Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: pfSense 2.3.4

Door , 27 reacties, submitter: jpgview, bron: pfSense

pfSense logo (75 pix)Versie 2.3.4 van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewalltaken. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. De releasenotes voor deze uitgave zien er als volgt uit:

pfSense 2.3.4-RELEASE Now Available!

We are happy to announce the release of pfSense software version 2.3.4!

This is a maintenance release in the 2.3.x series, bringing stability and bug fixes, fixes for a few security issues, and a handful of new features. The full list of changes is on the 2.3.4 New Features and Changes page, including a list of FreeBSD and internal security advisories addressed by this release.

This release includes fixes for 24 bugs and 11 Features.

Read here for more details.

Versienummer 2.3.4
Releasestatus Final
Besturingssystemen BSD
Website pfSense
Download https://www.pfsense.org/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Reacties (27)

Wijzig sortering
Heb hier pfSense binnen ESXi 6 op een APU2c4 draaien.. werkt als een trein. En die APU valt nog wel mee qua prijs (https://www.ip-sa.com.pl/engines-apu2c4-p-2173.html). Nog wel even een case en mSata SSD erbij bestellen en gaan.. 8-)
top oplossing, heb dit zelf ook draaien ;-)

apu2c4 + 250GB msata. Hierop ESXI 6.5 met pfsense, pihole, dms6.1, nextcloud.
Zit er zelf aan te denken om pfSense ook te gaan virtualiseren, draai het nu op een fysieke Dell Optiplex XE bak met een q6600 en 8gb aan RAM, beetje overkill voor pfSense.
dus jij draait dit thuis als firewall ?
Wat mag je verwachten als maximale WAN LAN snelheid.
Zit hier met 1gbps en wil natuurlijk wel volledige snelheid halen.
Moet nog een volledige test doen nu alles ingericht is maar ik haalde met de eerste test 400Mb/s.. ik ben ook aan het testen met Snort en dat be´nvloedt de performance wel aardig. 1gig ga je zeker niet halen..

[Reactie gewijzigd door Ernieball_d op 7 mei 2017 10:36]

OkÚ dan weet ik genoeg bedankt :)
Ligt er natuurlijk ool aan welke onderliggende hardware ervoot gebruikt :Y)
Op de website van pfSense hebben ze een stukje over de hardware requirements/recommendations staan. Je moet even iets naar beneden scrollen want uiteraard beginnen ze met hun eigen hardware appliances (voor wie het wil weten, ja ze gebruiken de Atom C2000 CPU maar daar hebben ze een firmware update voor zodat je geen last hebt van de bug in die CPU's).

Voor meer dan 500Mbps raden ze een multicore 2GHz CPU aan. Verder zijn er een aantal features die ook een behoorlijke invloed op de snelheid zullen hebben en ook die staan daar genoemd.
en vergeet de 23% VAT/BTW niet... :/
Dit lijkt me een mooie low-cost oplossing icm pfSense:
https://nl.aliexpress.com...indows10/32779903683.html

Met een Celeron J1900, nadeel is geen hardwarematige EAS onderssteuning voor bijv. VPN. Dat heeft een Atom dan weer wel.
Ook iets om mee te nemen, vanaf pfSense 2.5 is een CPU met AES-NI (geen EAS ;)) support verplicht. pfSense 2.4 lijkt bijna klaar te zijn, dus heel erg lang (als in meerdere jaren) zal het waarschijnlijk niet duren tot 2.5 uitgebracht wordt.

Aankondiging AES verplichting: https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html
Verdere toelichting: https://www.netgate.com/blog/more-on-aes-ni.html

Zoals te lezen is heeft de keuze om AES-NI verplicht te stellen niks met VPN te maken. pfSense 2.5 gaat waarschijnlijk een nieuw management model (backend/webGUI) gebruiken. Hardware zonder AES ondersteuning zou vatbaar zijn voor Cache-timing Attacks op communicatie tussen de nieuwe back-end/webGUI.

En de reden waarom ze niet beide opties mogelijk laten:
The entire PHP layer is being eliminated in the “3.0” effort, and we’re simply too small to continue to maintain both the current, organically-grown PHP layer (100K lines of PHP in 200 files) and the new, pure JS GUI (client) architected as a single page web application.

So there is an excellent chance that pfSense 2.5 will use the new webGUI, talking to our RESTCONF back-end.
Edit:
Maaaar, er is best veel geluid vanuit de community dat dit helemaal niet nodig is. We zullen zien of Netgate de AES verplichting door drukt of niet :) https://forum.pfsense.org/index.php?topic=129842.75

[Reactie gewijzigd door job_h op 6 mei 2017 13:34]

Da's lekker. Ben net een Qotom met J1900 celeron aan het inrichten. Geen AES-NI ondersteuning.
Dat was ik initieel ook van plan, prima apparaatjes. Deze aankondiging is pas een week geleden gedaan en sindsdien is gebleken dat de community het nut voor de verplichting niet helemaal ziet. Al helemaal wanneer de webGUI en backend allebei op hetzelfde apparaat draait lijkt het weinig toe te voegen. We zullen zien.
Denk dat er ook heel wat non AES-NI machines al op pfSense draaien en die hardware wordt echt niet allemaal vervangen. Anders blijf ik wel hangen op 2.4
pfSense 2.4 sluit ook al veel hardware buiten, het is 64bit only, die versie komt waarschijnlijk binnen een paar maanden uit. En vanaf 2.5 dus waarschijnlijk AES-NI only.

Volgens mij had ik ergens gelezen dat de oude versie nog ongeveer een jaar ondersteund wordt (lees security updates en kleine bugfixes) wanneer de nieuwe versie uitkomt, dus over ruim een jaar is het tijd om versie 2.3 vaarwel te zeggen. En als we een ongefundeerde voorspelling maken dat 2.5 over een jaar uit komt is het over 2 jaar tijd om 2.4 vaarwel te zeggen. Als je niet over wilt stappen qua hardware, dan is er vast nog wel andere software die op je hardware kan draaien :)

Edit:
Maaaaar on the bright side, 2.4 ondersteund wel ARM :)

[Reactie gewijzigd door job_h op 7 mei 2017 13:36]

Dat klinkt erg goed. Wist ik nog niet. Wil een future proof pfSense systeem bouwen en dan zijn dit soort zaken wel belangrijk. Zit zelf met smart te wachten op de Denverton soc's van Intel. Zuinig, snel, standaard 10GbE en heeft zoiezo AES-NI :Y)
Een Odroid C2 heeft ook AES-NI ondersteuning, dus veel hoeft het niet te kosten. Wel is er dan een forse inperking in het aantal ondersteunde devices
http://s.aliexpress.com/yY3YVJRf

Deze is dan een stuk beter.
I5 met 4 Intel LAN poorten.
Wel iets duurder maar schijnt de moeite waard te zijn!

Zelf gebruik ik (nog) een APU1D4 naar volle tevredenheid. Upgrade naar 2.3.4 ging weer vlekkeloos.
Leuk ding, maar bijna 200 euro, ruim boven de 25? euro belasting vrij. Hoeveel extra import kosten mag je dan gaan betalen aan de postbode?

Is dit niet via Europa te krijgen? Scheelt weer import kosten.
Je zal idd ook import kosten moeten betalen.
Geen idee of ie in de EU te krijgen is, het was maar een voorbeeld. ;)

Zelf nog steeds gebruiker van de APU1D4 en deze is wat mij betreft nog steeds afdoende voor mijn gebruik.

Op het pfSense forum zijn een aantal mensen die de Qotom i5 hebben aangeschaft en erg tevreden zijn: https://forum.pfsense.org/index.php?topic=114202.225
importkosten is makkelijk te berekenen. complete prijs dus inclusief verzendkosten de btw bij rekenen a 21% + 17,50 administratiekosten en kom je heel dicht in de buurt.

[Reactie gewijzigd door Hakker op 6 mei 2017 17:07]

Dan liever de Nederlandse fork OPNsense: https://opnsense.org/

Dezelfde features plus extra security hardening en meer.

Als je bekend bent met pfsense kan je met OPNsense ook zo aan slag :)
Ik ben niet geheel overtuigd of het een vooruitgang is / verbetering om mijn Pfsense te migreren naar de OPNSense.

Ik heb naar een paar testen gekeken, de snelheid blijft hetzelfde, custom packages zijn (nog) niet aanwezig in OPNSense, in 2015 waren ze dat aan het plannen, LACP wordt niet ondersteunt, PPTP weer wel (maar waarom?).

Dus wat zou de reden zijn om liever OPNSense te draaien tegenover PFSense? Wat bedoel je met extra security hardening en meer?
HardenedBSD toevoegingen, extra bescherming tegen exploits.
Snellere security updates.
Meer transparantie. Sinds dat Netgate pfsense in handen heeft verdwijnt er regelmatig zonder waarschuwing code van github. Eng bedrijf dat Netgate, Amerikaans ook nog. Het hoe en waarom wat ze willen met pfSense is nog steeds onduidelijk.

PPTP zit standaard in OPNSense als client voor de WAN interface, niet als server. IPsec en OpenVPN zijn zowel als client als server op te zetten.
FreeBSD pkg tools zijn gewoon aanwezig op de commandline.

Het is wel fijn als je het nodig hebt dat je snel en makkelijk extra packages kan toevoegen via pfsense, maar ja dan vraag ik mij af of mensen wel weten waarvoor een firewall/router dient. Sommige mensen installeren zelfs torrent/news leechers op een firewall :)
Maar snellere security updates, in welke vorm? Een goeie Cisco of Juniper heeft ook niet wekelijks een update voor de base install.

De transparantie kan ik begrijpen, dat is per gebruiker anders, Netgate lijkt erg de commerciele kant op te gaan, wat niet erg is, zolang ze de community editie maar blijven aanbieden. Dat er dan zaken verdwijnen omdat er non public code wordt gemaakt door hun is dan begrijpelijk.

Ik gebruik bijvoorbeeld, met verstande dat dit in een thuis situatie is, PFBlockerNG + Snort, zo bescherm ik mijn interne netwerk voor veel zaken, ik kan niet zo 1 2 3 vinden of OPNSense deze services biedt, (een afgeleide van SNORT wel, maar voor Snort zijn er zoveel templates en sources te vinden, dat het juist vervelend is als dat weer gezocht moet worden)

Country blocking staat ook aan (een rus heeft niets te zoeken op mijn subnet) ik kon ook niet zo snel zien of dit door OPNSense wordt ondersteund, maar de eerste zoekopdrachten kom ik juist op PfSense uit.

Als ik dit soort zaken zou opdelen, in deze thuis situatie, heb ik veel meer resources nodig.

Gelukkig is ieder vrij te kiezen :) Ik bedoel het ook niet slecht, maar OPNsense sluit (voor alsnog) niet aan op mijn behoefden :)
Dan vertel je niet het volledige verhaal. De fork van OPNSense is nou niet bepaald iets wat correct is gegaan en welke zich vooral kenmerkt door heel wat controverse. Deciso (het bedrijf wat de pfSense geforkt heeft en er OPNSense van heeft gemaakt) roept wel dat ze het voor de gebruikers hebben gedaan maar daar lijkt het niet op. Het ziet er vooral uit dat Deciso dit gedaan heeft om Netgate te beconcurreren. Ze hebben zich nou ook niet bepaald van pfSense losgeweekt, ze baseren hun code nog steeds op die van pfSense. Wat Deciso nou precies wil met OPNSense is dan ook volkomen onduidelijk. Ze roepen veel maar doen weinig.

Verder zijn de snelle security updates, extra toevoegingen, etc. voor beide systemen van toepassing. Dat komt omdat pfSense gebaseerd is op m0n0wall en zowel pfSense als OPNSense druk bezig zijn om er een geheel eigen project van te maken dat draait op een standaard FreeBSD installatie (en dus ook makkelijk te installeren is wanneer je en standaard FreeBSD installatie hebt). Vandaar ook dat ze nu alle php zaken uit pfSense aan het halen zijn, dat er nu een totaal andere GUI is en ga zo maar door. Omdat OPNSense zich echter nog altijd baseert op de pfSense code zullen zij daarin ook mee moeten. Als je tussen de regels door kijkt zie je dat men de boel aan het ombouwen is naar hoe men vandaag de dag software opbouwt (denk bijv. aan microservices, REST, etc.). Beiden zijn dus bezig om de outdated werkwijze van de m0n0wall basis te moderniseren.

Als je er als gebruiker naar kijkt zul je zien dat de verschillen tussen de systemen nihil zijn en ze exact hetzelfde nastreven wat je dan ook ziet in vrijwel dezelfde features, patches, updates, etc. Er zijn echter wel een aantal mensen die de ander hebben uitgeprobeerd en bij pfSense zijn gebleven of er naar zijn teruggekeerd omdat ze het stabieler vonden. Het lijkt er dan ook op dit ze op hetzelfde niveau zitten en het niet meer dan een kwestie van persoonlijke voorkeur is. De hardware appliances van OPNSense zijn wel goedkoper maar als ik de specs bekijk ook wat minder krachtig; wellicht handig voor wie een beperkt budget heeft.

Btw, dat toevoegen van packages is niet zo raar, dat komt door de modulaire opbouw. Als je kijkt naar hedendaagse firewalls dan zul je zien dat ze meer doen dan alleen firewalling. Naast security zaken als firewalling, intrusion detection, spam filtering en dat soort zaken zijn dit ook gewoon network access apparaten die centrale zaken als dhcp, dns en ntp voor je netwerk regelen. Bij de meeste commerciele firewalls vereisen veel van die zaken een aparte licentie waar je jaarlijks voor betaald, bij pfSense/OPNSense zijn het de standaard packages van FreeBSD zonder licentiekosten. Je betaald hier juist voor de support en de cursussen.

[Reactie gewijzigd door ppl op 7 mei 2017 17:30]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*