampliados, todo encaja para ofrecer un sistema más rápido, seguro y preparado para escenarios complejos, siempre respaldado por una comunidad y un equipo que necesitan apoyo para mantener este ritmo de evolución.