pfSense 2.5 soll nur noch CPUs mit AES-NI

rMarkus

Chuck The Plant
Tag,

gerade habe ich zufällig gelesen, dass pfSense 2.5 nur noch CPUs mit AES-NI unterstützen wird:

Quellen:
  1. https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html
  2. https://www.reddit.com/r/PFSENSE/comments/68nd6y/pfsense_25_and_aesni/

Das Ganze wird nur mit Scheinargumenten und Geheimnistuerei begründet und es für eine Router-Plattform nicht nachvollziehbar. Selbst wenn man darauf optionales VPN oder IPsec betreibt, muss der Benutzer selbst entscheiden können, ob ihm die Performance ohne AES-NI ausreicht.

Damit müssten alle Systeme kleiner gleich APU1 (Bobcat) nicht mehr unterstützt sein und nur noch das aktuelle APU2 (Jaguar) ... oder größere Hardware.
Vermutlich fallen auch einige Intel Atoms dann raus, die auch gerne dafür verwendet werden.

Könnt Ihr das nachvollziehen?
 
Schon in der ersten Zeile der Homepage von pfSense ist der erste Ausdruck "Buy Now". Und genau darum geht es. Die wollen ihre Produkte verkaufen und pfSense ist der Aufhänger dafür. Die ganze Homepage stinkt nach Werbung für Bezahlangebote. Sogar wenn ich nur die Download-Seite aufrufe, werde ich mit zig anderen Sachen konfrontiert. In dieser aufdringlichen Art macht es durchaus Sinn, dass sich das früher oder später auch auf pfSense selbst auswirkt.
Also jetzt mal unabhängig davon, ob deren Produkte oder pfSense von guter Qualität sind. Aber wenn ich eine Seite namens "pfSense" aufrufe, erwarte ich eigentlich pfSense und nicht primär eine Seite die mir Hardware oder Support verkaufen möchte. pfSense ist da nur das kleine Nebenprodukt.
 
OPNsense verspricht ("Best Open Source Firewall") sehr viel! Ein Grund für mich zu OPNsense zu wechseln?

Nein, ich bleibe bei pfSense und der Community Edition obwohl es schon lange sehr gute Hardware gebündelt mit pfSense auf dem Markt gibt. Ich nenne hier keine Produkte. Sie sind sicher für viele aus Preisgründen nicht wählbar.

Mit pfSense 2.4 fiel die Unterstützung von nanobsd und "i386" Hardware für die Community Edition weg. Das hat mich nicht gestört. Die ALIX-Kiste wurde schon lange zur Spielwiese von FreeBSD.

Wenn mit pfSense 2.5 die Communit Edition nur noch auf "AES-NI" Hardware läuft betrifft es mich schon. Die APU1D wird also auch Spielwiese werden. Der Weg zu pfSense 2.5 ist noch lang. Wie lang? Keine Ahnung. pfSense 2.4 ist ja noch im BETA-Stadium.

Ich suche derzeit den Nachfolger der APU1D und APU2C4 steht nicht zur Wahl.
 
Schon in der ersten Zeile der Homepage von pfSense ist der erste Ausdruck "Buy Now". Und genau darum geht es. Die wollen ihre Produkte verkaufen und pfSense ist der Aufhänger dafür. Die ganze Homepage stinkt nach Werbung für Bezahlangebote. Sogar wenn ich nur die Download-Seite aufrufe, werde ich mit zig anderen Sachen konfrontiert. In dieser aufdringlichen Art macht es durchaus Sinn, dass sich das früher oder später auch auf pfSense selbst auswirkt.
Also jetzt mal unabhängig davon, ob deren Produkte oder pfSense von guter Qualität sind. Aber wenn ich eine Seite namens "pfSense" aufrufe, erwarte ich eigentlich pfSense und nicht primär eine Seite die mir Hardware oder Support verkaufen möchte. pfSense ist da nur das kleine Nebenprodukt.
Was spricht denn gegen OPNsense?

War doch prinzipiell der Beweggrund warum der Fork Opensense ins Leben gerufen wurde, ist ja allgemein bekannt dass pfsense eigene Hardware vertreiben will.
 
Was habt ihr alle mit diesen Arschwisch-Lösungen? BSD und benötigte Pakete installieren und losmachen. Versteh ich absolut nicht, immer dem nächsten Fork hinterherzuhecheln und sich abhängig zu machen von völliger Willkür.
 
Die Firma und der Mann hinter OPNsense:

Deciso Schellevis

Die Produkte dieser Firma sind auch nicht gerade ein Schnäppchen. Man setzt auf AMD. Das falsche Pferd?

Intel schläft (noch) etwas mit der Atom C3000 Serie.:D
 
Kann verstehen dass eine Firma Geld verdienen möchte. Dass eine beliebte Implementierung dann "Anreize" verpasst bekommt, verstehe ich auch noch. Wenn die Qualität stimmt und FreeBSD durch geleistete Entwicklung sogar indirekt eine Spende in Form von Code bekommt, stelle ich mich nicht dagegen. Wie sieht das denn im Umfeld von Unternehmen und deren Anforderungen aus wenn es heißt: Firewall, redundant, VPN für Standorte und Roadwarrior, Feature X. Stellen dann pfSense Büchsen mit ihren Preisen immer noch eine attraktive Alternative zu sonstigen Appliances dar?
Versteht mich bitte nicht falsch: will nur sagen dass man auch etwas für sein Geld bekommt. Nur kann ich schlecht beurteilen ob der Preis plausibel ist. Dass Do-it-yourself finanziell gesehen quasi immer der Gewinner ist, steht außer Frage.
 
Zuletzt bearbeitet:
Also ich hab mal eine PfSense im Unternehmen eingesetzt, allerdings intern zur weiteren Segmentierung des Netztes (bei den großen Kommerziellen ist das in der Regel sehr teuer wenn man mehrere physische Netze möchte). Auch als Client zu verschiedenen VPNs anderer Firmen und diversen internen Spielerein war ich sehr zufrieden. Nach außen hin zur bösen Welt seh ich allerdings Probleme, große Partnerfirma mit Standardprodukt will sich per VPN verbinden, es klappt nicht auf anhieb und deren Dienstleister sagt "PfSense? Unterstützen wir nicht". Dann hast den Salat.

Was habt ihr alle mit diesen Arschwisch-Lösungen? BSD und benötigte Pakete installieren und losmachen. Versteh ich absolut nicht, immer dem nächsten Fork hinterherzuhecheln und sich abhängig zu machen von völliger Willkür.

Das klappt wohl Daheim oder im 5 Mann Betrieb, bei großen Netzwerken ist das aber so gut wie unmöglich.
 
hi

was ich bei dieser entscheidung nicht verstehe,
wenn ich pfsense z.b. als uservpn lösung in einer VM nutzen will , muss das der Host aes-ni sprechen und durchreichen ?

macht fuer mich keinen sinn .

Aber es gab ja in vergangenheit schon genug beispiele wo Opensource Projekte und dessen Maintainer falsche entscheidungen getroffen haben ,
und dann die user in scharnen weg gelaufen sind.

holger
 
Von welchen Opensource Projekten wird hier gesprochen? Geht es etwas konkreter?
- Debian mit systemd
- NetBSD mit Theo (menschl. evtl. gute Entscheidung - technisch ein riesen Fehler)
- RedHat mit der Entscheidung die Bewerbung von Lennart Poettering nicht in den Müll zu werfen

Ist meine Sicht
 
@mark05 VPN kannst du unabhängig von AES-NI benutzten, nur ist die Performance ohne die Erweiterung, je nach Konfiguration, schlechter. Ab 2.5 brauchst du AES-NI und in einer VM läuft das ohne Probleme.
 
Was der eine aus seiner Position als Fehlentscheidung betrachtet, findet der andere womöglich als alternativlos.

Zu Debian:

Wohin sind denn die von systemd frustrierten Nutzer ausgewandert? Gibts es dazu belastbare Aussagen? Sind sie bei Opensource Systemen geblieben?

Zu pfSense 2.5 und nur noch AES-NI Hardware für die Community Edition:

Für mich ist das kein Problem. Bin doch längst auf der Suche nach dem APU1D Nachfolger.

Anfrage an die FreeBSD Experten:

In welcher Form ist Intel mit im Boot wenn es um die Treiberentwicklung z. B. für die Atom C3000 Serie geht. Boards von Supermicro (mit C3338) sind nämlich jetzt lieferbar. Wann kommen die Treiber für FreeBSD? Sind sie schon da?
 
Zu Debian:

Wohin sind denn die von systemd frustrierten Nutzer ausgewandert? Gibts es dazu belastbare Aussagen? Sind sie bei Opensource Systemen geblieben?
Eine Umfrage im BSD Forum wird zu FreeBSD führen, eine Umfrage im Linuxforum zu Distri xy. Glaube kaum, dass man hierzu was belastbares findet.
 
Das hat auch wenig mit der ursprünglichen Frage zu tun.. also bitte zurück zum Thema.
 
Von welchen Opensource Projekten wird hier gesprochen? Geht es etwas konkreter?

z.b. Gnome beim wechsel von version 2 auf 3

ansonsten ...sorry abr mal als beispieil
es gab von astaro mal eine appliance asg 525 ( oder sophos utm )
vergleicht man die nun mit dem aktuellen model 450

so ist die ipsec perfomance , schon anhand des datenblatt , nur unwesentlich langsamer als
bei der 450 mit aes-ni.

was ich damit sagen will , es gibt genug hardware die genauso perform en ,was ipsec betrifft,
wie eine lösung mit aes-ni und auch im einsatz sind .
das man nun diese systeme nicht mehr mit der community edition nutzen kann um sie als z.b.
vpn gateway zu betreiben ist , in meinen augen , dumm.



holger
 
Ok, mein pfSense habe ich durch opnSense ersetzt.
Soweit wirkt es gut bis besser, wenn man erstmal die fehlenden Pakete (dyndns, ggf. pppoe usw.) nachinstalliert hat.

Problematich ist aber das Traffic Shaping, denn hier fehlt ein Wizard wie bei pfSense.
Man muss das selbst ziemlich aufwändig dann umsetzen mit etwas statischen Pipes oder Priorisierung per Veraeltnis.

Hat hier wer eine bessere Dokumentation zu dem Traffic Shaping oder wenn das einfach FreeBSD ein-zu-eins ist, dafuer vieleicht einen Regelgenerator oder bessere Doku?
 
In welcher Form ist Intel mit im Boot wenn es um die Treiberentwicklung z. B. für die Atom C3000 Serie geht. Boards von Supermicro (mit C3338) sind nämlich jetzt lieferbar. Wann kommen die Treiber für FreeBSD? Sind sie schon da?
Intel entwickelt die NIC-Treiber, Storage und engagiert sich im NVMe-Stack. Wenn die C3000-Plattform keine brandneuen NICs hat, sollte das eigentlich einfach funktionieren. Betonung auf sollte. :)
 
Zurück
Oben