Software-update: pfSense 2.4.0

pfSense logo (75 pix)Versie 2.4.0 van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewalltaken. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. De hoogtepunten voor deze uitgave zien er als volgt uit:

Highlights
Version 2.4.0 includes a long list of significant changes in pfSense software and in the underlying operating system and dependencies. Changes for pfSense 2.4.0 include:
  • FreeBSD 11.1-RELEASE as the base Operating System
  • New pfSense installer based on bsdinstall, with support for ZFS, UEFI, and multiple types of partition layouts (e.g. GPT, BIOS)
  • Support for Netgate ARM devices such as the SG-1000
  • OpenVPN 2.4.x support, which brings features like AES-GCM ciphers, speed improvements, Negotiable Crypto Parameters (NCP), TLS encryption, and dual stack/multihome
  • Translation of the GUI into 13 different languages! For more information on contributing to the translation effort, read our previous blog post and visit the project on Zanata
  • WebGUI improvements, such as a new login page, improved GET/POST CSRF handling, significant improvements to the Dashboard and its AJAX handling
  • Certificate Management improvements including CSR signing and international character support
  • Captive Portal has been rewritten to work without multiple instances of ipfw
Additional benefits of FreeBSD 11.0 and 11.1 include:
  • Security enhancements such as address space guards to address Stack Clash
  • New and updated drivers for a variety of hardware
  • Updated 802.11 wireless stack
  • Updated IPsec kernel implementation
  • Support for Microsoft® Hyper-V™ Generation 2 virtual machines, and other Hyper-V support improvements
  • Elastic Networking Adapter (ENA) support using the ena(4) FreeBSD driver for “next generation” enhanced networking on the Amazon® EC2™ platform
For more details, see the Release Notes and the previous Release Highlights post.

pfSense 2.3.3 screenshot (810 pix)

Versienummer 2.4.0
Releasestatus Final
Besturingssystemen BSD
Website pfSense
Download https://www.pfsense.org/download/
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 13-10-2017 09:53
83 • submitter: stefan14

13-10-2017 • 09:53

83

Submitter: stefan14

Bron: pfSense

Update-historie

06-04 pfSense CE 2.8 bèta 16
12-'23 pfSense CE 2.7.2 4
11-'23 pfSense CE 2.7.1 3
06-'23 pfSense CE 2.7.0 15
02-'22 pfSense 2.6.0 10
07-'21 pfSense 2.5.2 17
04-'21 pfSense 2.5.1 14
02-'21 pfSense 2.5.0 55
06-'20 pfSense 2.4.5-p1 17
03-'20 pfSense 2.4.5 8
Meer historie

Lees meer

pfSense Community Edition

geen prijs bekend

4 van 5 sterren
Overige software

Reacties (83)

-Moderatie-faq
83
82
71
1
0
7
Wijzig sortering
stefan14 13 oktober 2017 10:02
Ik zie nogal wat problemen na de upgrade naar 2.4.0, dus ik wacht nog ff met upgraden.

https://forum.pfsense.org/index.php?board=4.0
Raven @stefan1413 oktober 2017 10:33
Had ik dat maar eerder gelezen... "System update failed!", maar geen info waarom of op welk punt tijdens het updateproces de boel op zijn gat gaat...

edit: 2e poging lijkt zonder problemen goed gegaan te zijn.

[Reactie gewijzigd door Raven op 24 juli 2024 22:38]

EverLast2002 @Raven13 oktober 2017 10:54
Zelfde error hier, maar na opnieuw inloggen in de webgui is de update toch correct uitgevoerd (enkele gestopte services wel handmatig moeten opstarten).
Na een herstart geen problemen ondervonden, versie 2.4 draait prima.
Raven @EverLast200213 oktober 2017 10:57
Hier was er geen indicatie (ook niet in VMware Workstation) dat het updateproces nog liep na die error, een 2e keer klikken gaf geen error en inmiddels kijk ik naar 2.4.0 :)
WRT54G @stefan1413 oktober 2017 10:42
Ik heb inmiddels 2 machines voorzien van v2.4.0 en draaien beide zonder problemen.

Mijn eigen systeem thuis (APU1D4) en een bij een klant (SG-4860).
Het systeem bij de klant gaf direct een foutmelding "cannot update, update failed".
Na 10 minuten nog eens geprobeerd en ging toen prima.
Waarschijnlijk hadden de update servers het iets te druk...

Wel duurde het booten na de update erg lang.

[Reactie gewijzigd door WRT54G op 24 juli 2024 22:38]

MaxTheKing @stefan1413 oktober 2017 11:35
Zou ook ff wachten als ik jou was, mijn hele gastnetwerk werkt niet meer na het upgraden. Gelukkig had ik een snapshot van de VM gemaakt voor het upgraden.

[Reactie gewijzigd door MaxTheKing op 24 juli 2024 22:38]

webside007 13 oktober 2017 10:14
is Pfsense aan te raden als firewall en router voor een thuis en/of klein bedrijf?
Zo ja, op welke hardware? (enkel bekabeld; ik heb switchen en AP's voor LAN en wifi).
Maar doorvoersnelheid WAN -> LAN en omgekeerd moet ook ok zijn.
Ik heb nu 100Mb down, maar kan 200 of zelfs 400Mb worden binnenkort.

En als met DPI aanzet voor https, hoe zit het dan met de doorvoersnelheid?
Ernieball_d @webside00713 oktober 2017 10:31
Ik gebruik pfsense met PcEngine APU.2C4 (https://www.ip-sa.com.pl/engines-apu2c4-p-2173.html) werkt goed en is ook nog betaalbaar..
Ik heb alleen ESXi hierop geïnstalleerd en pfsense in een vm. Heb je ook nog wat resources over om een paar kleine Linux vm's er bij te draaien.
Zeer geschikt voor thuis en mkb (mits je een beetje technische kennis hebt..)

[Reactie gewijzigd door Ernieball_d op 24 juli 2024 22:38]

EverLast2002 @Ernieball_d13 oktober 2017 11:01
Ik heb eenzelfde apu2c4. Met pfSense 234 liep dit voor geen meter (is contact over geweest met de leverancier). Hoe jij dan EN esxi EN daarin pfSense draaiend hebt vind ik knap.
Mijn apu2c4 is met pfSense 234 niet werkbaar, dwz zodra je in de webgui een optie of een setting aanpast/vult, dan gaat er een minuut voorbij voordat de interface weer reageert.
De resource belasting (cpu en mem) komt niet eens over de helft, hij staat uit z'n neus te eten bij wijze van...
Ernieball_d @EverLast200213 oktober 2017 12:36
Daar heb ik echt totaal geen last van.
Ik draai ESXi 6.0 (bij 6.5 kreeg ik een PSOD ivm storage driver) op een msata ssd.
De GUI werkt snel en responsive. Ik draai een openvpn server en verder alleen wat basis zaken (geen ids/IPS).

Ik heb er nog twee kleine Linux bakjes naast draaien.
EverLast2002 @Ernieball_d13 oktober 2017 12:53
Wel grappig dat dit op de apu2c4 draait. Alleen qua werkbaar geheugen (of wat ervan overblijft) is het krap. 4GB memory zit erin...En dan is esxi nog niet meegerekend. Blijft weinig resources over voor VM's. Maar toch gaaf dat het werkt.
beun92 @EverLast200213 oktober 2017 13:15
Dan werkt die van jou totaal niet goed. Ik heb mijne in een van met 1 core, 1024mb ram 16gb opslag. Heb er 7 modules bij (o.a. openvpn met 5 clients constant, pfBlockerNG) en draaid tot nu toe als een zonnetje.
Z80 @webside00713 oktober 2017 10:25
Hangt er vanaf wat je gaat doen.
Enkel firewall draait op minimale hardware. Ga je de pfsense inzetten als vpn concentrator dan heb je wat betere hardware nodig.
Een fatsoenlijke x64 cpu, 4GB geheugen, 160GB hdd en minimaal 2 netwerkpoorten. En je kunt los.
GeroldM @Z8013 oktober 2017 16:56
Zelfde hiero. Heb hier zelf een PC in elkaar geschroefd (Asus mobo, AMD quadcore, 4GB DDR4 RAM, de meest simpele SATA3 HD seagate en 2 extra (PCI) netwerk kaartjes) voor 150 USD en dat ding werkt als een tierelier voor een netwerk van 15 actieve werkstationnen en een zooitje servers.

De enige reden dat ik deze in elkaar heb geschroefd is dat de 10 jaar oude dual core PC die ik hiervoor gebruikte, was overleden.

Een PC met nog veel minder resources is afdoende in een normaal NL gezin.

Noot:
- De fork OPNsense heeft dezelfde hardware benodigdheden als pfSense.
- Gebruik Intel netwerk kaarten. Hier in Paraguay worden deze niet verkocht en moet je ze zelf importeren. Andere netwerkkaarten werken op zich wel, maar met intel netwerkkaartjes werkt het toch wel soepeler. de Realteks die ik hier wel moet gebruiken, zijn niet altijd even stabiel (in zowel pfSense en OPNsense).
Z80 @GeroldM15 oktober 2017 11:48
Broadcom netwerkchips werken ook zonder problemen. Deze zitten oa in Dell apparatuur.
Rataplan_ @Z8016 oktober 2017 16:30
Betere CPU met wat hardware support voor encryptie: ja. Maar het meer aan geheugen vat ik niet helemaal? Waarvoor dient dat? Ik heb een HA setup met pfSense 2.3.nogwat, daarachter zitten een 500 gebruikers, en een stuk of 9 vpn's, de meeste site-to-site overigens. Maar hij heeft maar 1GB RAM en daarvan is de helft nog niet in gebruik volgens pfSense zelf althans.
Afgezien dat RAM niks kost natuurlijk, waarom zou 4GB zinvol zijn?
Z80 @Rataplan_17 oktober 2017 08:54
Snort en of suricata willen graag wat meer geheugen hebben.
Ook als je 2.4 met het ZFS filesysteem draait wil het systeem graag wat meer geheugen hebben.
Tetraquark @webside00713 oktober 2017 10:56
hierbij de requirements tbv bandbreedte
https://www.pfsense.org/products/#requirements

maar let ook op de hardware compatibility list.
Mocht je geen gezeik willen, koop dan gewoon een product van hun website dan weet je zeker dat je geen gezeik krijgt. (ook nog met een jaar lang gratis Gold membership)
Saeverix 13 oktober 2017 10:28
Het beviel mij altijd prima icm Ziggo (bridged modem), maar kan het helaas niet meer gebruiken in combinatie met KPN based VDSL. Met een eigen modem is de TV en Telefonie bijna niet aan de praat te krijgen. Ik heb dus met pijn in mijn hart afscheid moeten nemen van pfSense.
jurroen @Saeverix13 oktober 2017 13:23
Ik ben zelf niet bekend met de CPE van KPN, maar heeft de Experiabox geen bridge modus?
Saeverix @jurroen13 oktober 2017 13:32
Nee de v10 heeft dat niet. Ik kan een eigen modem gebruiken, maar dan moet ik alsnog de Experiabox in mijn LAN hangen voor de telefonie omdat KPN de telefoniegegevens niet vrij wil geven. Daarbij komt dat ik voor de TV een storingsgevoelige IGMP Proxy moet gaan opzetten in pfSense, die werkt namelijk op een apart netwerk. Ik heb daarom maar besloten om helaas mijn vertrouwde stabiele pfSense router uit te schakelen :(
jurroen @Saeverix14 oktober 2017 13:28
Lekkere vendor lock-in! Wellicht interessant voor de toekomst, je kunt het nummer ook porteren naar een VoIP provider, zodat je niet meer afhankelijk bent van het reilen en zeilen van je ISP. TV vind ik een wat lastigere, sowieso is het een gesloten platform. Bij oplossingen producten als KPN Play, Knippr, missen er zenders die je bij de meeste ISPs bij kunt krijgen, al dan niet tegen betaling.

Wel interessant om dit te weten, dat de V10 geen bridge meer support. Dankjewel!
Tetraquark @Saeverix13 oktober 2017 10:52
vaak zijn er dedicated LAN poorten voor TV op je modem.
daar moet je even rekening mee houden in je configuratie in pfsense.
boukej @Saeverix14 oktober 2017 23:28
Ik heb VDSL van NLE (dat is ook KPN + Experiabox). Ik had ook Ziggo (bridged, 5 IP adressen).

Ik heb mijn pfSense router achter de Experiabox in DMZ draaien. Dit werkt prima. OpenVPN heb ik ook getest. Ik verbind via dynamic DNS.

De TV ontvangers heb ik wel direct op de Experiabox aangesloten. Dit werkt prima.
De Wi-Fi functie van de Experiabox heb ik uit staan (ik heb een Ruckus Unleashed achter de pfSense hangen).

Voor mijn LAN gebruik ik Squid Proxy + SquidGuard (transparent mode). Hiermee houd ik trackers, ads en andere rommel tegen.

De reden waarom ik de pfSense router gebruik is omdat ik van buitenaf in mijn netwerk wil kunnen d.m.v. OpenVPN, ik de Squid Proxy / SquidGuard oplossing fijn vind en in verband met beveiliging (firewall).
Jorizzz @Saeverix13 oktober 2017 10:51
Never mind, ik las over vdsl heen, dacht aan glasvezel...

[Reactie gewijzigd door Jorizzz op 24 juli 2024 22:38]

Anoniem: 95344 13 oktober 2017 11:40
Wel jammer dat ze niet meer zo open zijn.
De publieke commits voor BSD zijn opgehouden sinds 24 juli. Bron: Github Verder een prima product. Heb hier thuis PFsense gehad maar ivm de openheid en een duidelijke release planning ben ik toch overgestapt naar OPNSense.
CurlyMo @Anoniem: 9534413 oktober 2017 11:46
De commits in de branch die je aanhaalt zijn cherry-picked. Oftewel selectief overgenomen vanuit een andere branch. Juist omdat dit cherry-picking uiteindelijk tot een nieuwe release leidt, stopt het op een gegeven moment, wanneer die release klaar is.

Als je de stable/11 branch pakt, dan zie je weer een bulk aan recente commits.

Mijn eigen master branch heeft als laatste commit datum 25 mei 2015, maar als je naar de andere branches kijkt dan zie je gewoon voortgang in de laatste paar dagen en daarvoor.
https://github.com/pilight/pilight

Het kan overigens zijn dat je gelijk hebt hoor, maar niet volgens je huidige onderbouwing :)
Anoniem: 95344 @CurlyMo13 oktober 2017 14:41
Volgens mij zijn dat upstream commits en niet de commits die ze zelf hebben gedaan. Ik had zelf problemen met een ipv6 tunnel en dat is opgelost in de meest recente versie maar de commits die ze daarvoor hebben moeten doen in de FreeBSD code zijn (nog) niet vrijgegeven, zie hiervoor: Bron
toro @Anoniem: 9534413 oktober 2017 16:09
Hey check je eigen link. Dit is allang al gefixed :)
Anoniem: 95344 @toro13 oktober 2017 19:21
Dat geef ik toch aan?
Het probleem is inderdaad opgelost zie de link maar de code daarvoor is niet vrijgegeven, dat is waar ik over val.
Dat is de reden dat ik liever OPNsense neem.
jurroen @Anoniem: 9534413 oktober 2017 13:25
Daarboven heeft OPNSense meer voordelen. HardenedBSD, 2FA, Suricata, fijne(re) webui, etc.
ppl @jurroen13 oktober 2017 18:17
Dan raad ik je ten zeerste aan om eens een recent changelog van pfSense te lezen. De webui die je aanhaalt is sinds 2.3 hetzelfde als bij OPNSense, de theming is allicht anders. De verschillen tussen beide systemen zijn echt minimaal (en daarbij moet je je ook afvragen wat voor meerwaarde die verschillen dan hebben: OPNSense lijkt meer gericht op de hobbyist, pfSense meer op bedrijven) en van het niveau "persoonlijke voorkeur".
Gezien de grote woorden van OPNSense is het eigenlijk erg teleurstellend wat ze tot dusver hebben bereikt. Echter, de grote verschillen liggen voor beide projecten op de lange termijn en niet nu. Op dit moment doen ze beiden vooral heel veel hetzelfde, namelijk code clean-ups en zorgen dat het een package is die je op een vanilla FreeBSD install kunt installeren. Allemaal zaken die toch wel dringend nodig zijn, de codebase is al redelijk oud (en dat heeft gevolgen).

Overigens is OPNSense ook net zo open als pfSense. Beiden hebben een commerciële partij die erachter zit die beiden de boel onder controle willen houden. Dus ook hier geen verschil.
jurroen @ppl14 oktober 2017 13:22
Het stukje persoonlijke voorkeur ben ik met je eens. OPNSense heeft voordelen die voor mij zwaar genoeg wegen om pfSense links te laten liggen. HardenedBSD is voor mij bijvoorbeeld al reden genoeg; FreeBSD is zelf vrij laks in het doorvoeren van exploit mitigation technieken. Ze hebben de afgelopen jaren daar wel (flinke) verbetering in gebracht, maar het is alsnog verre van 'state of the art': https://hardenedbsd.org/c...edbsd-feature-comparisons. Hoewel ik het voor een intranet of LAN systeem ook belangrijk vind, is het natuurlijk op een firewall essentieel.

Daarnaast, ja, wellicht heeft pfSense nu ook 2FA, Suricata, etc, hiermee was OPNSense echter stukken eerder. Mijn voorkeur ligt dan bij de toonzetter, ik heb een beetje het gevoel dat pfSense er in sommige gevallen achteraan huppelt.

Daarnaast, de redenen die gegeven worden door pfSense om bij OpenSSL te blijven, pardon my French, maar die zijn gewoon idioot en bizar (zie onderaan de blogpost). Copy-paste van een reactie van mij, elders op T.net:
Heartbleed was een enorm nasty lek. Uiteraard kan een lek van die proporties ook in closed software zitten, maar dan is het vinden ervan wat complexer. Ik vertrouw zelf OpenSSL niet meer; niet vanwege het feit dat Heartbleed heeft kunnen ontstaan of zo lang onopgemerkt is gebleven, maar vanwege de gehele library en skills van de ontwikkelaars. Ted Unangst, LibreSSL/OpenBSD devver heeft hier een erg interessante presentatie over gegeven, waarbij hij ook ingaat op de codebase van OpenSSL en de fouten hierin: https://www.youtube.com/watch?v=WFMYeMNCcSY
Het punt dat je aanhaalt over hobbyist/commercieel volg ik niet zo goed; waar baseer je dit op? Beiden zijn niet zo polished als je zou hopen, ook met pfSense heb ik regelmatig dat een update op een box met complexe config zaken onderuit trekt. Mijn ervaringen met OPNSense op dit vlak zijn beter. Zowel pfSense als OPNSense hebben de opties voor commerciele support, alleen loopt pfSense dit wel wat harder te pushen. Dus als je dat bedoelt, dan kan ik me wel iets bij die redenatie voorstellen.
Sandor_Clegane 13 oktober 2017 10:05
Yay! Goede software, DNS blocker erop en zelfs je apps op de telefoon hebben geen reclame meer. Alleen daarvoor is het al geweldig.

Dan is er ook nog een reverse proxy voor je eigen servertjes, een plugin om HTTP verkeer te virusscannen en een mooie OpenVPN implementatie voor remote access.

Oh, en het is ook nog een firewall. ;)
Draai het in een VM met een tweede netwerkkaart via VT-D en het loopt als een zonnetje met weinig resources.
Zoek je een firewall en ben je flauw van je ISP zijn meuk, neem dit.
I approve of this software!
EverLast2002 @Sandor_Clegane13 oktober 2017 10:12
Heb jij https virusscanning werkend draaien? Ik niet, wel http en dat werkt prima.
pfBlockerNG is ook een leuke add-on trouwens.
Sandor_Clegane @EverLast200213 oktober 2017 10:13
Nee, daar heb ik me om eerlijk te zijn ook nog niet in verdiept. Nog geen reden voor gehad. Is misschien wel een leuke uitdaging een dezer dagen.
EverLast2002 @Sandor_Clegane13 oktober 2017 10:23
Gezien dat steeds meer internetverkeer via https loopt ipv http is dat wel prettig om werkend te krijgen in pfSense...
Sandor_Clegane @EverLast200213 oktober 2017 10:33
Dat klopt, maar meestal zijn het best gerenommeerde sites waar dat is aangezet. Tenminste waar ik meestal op rondneus. Met het blocken van de reclame domeinen en uBlock in de browser wordt het al een stuk lastiger om meuk op je machine te krijgen.
ajow @Sandor_Clegane13 oktober 2017 12:57
Vgm moetje dan een certificaat op je telefoon/pc installeren die zegt dat jouw firewall/adblocker de verbinding in mag zien
Tetraquark @EverLast200213 oktober 2017 11:01
yup, heb ik me ook wel eens in verdiept.
er zijn mooie guides die dit uitleggen.
Je moet dan wel PKI opzetten op je LAN. Deze certificaten worden gebruikt om stateful pakketinspection to doen.
Dit certificaat moet je dan wel deployen naar al je devices op je netwerk.

Mocht je veel gasten hebben op je netwerk dan wordt het nog een beetje lastiger.
EverLast2002 @Tetraquark13 oktober 2017 11:14
"Dit certificaat moet je dan wel deployen naar al je devices op je netwerk."

Zover had ik me ook al ingelezen. Het is idd werkend te krijgen, maar het deployen van certificaten/wpad files vind ik geen transparante oplossing. Althans niet voor mij.
Tetraquark @EverLast200213 oktober 2017 11:17
om het werkend te krijgen zul je toch iets van een trusted domain op moeten zetten? Dan zouden de certificaten transparant worden geaccepteerd?
Het probleem is ook nog eens dat je dan geregeld waarschuwingen krijgt in Chrome omdat het certificaat niet trusted is omdat je vaak een self signed certificate gebruikt.

[Reactie gewijzigd door Tetraquark op 24 juli 2024 22:38]

Rinzwind @EverLast200213 oktober 2017 12:25
Tja by default is https verkeer natuurlijk niet in te zien. Dat is het hele idee. Alleen de host en poort.
CmdrKeen @EverLast200213 oktober 2017 13:07
het deployen van certificaten/wpad files vind ik geen transparante oplossing. Althans niet voor mij.
Niet-transparant zijn is het hele eiereneten van encryptie. Wil je geëncrypt verkeer controleren dan moet je decrypten en daarna opnieuw encrypten om naar de client te sturen. Er zijn geen andere manieren.
Niet Henk @EverLast200213 oktober 2017 13:26
Kan dat?

Zover ik weet is HTTPS verkeer encrypted en beveiligd tegen MITM aanvallen. Of de MITM een virusscan wil uitvoeren of wachtwoorden wil onderscheppen is niet relevant.

Natuurlijk is HTTPS niet 100% veilig, maar in real time de encryptie kraken op doorgaand verkeer is niet te doen, zover ik weet.
EverLast2002 @Niet Henk13 oktober 2017 14:32
Wanneer je de eicar virustest uitvoert op https, dan komt het testvirus er toch echt door en wordt niet gedetecteerd.
Wachtwoorden onderscheppen en MITM laat ik even buiten beschouwing dan.
MaxTheKing @Sandor_Clegane13 oktober 2017 11:38
Even off topic, maar wat is nou precies het nut van een reverse proxy? Hoor er altijd erg veel over, maar het is me niet helemaal duidelijk.
tvdijen @MaxTheKing13 oktober 2017 11:50
https://en.wikipedia.org/wiki/Reverse_proxy
MaxTheKing @tvdijen13 oktober 2017 11:56
Danku.
Muncher 13 oktober 2017 23:12
Zoekend op Pfsense hardware krijg ik advertenties te zien voor het draaien van pfsense op een vps. Waarom zou je dat willen doen? Je wilt dat toch juist lokaal hebben draaien?
Horrorist618 @Muncher14 oktober 2017 00:24
Misschien voor het opzetten van een IPsec/VPN/proxy tunnel zodat je eigen IP adres verborgen is als je rondsurft, en enkel die van de VPS zichtbaar is.
ppl @Muncher14 oktober 2017 02:32
De meeste bedrijven hebben hun infrastructuur niet of niet geheel lokaal draaien. Het enige wat er dan lokaal draait zijn de werkstations die dan inderdaad achter hun eigen lokale firewall worden gehangen. Voor hetgeen in het datacentrum draait kun je kiezen voor een hardwarematige firewall of eentje als vps/vm. Dat laatste kies je vooral als je een gevirtualiseerde infrastructuur hebt. Buiten dat zet je firewalls altijd op verschillende lagen van je gehele infrastructuur neer waardoor je een mix kunt hebben van hardwarematige firewalls en vm's. pfSense kun je in dit geval voor beide inzetten.

Overigens kun je pfSense voor meer dingen gebruiken dan alleen firewalling. Het wordt ook vaak ingezet als VPN appliance.
GEi 13 oktober 2017 10:19
Heb thuis ook een dedicated pfSense machine staan. Inmiddels zo van afhankelijk dat ik nog even het pfSense forum in de gaten houd wat betreft the eerste ervaringen. Grote updates blijf ik spannend vinden met vrouw en kinderen op de achtergrond die expliciet verwachten dat zij na de update gewoon verder kunnen met Facebook, Minecraft en Poe... :P
tvdijen @GEi13 oktober 2017 11:42
Zojuist zonder problemen drie instances geüpgrade
GEi @tvdijen13 oktober 2017 11:51
Dat geeft in basis al wat vertrouwen. Ook met voldoende packages geïnstalleerd? Of betreffen het 'kale' installaties?
xBytez @GEi13 oktober 2017 12:38
Mijn pfSense thuis is ook vlekkeloos geüpgrade naar 2.4 met aardig wat packages geïnstalleerd. Zeker geen kale installatie, draait al meer dan een jaar. Tot nu toe geen problemen. Snelheid is ook prima.
tvdijen @GEi13 oktober 2017 12:38
Betreft installaties met elk verschillende sets aan extra packages.
toro 13 oktober 2017 16:08
Lekker pfSense, lekker Amerikaans. Ik voel mij al een stuk veiliger :/

Je kan beter het Nederlandse OPNsense nemen:
https://opnsense.org/
ppl @toro13 oktober 2017 18:21
Naïviteit ten top aangezien OPNSense een fork van pfSense is en ze de pfSense codebase nog steeds actief blijven overnemen. Je schiet er dus helemaal niks mee op. Pas wanneer OPNSense volledig van pfSense is losgeweekt gaat je argument op.

Aan de andere kant...het is Nederlandse software en per 1-1-2018 is hier in Nederland de zogenaamde sleepwet van toepassing. Hoe veilig denk je dat Nederlandse software dan nog is?
toro @ppl13 oktober 2017 22:21
Sorry maar je zit er helemaal naast en niet zo’n klein beetje ook :)

OPNsense was een fork van pfSense en m0n0wall. Klopt.

Tegenwoordig gebruikt het code rechtstreeks van FreeBSD 11. Niets komt meer van pfSense en dat is maar goed ook :)

Sleepwet gaat over aftappen en niet over infecteren van software, en al helemaal niet zoals jij bedoeld in deze context.
ppl @toro14 oktober 2017 02:26
Sorry maar je zit er helemaal naast en niet zo’n klein beetje ook :)
Aangezien dit de woorden van OPNsense/Deciso zijn zul je je tot hun moeten richten ipv mij ;) Buiten dat zie je dit soort zaken ook gewoon in de diverse fora waar mensen de diverse patches bespreken.
Tegenwoordig gebruikt het code rechtstreeks van FreeBSD 11. Niets komt meer van pfSense en dat is maar goed ook :)
Zowel pfSense als OPNsense zijn bezig om van de m0n0wall basis weg te migreren (lees vooral ook eens het artikel waar je op reageert, de release notes die er staan benoemen FreeBSD 11.1 nota bene als basis!). Ze hebben daar beiden nu de vanilla FreeBSD als basis voor. Uiteindelijke doel van beiden is om een port te worden binnen het FreeBSD ports systeem die je dan ook op ieder FreeBSD systeem zo kan installeren. Hierbij baseert OPNsense zich nog steeds op pfSense. De reden hiervoor is voor beide projecten een hele simpele: het oude systeem a la m0n0wall kost gigantisch veel werk om te onderhouden omdat je alles moet doen. Door te switchen naar een port is dat niet nodig en kun je je richten op de kern functionaliteit van je product. Het FreeBSD project zorgt voor het OS, alle drivers en de ports waar de pfSense/OPNsense port van afhankelijk is. Bijkomend voordeel: je hebt nu ook ineens heel wat meer software voor troubleshooting tot je beschikking.
Op dit moment is geen van beide projecten zo ver dat ze een zelfstandige port zijn, dat werk loopt nog en is al aardig gevorderd.

Die FreeBSD basis die je hier noemt en waar pfSense ook gebruik van maakt is een Amerikaans project met daarachter een Amerikaanse organisatie. OPNsense zal zich dan ook van heel wat meer dingen moeten ontdoen om vrij te zijn van Amerikaanse code/organisaties.

Het kopiëren van delen code van het project dat je hebt geforkt is ook niet iets nieuws of iets raars. Het is iets wat eigenlijk doodnormaal is. Ik hoop ook dat men uiteindelijk de banden met pfSense doorsnijdt en daadwerkelijk hun eigen pad bewandeld. Dat levert hopelijk meer gezonde concurrentie tussen beiden op dan nu het geval is.
Sleepwet gaat over aftappen en niet over infecteren van software, en al helemaal niet zoals jij bedoeld in deze context.
Dan begrijp jij overduidelijk niet wat de sleepwet inhoudt en in welke context ik het heb bedoeld ;) Waar het hier om gaat is het misplaatste vertrouwen dat we hier in Nederland geen obscure wetgeving hebben waarbij de overheid kan hacken, exploits inbouwen en ook achterdeurtjes wil hebben. Dat onderdeel van de sleepwet is hier van toepassing en iets waarin Nederland echt geen haar beter is dan de Amerikanen. De naam "sleepwet" is dan ook niet de officiële benaming omdat het veel meer behelst dan mogelijkheden om heel veel data van de eigen bevolking binnen te slepen. De sleepwet gaat dus wel degelijk over infecteren van software (zie artikel 45 1b) net als dat het gaat over aftappen en een aantal andere onderwerpen. De naam is alleen gekozen omdat dit mensen meer zegt dan de hack activiteiten die er ook onderdeel van zijn.

De wet zegt dat de AIVD een verdachte via via mag hacken. Dan is het dus ineens mogelijk dat ze een backdoor in de OPNsense/pfSense code mogen plaatsen om zodoende toegang te kunnen krijgen tot de computer van de verdachte. Juist dit deel van de wet is hetgeen waar diverse experts zo fel op tegen zijn. En aangezien OPNsense en Deciso Nederlands zijn vallen ze onder de Nederlandse wetgeving.

Hoe je het ook went of keert, "lekker Amerikaans" gaat voor beiden op. Je beseft het alleen niet door je slechte kennis van de beide projecten. Jammer genoeg vinden dit soort zaken in beide kampen plaats. Als je veel waarde hecht aan goede en juiste informatie en/of community dan zijn zowel pfSense als OPNsense absoluut niet aan te raden. Dan kun je veel beter gaan voor Microtik of Ubiquity want die hebben hier geen last van. Erg jammer want de software van pfSense en OPNsense is gewoon goed in wat het doet. De community helpt het op dit moment gewoon om zeep.
himlims_ 13 oktober 2017 10:15
mooi speelgoed voorop de orange-pi pc (2x nic :P)
Tetraquark @himlims_13 oktober 2017 10:53
geen problemen met throughput?
wat voor bandbreedte heb je?
job_h @Tetraquark13 oktober 2017 16:20
Zal niet meer zijn dan 100mb/s, sneller zijn de NIC's niet. http://www.orangepi.org/OrangePiR1/
Xellence 13 oktober 2017 10:08
Support for Microsoft® Hyper-V™ Generation 2 virtual machines

Eindelijk veilig als appliance onder Hyper-V in te zetten. V2 vereist secure boot van de guest wat de kans op boot intrusion significant kleiner maakt. Dat wordt uitzoeken hoe zo snel mogelijk van v1 naar v2 te migreren gaat werken. Leuke klus voor de saaie uurtjes vanmiddag. Mogelijk eerst upgraden naar 2.4.0 in v1, config exporteren, een nieuwe v2 VM maken met schone 2.4.0 en daarin de config terugzetten.
Tetraquark @Xellence13 oktober 2017 10:57
doe je dat met windows10 als host?
of een server editie?
Xellence @Tetraquark14 oktober 2017 02:23
Als je goed zoekt zie je dat Hyper-V basaal in 3 vormen bestaat. Als bare bone install (de manier om het te gebruiken), als onderdeel van Server (Simpelweg als Role) en als onderdeel van Desktop (heeft ook flinke impact op je Windows 10 beleving want je host OS wordt effectief zelf een VM).

Mijn reply op dit topic is gericht op Hyper-V in alle vormen. Dus ook als de ultieme firewall op je Windows 10 desktop PC als je dit per se wilt. Effectief alleen toegepast op de (gratis) Hyper-V server maar ook toepasbaar op de overige varianten.

Het kan soms nuttiger zijn om je al aanwezige hardware die toch al Windows draait, beter toe te passen middels een appliance als deze. Ook al gaat het om een GUI Server of om gewoon een Windows 10 Desktop met Hyper-V ingeschakeld.
jurroen @Tetraquark13 oktober 2017 13:21
Kan beiden. Als je het op Windows 10 doet, Pro en verder (Enterprise, Education) hebben HyperV. Home heeft dit niet.

Persoonlijk zou ik een hypervisor niet in een desktop OS met GUI draaien. Tenminste, niet in een serieuze omgeving. Maar dat is mijn voorkeur ;)

[Reactie gewijzigd door jurroen op 24 juli 2024 22:38]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq