Information zu pfSense 2.4

Status
Für weitere Antworten geschlossen.

Freigeist

Well-Known Member
Wenn alles nach Plan läuft wird pfSense 2.4 in ca. 4 Wochen rausgegeben. Diese Information findet man in diesem Beitrag:

https://www.reddit.com/r/homelab/co...destroyed_3_sd_cards/?st=j4whgxfu&sh=f8d2e590

Ich nutze zur Zeit die BETA-Versionen weil dort OpenVPN 2.4 drin ist. Hardware ist noch immer eine APU1D. Die ZFS-Installation ist auf einer SSD. Eine SDD ist einer SD-Card vorzuziehen. Die APU1D bietet ja beides an.

Probleme hatte ich mit pfSense 2.4 BETA keine. Ich nutze aber nur wenige Pakete (HAProxy, openvpn-client-export, cron).

pfSense 2.4, hier im Forum scheint es es ja kaum Nutzer zu geben, bringt einige Änderungen!

- nur noch "x86_64 Hardware" wird unterstützt
- nanobsd gibt es nicht mehr
- FreeBSD 11 ist Grundlage
- es gibt die Möglichkeit eine ZFS-Installation zu wählen

Damit ist die Ehe der ALIX-Kiste mit pfSense geschieden.
 
Und mit 2.5 muss deine Instanz auch AES-NI unterstützen

Wenn man die Community Edition nutzen will trifft die Aussage zu. Was soll übrigens "meine" Instanz aussagen? Ich bin ein Nutzer neben vielen anderen.

Wem das nicht gefällt, kann ja OPNsense verwenden. OPNsense, so genau kenne ich das nicht, soll wohl weiterhin altertümliche "i386" Hardware unterstützen.

Die von Netgate vertriebenen Security Gateway Appliances, es gibt da inzwischen auch ARM basierende Teile, unterstützen jetzt schon alle AES-NI falls ich den Überblick nicht verloren habe.

Ich bin dafür "alte Zöpfe" abzuschneiden.

Was soll ich mit nanobsd wenn ich eine SSD verwenden kann?
Eine ALIX-Kiste z. B. ist doch heute an einem VDSL Anschluss überfordert. Warum also für solche Teile noch Entwicklungszeit investieren?

Da ich ja noch eine APU1D ohne AES-NI einsetze, könnte ich auch auf die Barrikade gehen. Mache ich aber nicht. Das Teil fliegt bald raus. Eine Entscheidung für neue Hardware ist noch nicht gefallen.
 
Zuletzt bearbeitet:
Beim Verzicht auf nanobsd (Das war schon zu seligen WRAP-Zeiten nicht mehr notwendig, ich habe da immer vollwertige FreeBSDs drauf gefahren) bin ich ja voll dabei. Und auch das Wegfallen von i386 ist nicht wirklich schlimm, bis auf wenige Ausnahmen sind alle Systeme der letzten 10 Jahre mit amd64 kompatibel. Aber wieso AES-NI zwingend voraussetzen? Da es nun wirklich keine Magie ist AES in Software zu implementieren und nahezu alle Software es nach wie vor tut, klingt das schon sehr nach einer künstlichen Beschneidung, um Nutzer von Hardware ohne AES-NI zum Kauf einer kommerziellen Lösung zu treiben. Schließlich dürften dort draußen noch etliche auf Celeron- und Pentium-CPUs ohne AES-NI basierende pfSense-Systeme laufen, die für die meisten Anwendungen noch auf Jahre weitaus genügend Leistung haben. Auch bei "increased cryptographic loads", wie sie so schön in ihrer Ankündigung schrieben.
 
um Nutzer von Hardware ohne AES-NI zum Kauf einer kommerziellen Lösung zu treiben

Der Verdacht ist nicht (ganz) von der Hand zu weisen. Eine kommerzielle Lösung muss es aber nicht unbedingt nicht sein, wenn man bei pfSense bleiben will/muss.

Wer pfSense 2.5 als Community Edition weiterhin nutzen will muss die Kröte schlucken. Wie schon gesagt sehe ich das "Problem" gelassen. Ich will ohnehin weg von der APU1D.
 
Wer hofft mit pfSense 2.4 das "tolle" Entertain 2.0 der Telekom nutzen zu können, schaut in die Röhre.

Nun, mich stört das nicht. Die Glotze ist mir nicht wichtig.
 
Hallo! ich habe auch ein APU 1D4, kann ich das dann nicht nutzen mit dem neue pfSense?

Welche Hardware (ähnlich klein, lüfterlos, stromsparend) wird empfohlen? Ich suche eh nach einem kleinen Rechner dafür, der 8-12 NICs bietet.
Was selbstbauen mit ein paar Quad-Karten, was meint ihr?

Grüße
bsd4ever
 
Richtig, da der verbaute Prozessor (AMD G series T40E ) kein AES-NI hat, kannste das Ding dann vergessen.
Ich werde wahrscheinlich auf irgend ein Mini-ITX von Supermicro (evtl. sowas hier) umsteigen, mal schauen. Aber einen Rechner mit 8-12 Ports? Das würde ich nicht machen, eher würde ich zusätzlich zu einem Managed Switch (ebay?) greifen, wenn du die Ports in einzelne Netzwerke einteilen willst (VLan).

Nachtrag: Oder falls es etwas günstiger sein soll: hier
 
Aber einen Rechner mit 8-12 Ports? Das würde ich nicht machen, eher würde ich zusätzlich zu einem Managed Switch (ebay?) greifen, wenn du die Ports in einzelne Netzwerke einteilen willst (VLan).

ich möchte port-based VLAN, kein tagged vlan. da ist es doch am einfachsten, die firewall/router hat entsprechende ports.
5 NICs sind schonmal weg, damit ich die 5 statischen IP von KabelBW nutzen kann. habe momentan 2 USB Nics dran, aber die sind bissle instabil.
also 5x WAN und dann noch ein paar für VLANs ( VoIP, LAN, DMZ..) und schon sind 8 eigentlich zu wenig, also 3x Quad karten wären sinnvoll. Welches stromsparende Board hat entsprechende PCI Slots?
 
ich möchte port-based VLAN, kein tagged vlan. da ist es doch am einfachsten, die firewall/router hat entsprechende ports.
5 NICs sind schonmal weg, damit ich die 5 statischen IP von KabelBW nutzen kann.

Bist du GANZ sicher, dass du weißt, was du machst? Das klingt abartig.
 
Selbst den Bedarf an 5 eindeutigen MAC-Adressen kann man mit einem einzigen physikalischen Interface lösen. Für 5 IP-Adressen 5 Ports zu brauchen, ist absoluter Käse.

Oder worum gehts da konkret?
 
Die Aussage von mir im Beitrag #7 ist falsch. pfSense 2.4 hat nun einen IGMP-Proxy mit dem EntertainTV 2.0 der Telekom genutzt werden kann.

Nähere Informationen hier.

Mein Interesse am Thema Telekom Entertain ist sehr unterentwickelt und in die Tiefen der Konfiguration soll sich der interessierte Kunde begeben.

Empfehlung:

Update auf pfSense 2.4 BETA nicht länger rauszögern. Es läuft bei mir auf den APU1D/ZFS seit Wochen stabil. Mache ca. jede Woche ein Update.
 
Wie sieht es bei pfsense eigentlich mit der Version von pf aus? Hängen die an der gleichen Version wie FreeBSD oder haben sie eine andere Lösung gefunden?
 
pfSense nutzt pf von FreeBSD. Ich sehe einen Hinweis auf diese Behauptung in dieser Diskussion.

Liege ich da falsch?
Nein, sollte das aus FreeBSD sein. Ich habe nur in Erinnerung, dass es ein git gab mit pf Patches für pfsense (finde ich leider nichtmehr, eventuell tot), dachte da gäbs vielleicht doch Unterschiede.
Die Diskussion scheint sehr subjektiv zu sein, glaube da lässt sich nicht wirklich ein Fakt rauslesen ( Videos kann ich leider nicht ankucken, Firmen-Firewall sagt nein :) )
 
pfSense 2.4 RC (aus dem "stable Zweig") ist da und auf 2.4.1 wird man nicht lange warten müssen.

Allen Nutzern von 2.3.4 wünsche ich eine gute Nacht.
 
"pfSense 2.4.1 snapshots based on FreeBSD 11.1 now available!"

Quelle: twitter

Nun, ich bleibe erst mal auf dem "stable Zweig" mit FreeBSD 11.0. Gibt ja keine Probleme damit für meine Konfiguration.
 
Eine Alternative zur inzwischen betagten APU2 findet man in der SG-3100 von Netgate. Das Teil ist wohl bald (Ende Oktober 2017) hierzulande verfügbar.

Wie sieht es mit der VPN-Leistung aus?

Nun,

bis zu 300 MBit/s mit IPsec AES128-CBC SHA1 und

bis zu 95 MBit/s mit OpenVPN AES128-CBC SHA1.

IPsec brauche ich nicht. OpenVPN mit "AEAD ciphers" wird wohl noch etwas besser abschneiden.

Aber:

Ein Teil auf Basis von Atom C3000 ist natürlich auch nicht zu verachten. Wer macht das Rennen?
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben