1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Information zu pfSense 2.4

Dieses Thema im Forum "Netzwerk" wurde erstellt von Freigeist, 9 Juli 2017.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Wenn alles nach Plan läuft wird pfSense 2.4 in ca. 4 Wochen rausgegeben. Diese Information findet man in diesem Beitrag:

    https://www.reddit.com/r/homelab/co...destroyed_3_sd_cards/?st=j4whgxfu&sh=f8d2e590

    Ich nutze zur Zeit die BETA-Versionen weil dort OpenVPN 2.4 drin ist. Hardware ist noch immer eine APU1D. Die ZFS-Installation ist auf einer SSD. Eine SDD ist einer SD-Card vorzuziehen. Die APU1D bietet ja beides an.

    Probleme hatte ich mit pfSense 2.4 BETA keine. Ich nutze aber nur wenige Pakete (HAProxy, openvpn-client-export, cron).

    pfSense 2.4, hier im Forum scheint es es ja kaum Nutzer zu geben, bringt einige Änderungen!

    - nur noch "x86_64 Hardware" wird unterstützt
    - nanobsd gibt es nicht mehr
    - FreeBSD 11 ist Grundlage
    - es gibt die Möglichkeit eine ZFS-Installation zu wählen

    Damit ist die Ehe der ALIX-Kiste mit pfSense geschieden.
     
  2. Illuminatus

    Illuminatus in geheimer Mission

    Registriert seit:
    3 August 2003
    Beiträge:
    1.105
    Und mit 2.5 muss deine Instanz auch AES-NI unterstützen
     
  3. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Wenn man die Community Edition nutzen will trifft die Aussage zu. Was soll übrigens "meine" Instanz aussagen? Ich bin ein Nutzer neben vielen anderen.

    Wem das nicht gefällt, kann ja OPNsense verwenden. OPNsense, so genau kenne ich das nicht, soll wohl weiterhin altertümliche "i386" Hardware unterstützen.

    Die von Netgate vertriebenen Security Gateway Appliances, es gibt da inzwischen auch ARM basierende Teile, unterstützen jetzt schon alle AES-NI falls ich den Überblick nicht verloren habe.

    Ich bin dafür "alte Zöpfe" abzuschneiden.

    Was soll ich mit nanobsd wenn ich eine SSD verwenden kann?
    Eine ALIX-Kiste z. B. ist doch heute an einem VDSL Anschluss überfordert. Warum also für solche Teile noch Entwicklungszeit investieren?

    Da ich ja noch eine APU1D ohne AES-NI einsetze, könnte ich auch auf die Barrikade gehen. Mache ich aber nicht. Das Teil fliegt bald raus. Eine Entscheidung für neue Hardware ist noch nicht gefallen.
     
    Zuletzt bearbeitet: 9 Juli 2017
  4. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.852
    Ort:
    Schleswig-Holstein
    Beim Verzicht auf nanobsd (Das war schon zu seligen WRAP-Zeiten nicht mehr notwendig, ich habe da immer vollwertige FreeBSDs drauf gefahren) bin ich ja voll dabei. Und auch das Wegfallen von i386 ist nicht wirklich schlimm, bis auf wenige Ausnahmen sind alle Systeme der letzten 10 Jahre mit amd64 kompatibel. Aber wieso AES-NI zwingend voraussetzen? Da es nun wirklich keine Magie ist AES in Software zu implementieren und nahezu alle Software es nach wie vor tut, klingt das schon sehr nach einer künstlichen Beschneidung, um Nutzer von Hardware ohne AES-NI zum Kauf einer kommerziellen Lösung zu treiben. Schließlich dürften dort draußen noch etliche auf Celeron- und Pentium-CPUs ohne AES-NI basierende pfSense-Systeme laufen, die für die meisten Anwendungen noch auf Jahre weitaus genügend Leistung haben. Auch bei "increased cryptographic loads", wie sie so schön in ihrer Ankündigung schrieben.
     
  5. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Der Verdacht ist nicht (ganz) von der Hand zu weisen. Eine kommerzielle Lösung muss es aber nicht unbedingt nicht sein, wenn man bei pfSense bleiben will/muss.

    Wer pfSense 2.5 als Community Edition weiterhin nutzen will muss die Kröte schlucken. Wie schon gesagt sehe ich das "Problem" gelassen. Ich will ohnehin weg von der APU1D.
     
  6. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
  7. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Wer hofft mit pfSense 2.4 das "tolle" Entertain 2.0 der Telekom nutzen zu können, schaut in die Röhre.

    Nun, mich stört das nicht. Die Glotze ist mir nicht wichtig.
     
  8. bsd4ever

    bsd4ever New Member

    Registriert seit:
    28 Dezember 2013
    Beiträge:
    6
    Hallo! ich habe auch ein APU 1D4, kann ich das dann nicht nutzen mit dem neue pfSense?

    Welche Hardware (ähnlich klein, lüfterlos, stromsparend) wird empfohlen? Ich suche eh nach einem kleinen Rechner dafür, der 8-12 NICs bietet.
    Was selbstbauen mit ein paar Quad-Karten, was meint ihr?

    Grüße
    bsd4ever
     
  9. gadean

    gadean Member

    Registriert seit:
    26 Oktober 2013
    Beiträge:
    171
    Richtig, da der verbaute Prozessor (AMD G series T40E ) kein AES-NI hat, kannste das Ding dann vergessen.
    Ich werde wahrscheinlich auf irgend ein Mini-ITX von Supermicro (evtl. sowas hier) umsteigen, mal schauen. Aber einen Rechner mit 8-12 Ports? Das würde ich nicht machen, eher würde ich zusätzlich zu einem Managed Switch (ebay?) greifen, wenn du die Ports in einzelne Netzwerke einteilen willst (VLan).

    Nachtrag: Oder falls es etwas günstiger sein soll: hier
     
  10. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Nein.

    Erst ab pfSense 2.5 erfordert die Community Edition AES-NI Hardware während pfSense 2.4 diese Forderung nicht stellt.
     
    Zuletzt bearbeitet: 23 Juli 2017
  11. bsd4ever

    bsd4ever New Member

    Registriert seit:
    28 Dezember 2013
    Beiträge:
    6
    ich möchte port-based VLAN, kein tagged vlan. da ist es doch am einfachsten, die firewall/router hat entsprechende ports.
    5 NICs sind schonmal weg, damit ich die 5 statischen IP von KabelBW nutzen kann. habe momentan 2 USB Nics dran, aber die sind bissle instabil.
    also 5x WAN und dann noch ein paar für VLANs ( VoIP, LAN, DMZ..) und schon sind 8 eigentlich zu wenig, also 3x Quad karten wären sinnvoll. Welches stromsparende Board hat entsprechende PCI Slots?
     
  12. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Da bin ich sehr gespannt auf den Erfolg der Suche!
     
  13. TCM

    TCM Well-Known Member

    Registriert seit:
    14 März 2005
    Beiträge:
    1.260
    Bist du GANZ sicher, dass du weißt, was du machst? Das klingt abartig.
     
  14. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    gadean gefällt das.
  15. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Ich hoffe das pfSense die Konfiguration von OpenVPN damit

    https://cryptosense.com/the-end-of-triple-des

    bald verhindert.

    Zur Zeit ist das mit pfSense 2.4 BETA nicht der Fall. Dieser wirklich uralte Zopf muss endlich abgeschitten werden.
     
  16. bsd4ever

    bsd4ever New Member

    Registriert seit:
    28 Dezember 2013
    Beiträge:
    6
    klar, was ist daran "abartig"? Dieses KabelBW "problem" ist bekannt, kann man nur so lösen.
     
  17. TCM

    TCM Well-Known Member

    Registriert seit:
    14 März 2005
    Beiträge:
    1.260
    Selbst den Bedarf an 5 eindeutigen MAC-Adressen kann man mit einem einzigen physikalischen Interface lösen. Für 5 IP-Adressen 5 Ports zu brauchen, ist absoluter Käse.

    Oder worum gehts da konkret?
     
  18. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Laut Forum wird pfSense 2.4.1 mit FreeBSD 11.1 kommen. pfSense 2.4 bleibt auf noch FreeBSD 11.0.
     
  19. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Die Aussage von mir im Beitrag #7 ist falsch. pfSense 2.4 hat nun einen IGMP-Proxy mit dem EntertainTV 2.0 der Telekom genutzt werden kann.

    Nähere Informationen hier.

    Mein Interesse am Thema Telekom Entertain ist sehr unterentwickelt und in die Tiefen der Konfiguration soll sich der interessierte Kunde begeben.

    Empfehlung:

    Update auf pfSense 2.4 BETA nicht länger rauszögern. Es läuft bei mir auf den APU1D/ZFS seit Wochen stabil. Mache ca. jede Woche ein Update.
     
  20. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    484
    Wie sieht es bei pfsense eigentlich mit der Version von pf aus? Hängen die an der gleichen Version wie FreeBSD oder haben sie eine andere Lösung gefunden?
     
  21. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    pfSense nutzt pf von FreeBSD. Ich sehe einen Hinweis auf diese Behauptung in dieser Diskussion.

    Liege ich da falsch?
     
  22. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    484
    Nein, sollte das aus FreeBSD sein. Ich habe nur in Erinnerung, dass es ein git gab mit pf Patches für pfsense (finde ich leider nichtmehr, eventuell tot), dachte da gäbs vielleicht doch Unterschiede.
    Die Diskussion scheint sehr subjektiv zu sein, glaube da lässt sich nicht wirklich ein Fakt rauslesen ( Videos kann ich leider nicht ankucken, Firmen-Firewall sagt nein :) )
     
  23. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    pfSense 2.4 RC (aus dem "stable Zweig") ist da und auf 2.4.1 wird man nicht lange warten müssen.

    Allen Nutzern von 2.3.4 wünsche ich eine gute Nacht.
     
  24. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    "pfSense 2.4.1 snapshots based on FreeBSD 11.1 now available!"

    Quelle: twitter

    Nun, ich bleibe erst mal auf dem "stable Zweig" mit FreeBSD 11.0. Gibt ja keine Probleme damit für meine Konfiguration.
     
  25. Freigeist

    Freigeist Member

    Registriert seit:
    21 Mai 2017
    Beiträge:
    169
    Eine Alternative zur inzwischen betagten APU2 findet man in der SG-3100 von Netgate. Das Teil ist wohl bald (Ende Oktober 2017) hierzulande verfügbar.

    Wie sieht es mit der VPN-Leistung aus?

    Nun,

    bis zu 300 MBit/s mit IPsec AES128-CBC SHA1 und

    bis zu 95 MBit/s mit OpenVPN AES128-CBC SHA1.

    IPsec brauche ich nicht. OpenVPN mit "AEAD ciphers" wird wohl noch etwas besser abschneiden.

    Aber:

    Ein Teil auf Basis von Atom C3000 ist natürlich auch nicht zu verachten. Wer macht das Rennen?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.