×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: pfSense 2.3.3-1

Door , 41 reacties, submitter: vlamke, bron: pfSense

12-03-2017 • 15:53

41 Linkedin Google+

Submitter: vlamke

Bron: pfSense

pfSense logo (75 pix)Er is een update voor versie 2.3.3 van pfSense uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewalltaken. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. in versie 2.3.3 patch level 1 zijn de volgende problemen verholpen:

Bug Fixes
  • Fixed issues with the upgrade check seeing the version of pfSense-upgrade instead of pfSense in some circumstances. #7343
  • Fixed handling of domain-only (@ record) updates for CloudFlare Dynamic DNS #7357
  • Fixed a problem with the Dynamic DNS Widget where RFC2136 entries showed an incorrect status #7290
  • Fixed Dynamic DNS status widget formatting for medium with browser window #7301
  • Fixed a problem with HTML tags showing in certificate description drop-down lists in the Certificate Manager #7296
  • Fixed an error loading some older rules with ICMP types #7299
  • Fixed display of selected ICMP types for old rules without an ipprotocol option set #7300
  • Fixed Log widget filter interface selection with custom interface descriptions #7306
  • Fixed the widget Filter All button so it does not affect all widgets #7317
  • Fixed the password reset script so it resets the expiration date for the admin account when run, to avoid the user still being locked out #7354
  • Fixed the password reset script so it properly handles the case when the admin account has been removed from config.xml #7354
  • Fixed input validation of TCP State Timeout on firewall rules so it is not arbitrarily limited to a maximum of 3600 seconds #7356
  • Fixed console settings for XG-1540/XG-1541 to use the correct default console #7358
  • Fixed initial setup handling of VLAN interfaces when they were assigned at the console before running the Setup Wizard #7364
  • Fixed display of OpenSSL and input errors when working in the Certificate Manager #7370
  • Fixed Captive Portal "disconnect all" button
  • Fixed pkg handling timeouts #6594
  • Updated blog URL in the RSS widget
  • Removed whirlpool from the list of CA/certificate digest algorithms since it does not work #7370

Versienummer 2.3.3-1
Releasestatus Final
Besturingssystemen BSD
Website pfSense
Download https://blog.pfsense.org/?cat=53
Licentietype Voorwaarden (GNU/BSD/etc.)

Update-historie

Reacties (41)

Wijzig sortering
Heb een paar installaties draaien , en ik vind het prima werken. Ze draaien als vm met daarachter een aantal vm's NAT. Ook gebruik ik ze voor ipsec vpn verbindingen. Werkt allemaal prima. Hoe het verhoud tot een cisco bak weet ik niet. Maar bij cisco betaal je voor hard en software en evt support. Bij pfsense alleen de hardware(misschien ook support?), dus je zal meer "bang for buck" krijgen.
pfSense zelf is gratis, op bepaalde "gold member" functionaleit na.
De Gold membership biedt volgende voordelen:

Access to the pfSenseŽ Virtual Security Gateway Appliance for VMwareŽ
A living digital copy of The pfSense Book (700+ pages) in HTML, PDF and other formats, available for immediate viewing after purchasing. (kan ook zonder Gold gekocht worden)
Monthly online Hangouts! A video conference hosted by a rotating selection of core developers with occasional special guests. A list and preview of past videos can be found on our videos page.
Access to our AutoConfigBackup secure online backup service for up to 10 hosts. Additional ACB host extensions can be purchased for up to 25, 50, 75, 100, 150, and 200 hosts.
https://www.pfsense.org/our-services/gold-membership.html

Daarnaast kan je support kopen, per jaar met X aantal incidenten.
https://www.netgate.com/support/

Maar voor een Tweaker thuis zijn de forums en google vaak al wel genoeg.
Hmm heeft de "Access to the pfSenseŽ Virtual Security Gateway Appliance for VMwareŽ" meerwaarde boven een gewone VM in een ESX farm?

[Reactie gewijzigd door JapyDooge op 12 maart 2017 22:27]

De appliance zelf heb ik niet, wel meerdere ESXi VMs met pfSense.
Mocht een screenshot van de VM config voldoende zijn kan ik je daar wel mee helpen ^^
Oh ik vergat een woord. Ik was vooral benieuwd of het meerwaarde heeft tegenover gewoon zelf 'n VM installeren. Die heb ik er namelijk al meerdere ;)
Hiermee garandeert VMware dat het werkt met ESXi en je kan het makkelijk installeren, maar heeft verder geen meerwaarde :)
Ah tof, thanks ;)
Bedoelde Pfense IPV vmware :'( 8)7
Ja dat begreep ik ;-)

Toch bedankt <3
Afhankelijk van de hardware kan je zien of de hardware goed of slecht is. Dus als jij een matige Intel Celeron met 512mb hebt draaien dan draait pfSense ook meteen slecht? Of hoe moet ik dit zien. Wil namelijk ook een security opzetten maar wil graag een machine wat niet super groot is maar wel goed voor verwerken van alles is.
Draaide het zelf op een vrij oude Thin-Client met een VIA C7 1.5ghz CPU en 1gb aan werkgeheugen, draaide als een trein! Ben nu geupgrade naar een Dell Optiplex XE vanwege de rekenkracht en opslagmogelijkheden die nodig zijn om Squid en SquidGuard te gebruiken.
Ik heb het geinstalleerd op een APU2C4 bordje. AMD GX-412TC, CPU met 4 GB RAM. Een m-Sata SSD er bij en je bent klaar.
Met pfSense op dit bordje haal ik nog steeds de 150Mbit/s download die in van mijn provider krijg.
Iemand ervaring?

Hoe verhoudt dit zich tot
Bv. Een Cisco oplossing of een andere professionele netwerk hardware? Zijn dit soord oplossing een volwaardig alternatief?
Wij hebben juist onze hoofd firewall vervangen voor een pfsense, zodat we een carp (automatische failover) kunnen instellen. Regels, Accounts etc worden gesyncd naar het tweede ha device. Je kunt zelfs live wisselen zodat je onderhoud kunt doen.
Tenzij je services zoals haproxy gebruikt. Die syncen geen states naar de andere node.
Layer 7 is sowieso stateless ;) Dus dat geldt dan alleen nog voor Layer 4...
Hardware van bijvoorbeeld Cisco, Juniper of Fortigate doet forwarding en firewalling in hardware waardoor de prestaties een stuk hoger liggen dan van PfSense. Dat is ook de reden dat dat soort bakken met een simpel MIPS cpu'tje prima 10Gb/s kunnen forwarden terwijl dat bij pfSense niet vanzelfsprekend is.
Mwoah, we hebben net een Cisco 4351 gekocht voor 3300 ex btw, die heeft een software licentie die de snelheid beperkt tot ~exact 200Mbps. Een performance licentie van circa 1500 euro geeft je dan nog eens 200Mbps.

We hadden perse Cisco nodig voor onze BGP verbindingen (HSRP), maar zonder een extra RAM upgrade naar 8GB kan je met de 4351 niet eens 1 Full table ontvangen zonder dat het ding over zijn nek gaat. Want, Cisco heeft in zijn wijsheid besloten om met IOS-XE het geheugen van de router in 2 te doen.

Onze pfSense firewalls draaien op een Dell R320, deze pushen zonder om te kijken > 600mbit voor ~1200 euro.
Je zou voor de grap eens in de Cisco shop moeten kijken, dan kom je uit bij de ASR series waar je een mooie auto voor kan kopen. :8
De prijsstelling van Cisco en consorten is inderdaad niet mals, maar zo'n ASR forward wel 2,5Gbit op wire-speed. Hoeveel latency voegt die pfSense router toe?
Niet noemenswaardig veel is mijn ervaring, minder dan ons glas (100mbit) naar Amsterdam in ieder geval (2ms). Sterker nog, het gaat door 2 sets firewalls hier (intern en extern), en dat is nog altijd een factor 2 minder (~1ms) dan onze verbinding naar Amsterdam.

Vanaf daar naar het internet is het toch al een crapshoot, als is onze Colo host bij Xs4all op ~2.5ms lang niet beroerd.

Beetje rare verwoording, wirespeed impliceert lijn-snelheid, maar 2.5Gbit touwtjes bestaat niet. Dus 2Gbit wirespeed lijkt me praktischer, want een halve is geen wirespeed.
Wij gebruiken OPNsense (een fork van pfSense) al geruime tijd als primaire routers. Het is zo stabiel als een rots, heeft erg goede performance en is uitbreidbaar met verschillende functionaliteit (IDS, VPN e.d.). Thuis gebruik ik het tegenwoordig ook op een oud mobo wat ik nog had liggen, en ook daar eigenlijk alleen maar tevreden mee.
Wij gebruiken pfSense, want OPNsense loopt een beetje achter en heeft niet bepaald een goede zet gemaakt tijdens de fork. Hoe dan ook, door de FreeBSD basis werkt het inderdaad prima.
Kun je aangeven waar je op doelt met het "geen goede zet"? Zelf ben ik niet lang geleden van pfSense naar opnSense gegaan, en heb juist het gevoel dat ze daar wat sneller zijn, en ben nog niks tegen gekomen waar ik problemen mee heb, terwijl ik dat bij pfSense nog weleens had
Ik vind dat Pfsense een volwaardig alternatief is, je kunt er echt alles mee en het wordt ook redelijk veel in zakelijke omgevingen gebruikt.

Zelf maar ik meer gebruik van bv. Fortigate en tegenwoordig ook UniFi, maar alles wat je daar mee kunt kan eigenlijk ook met Pfsense. :)
Het valt me op dat deze update heel snel volgt op de release van 2.3.3. De release zelf heeft eigenlijk behoorlijk op zich laten wachten voordat ie uitkwam, maar nu een paar weken later al weer een patch-update. Op een of ander manier lukt het mij niet meer (vanaf versie 2.3) om updates te installeren vanuit de gui. Het update proces vernaggelt mijn bootloader. Daardoor moet steeds de volle installatie opnieuw doen en een backup terugzetten, dan werkt het overigens weer uitstekend...maar handig is anders.
Welke packages gebruik je ?
Ik heb de volgende packages geinstalleerd : Cron, Freeradius, iperf, Lightsquid, openvpn-client-export, snort, squid, squidGuard, sudo, syslog-ng en suricata. Daarvan gebruik ik snort en lightsquid niet.
Leuk stukje hardware om als basis te dienen:
https://www.amazon.de/gp/aw/d/B01N1UA3N0
hardware advies gevraagd:
zit al een tijd te twijfelen tussen Q190G4 (quad core) en Q310G4 (dual core). Iemand ervaring met het verschil?
Ook nog een keuze die ik moet/kan maken op deze pagina e.g. pfsense, opnsense of ipfire. Iemand ervaring?
De Q310 zal in de meeste situaties sneller zijn dan de Q190 door de bijna dubbele single core performance, maar de J1900 is al ruim voldoende voor een router. Zie hier een review van de Q190: https://arstechnica.com/g...ests-tougher-competition/. Ik zou voor de Q190 gaan ivm stroomverbruik en een fijner formaat behuizing. Verder gaat bijvoorbeeld pfSense steeds meer multithreaden, dus zal de single thread performance van de Q310 minder een voordeel zijn.

pfSense heeft mijn voorkeur, sinds versie 2.3 is de GUI opgefrist en het heeft een grote community. Met de rest heb ik geen ervaring. OPNsense is een fork van pfSense, dus zal ook prima werken. Er is helaas nogal wat minder vriendelijke woorden heen en weer gegooid tussen de twee projecten. IPFire weet ik weinig van.
Werkt prima, is qua functionaliteit prima te vergelijken met andere (commerciele) oplossingen. Verschil zit hem voornamelijk in het kostenplaatje, support contracts, garanties enz. Bij pfSense heb je het voordeel dat je geen kunstmatige beperkingen of hardware limieten hebt alles altijd op alle hardware kan doen, maar als nadeel krijg je ook geen garantie dat het wel ding XYZ doet met je eigen setup. Je kan het namelijk ook gewoon totaal verkeerd configureren en inzetten en dan werkt het natuurlijk niet. Als je een random Cisco, Juniper of HP doosje koopt werkt het natuurlijk zolang het niet defect is altijd op dezelfde manier voor dezelfde kosten gedurende de ondersteunde levensduur, zonder dat je daar zelf wat aan kan doen. pfSense is ook met support op supported en gegarandeerde hardware te krijgen, dat is misschien een betere vergelijking. Je krijgt de software van Cisco of Juniper ook niet zomaar los van de hardware om te installeren waar je maar wil ;-)

[Reactie gewijzigd door johnkeates op 12 maart 2017 17:49]

Leuke basic firewall, maar niet gebruiksvriendelijk. Maar dat poortblokkeren is uberhaupt vrij zinloos gezien de manier waarop malware etc al lange tijd naar buiten toe communiceren en er niets is wat deze fw ertegen kan doen. Leuke plugins. Goede rapportering ontbreekt al. Met wat plugins is er een basic html paginaatje uit te draaien. Geen zoekfunctie. Maar goed, een gegeven paard etc ;)
niet zeker wat je bedoelt met rapportering, maar geen enkele cisco/juniper heeft een "deftige" rapportering, het is zaak van deze door te sturen naar een syslog server ofzo om er data uit te trekken.

Wat deze pfsense perfect kan doen. (er zit zelfs al een lokale deamon op maar die is niet goed genoeg voor mij :p)

Verder is dit verre van een basic firewall, heeft alle geavanceerde features zoals een cisco/juniper. Zelfs in mijn ogen te veel features om overzichtelijk te houden. Wat volgens mij pfsense's grootste probleem is. Hun gui is echt om van te huilen qua overzichten. Volgens wat ik lees was het vroeger nog erger maar toch...

Poortblokkering is maar 1 onderdeel, met een IDS zoals snort en pfblocker zit je eigenlijk snor qua alles ivm moderne security.
Dat is ook mijn idee, PFsense is een prima software pakket die alles kan. Je moet er zelf wel tijd in steken om het te leren gebruiken. Maar daar zijn we 'tweakers' 'sysadmins' voor toch? Het is niet enkel op de knoppen 'install> yes, yes, yes, no, yes> done' te drukken. Je moet er even de tijd voor nemen maar dan heb je hier echt een goede firewall/router mee. Ben het in verschillende omgevingen tegen gekomen en ze verkopen ook hardware als je dat wilt.

Hun GUI zou inderdaad nog wat beter kunnen.
er zijn genoeg pakketten beschikbaar die alles monitoren in bv splunk (inclusief de hierboven vermelden vpn connectie locaties en tijden ;-))

Ik denk dat de enige mensen die pfsense gebruiken kleine/grote tweakers zijn en bijgevolg ook wel een monitoring programma hebben draaien. (doe ik allesinds) kwestie van alles een beetje in het oog te houden en eventuele gaten toch op te proberen merken :p
Watchguard heeft in tegenstelling tot Cisco/'Juniper wel hele fantastische rapportering en monitoring (Dimension). En in tegenstelling tot bij concurrenten (Sonicwall, Sophos) ook nog eens zonder extra licentiekosten.
WG zijn idd goeie producenten. Werk er ondertussen alweer 7 jaar mee (ook de nodige papiertjes :)). Ze worden telkens beter :)
Het biedt goede rapportering maar fantastisch zou ik het zeker niet willen noemen. Probeer maar eens een rapport op te maken met VPN gebruikers, hun contactduur en contact tijden. Er is ook geen mogelijkheid om verschillende eigen queries om te zetten naar rapportages. Sophos daarentegen laat mij de verzamelde informatie ten minste nog exporteren naar CSV (onder andere) zodat ik mijn eigen ding ermee kan doen...

Het is meer dan veel huis, tuin en keuken firewall leveranciers leveren maar zeker niet voldoende naar mijn mening.
Zit een nette export-functie in Dimension.
Log Manager > Actions > Export log
Vrijwel alles is te exporteren naar CSV of PDF.
eerlijk gezegd nog nooit van watchguard gehoord.

Heb altijd bij firma's cisco's en juniper's geweten. Goed om weten dat er toch nog andere alternatieven zijn.
Moet maar eens een proof of concept laten leveren en evalueren
Laat iemand je dan gelijk even op weg helpen. Net als bij de meeste van dit soort zaken kan het lastig zijn als je er helemaal blanco instapt. Wel erg fijne beheertools beschikbaar en ook visueel veel overzichtelijke dan Cisco en Juniper.

Waar ik bij een Juniper toch altijd 15-30 minuten nodig heb voor wat simpele policies doe ik dat bij Watchguard eerder 1-2 minuten.

Je kan me altijd contacten als er interesse is in Watchguard.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*