Ankündigung zum nächsten Release

NOCling

@jegr said in Ankündigung zum nächsten Release:

Hintertüren

Das sind Fernwartungsfeatures

JeGr

@nocling said in Ankündigung zum nächsten Release:

@jegr said in Ankündigung zum nächsten Release:

Hintertüren

Das sind Fernwartungsfeatures

Bei FortiCrap definitiv

slu

So eine Nacht darüber geschlafen.
Das aufteilen des Codes ist in meinen Augen das Kriterium das keine Zukunft hat.

Ich werde mich daher in den nächsten Monaten mal mit einem alten pfSense Fork aus Europa beschäftigen.

Hat damit schon jemand Erfahrung?

JeGr

@slu said in Ankündigung zum nächsten Release:

Das aufteilen des Codes ist in meinen Augen das Kriterium das keine Zukunft hat.

Das ist noch ein Punkt der unklar ist. Im Meeting mit uns hieß es, dass momentan die FE also zukünftige Plus als "Fork" der CE gebaut wurde und sie das zukünftig umdrehen wollen, dass also aus der Plus die CE rausgeforkt wird. Mit den ganzen FAQs und Wordings, liest sich das mittlerweise "komisch" aber da muss man IMHO auch erstmal warten bis sie das selbst genau ausgetüftelt haben. Momentan wird die 2.5 FE lediglich rebranded. Erst was danach kommt wird dann relevant wie es weiter geht.

@slu said in Ankündigung zum nächsten Release:

Ich werde mich daher in den nächsten Monaten mal mit einem alten pfSense Fork aus Europa beschäftigen.
Hat damit schon jemand Erfahrung?

Alt ist relativ, die Kollegen sind gerade an 21.1.0-rc1 dran und haben da die typischen Prerelease Problemchen, ansonsten ist die letzte Version 20.7.8 wobei da wohl was mit PPPoE schief liegt und einige auf 20.7.7 zurück sind. Aber ja das Projekt ist natürlich auch aktiv, geht aber IMHO in eine minimal/etwas andere Richtung. Für meinen Geschmack im Business Umfeld wird da zu oft experimentell "mal schnell" was eingebaut. Einerseits natürlich gut und flexibel, andererseits wenn dann ständig was "hinten runterfällt" und nicht sauber läuft auch ärgerlich. Aber es bessert sich zumindest gefühlt. Allerdings sind da einige Sachen weiter vorne als hier, andere echt hinterher.

Ob man deswegen jetzt schon hektisch den Umzug planen sollte, bin ich extrem skeptisch. Optionen offenhalten - klar.

slu

@jegr said in Ankündigung zum nächsten Release:

Optionen offenhalten - klar.

Um das geht es!

Danke für dein Feedback zu dem anderen Projekt, ich werde das beobachten.

JeGr

@slu said in Ankündigung zum nächsten Release:

@jegr said in Ankündigung zum nächsten Release:

Optionen offenhalten - klar.

Um das geht es!

Danke für dein Feedback zu dem anderen Projekt, ich werde das beobachten.

Ich mach das OPNsense DE Forum genauso wie das hier ;) Also brauchen wir da nicht drumrum zu reden :) Und ja ich bin auch ein wenig skeptisch, was die ganze Closed Source und Fork nach Open Source Geschichte angeht. Habe da selbst in der Vergangenheit genug erlebt um skeptisch zu bleiben und mir wäre ein Payment Model für die OSS Variante auch lieber gewesen. Jetzt wird sich zeigen "if they're putting their money where their mouths are".

slu

@jegr said in Ankündigung zum nächsten Release:

Ich mach das OPNsense DE Forum genauso wie das hier ;) Also brauchen wir da nicht drumrum zu reden :)

Ich bin dort seit heute morgen auch angemeldet und sehe gerade (nach dem Du das geschrieben hast) das Du dort auch der Mod bist :)

viragomann

@slu said in Ankündigung zum nächsten Release:

Ich werde mich daher in den nächsten Monaten mal mit einem alten pfSense Fork aus Europa beschäftigen.

Das erste, das ich gestern getan habe, nachdem ich die Hiobsbotschaft gelesen hatte, war dieser Website einen ein abzustatten.

Aber ich will da nichts überstürzen. Wenn die 2.5er Version der pfSense so toll ist, wie die 2.4.5, könnte die noch 2 Jahre bei mir laufen. Für den Fall, dass sie es nicht sein sollte, habe ich mir gestern auch gleich mal die 2.4.5er Installationsfiles gesichert.

Beerman

Ich stehe der Sache momentan auch sehr skeptisch gegenüber. Ich finde es zwar gut, dass eine kostenlose Version für den Heimgebrauch geben soll, aber ich befürchte das die Weiterentwicklung der CE Version ins stocken geraten wird... :(

Ich finde es wichtig was JeGr hier gesagt hat:

https://forum.netgate.com/post/958407

Leider ist die Gefahr groß, das pfSense mit dieser Entwicklung nur einer von leider ganz vielen "Enterprise-Firewalls" wird. Und ich befürchte, dass sie sich dann auch sehr schwer tun werden. Haben ja leider auch kaum Features einer sog. NG-FW, die andere schon jahrelang haben.

Andere Frage:

Wurde eigentlich etwas über die Packages, wie z.B. IDS/IPS, pfBlockerNG usw.) gesagt? Wird es die dann in der Form so weiter geben in pfSense+?
Allein pfBlockerNG ist für mich ein Grund bei pfSense zu bleiben und nicht unbedingt zu einem anderen Projekt zu wechseln.

Exordium

Verstehe das Drama jetzt nicht so. Die CE bleibt doch! Wir haben eine Top-Firewall zum NULL-Tarif, die gewartet und supported wird. Für die Firma freut es mich, wenn ich für ne Handvoll Dollar eine +Version einkaufen kann. Auch die Scheffs sind dann meist "zufriedener" wenn ein bisschen Kommerz dabei ist. Für @home gibts dann vermutlich auch eine Basislizenz die eine kostenlose Nutzung der +Version für Privat gestattet!? Bevor ich mir die Frickel-Sense von "nebenan" installiere, ziehe ich lieber den Internetstecker ;-)

viragomann

@exordium said in Ankündigung zum nächsten Release:

Bevor ich mir die Frickel-Sense von "nebenan" installiere

Ich bin da nicht so nah dran, habe aber den Eindruck, dass dieser Ausdruck heute nicht mehr zutreffend ist.
@JeGr könnte dazu aber Genaueres sagen.

JeGr

@beerman said in Ankündigung zum nächsten Release:

Haben ja leider auch kaum Features einer sog. NG-FW, die andere schon jahrelang haben.

Die da wären? Das ganze Thema "NGFW" oder "next generation" ist m.E. eh Augenwischerei und viel Marketing Bullshit. IDS/IPS? Funktionieren heute dank SSL/TLS und mehr Verschlüsselung kaum mehr sinnvoll weil die Signaturen den Traffic nicht lesen können. Zumindest nicht den verschlüsselten Part. Da bringt es mir nichts dass die Payload "0x08151234" als böse wegen WebInjection/PHP-Shell o.ä. erkannt wird - wenn sie dank HTTPS gar nicht erst gesehen wird :) Da ist leider - verständlicherweise - bei den Herstellern viel Bullshit Bingo am Start. Ähnlich wie bei den VPN Providern ;)
Ich hab zumindest keinen Kunden der klagt, dass es Feature X wie bei Firma Y nicht gibt, im Gegenteil. Wir haben eher mehr Features (wenn man weiß wo), als kommerzielle Anbieter. Wenn man nicht gerade Sachen rannimmt, die sich schlicht nicht vergleichen lassen.

@beerman said in Ankündigung zum nächsten Release:

Wurde eigentlich etwas über die Packages, wie z.B. IDS/IPS, pfBlockerNG usw.) gesagt? Wird es die dann in der Form so weiter geben in pfSense+?

Pakete sollen nach wie vor weiter ein Thema sein. Es gab explizit dazu das Statement dass wenn und ob Änderungen am Paket notwendig sind, Netgate selbst ggf. den Maintainern helfen wird oder sich mit einbringt, um das zu stemmen. Da gings dann aber mehr in Richtung "wenn sich der Unterbau etwas ändert" wegen API bspw. - aber deshalb waren ja u.a. auch die Mods der Paketforen wie Bill Meeks (bmeeks) der für Snort und Surricata zuständig ist mit dabei. Auch wenn BBCan (Anthony) nicht konnte, ist aber auch er informiert worden. Also zumindest scheint es bei den Zusatzpaketen nach wie vor zu bleiben. Ob man dann zwei Schienen braucht - ein Paket für CE und eins für Plus - oder wie der Unterbau dann bleibt/werden wird - das habe ich auch schon nachgefragt aber noch keine Antwort erhalten.

@exordium said in Ankündigung zum nächsten Release:

Verstehe das Drama jetzt nicht so. Die CE bleibt doch! Wir haben eine Top-Firewall zum NULL-Tarif, die gewartet und supported wird.

Prinzipiell ja. Aber die Aussagen, die sie selbst ins FAQ geschrieben haben, lesen sich da eben - und da ging meine Kritik auch hin im zitierten Beitrag - sehr dodgy. Weiterhin die Schirmherrschaft und die Idee vorzugeben ist ein Ding, aber wenn sich dann zukünftig fast ausschließlich in der Entwicklung auf die Plus Version konzentriert wird und ab und zu dann mal ein Häppchen an die CE runterportiert wird, dann ist das keine wirkliche Weiterentwicklung mehr. Dahin geht die Kritik und die Bitte um weitere Aufklärung in dem zitierten Thread der Ankündigung. Denn dazu bleibt der offizielle Tenor etwas blass. Und dass sowas nach hinten losgeht, hat man historisch an Projekten wie Nagios oder auch Oracles Übernahme von MySQL gesehen. Man konzentriert sich plötzlich auf das Business-Produkt (bspw. Nagios) und die OSS Version gammelt dann vor sich hin weil es kaum Entwickler gibt die so tief drinstecken, dass sie da was reißen können. Hat man anfangs auch bei MySQL gesehen, dass plötzlich nur noch Commits von Oracle kamen, kaum mehr was reinkam und alles so rumgedümpelt ist (5.6/5.7) bis dann sich gleich zwei Forks abgespalten haben und einige Distros MySQL rausgeworfen haben als Standard. Dann ist man plötzlich wieder aufgewacht und hat angefangen da weiter zu entwickeln (5.7/v8) aber erst nachdem genug Druck da war.

Und genau das erhoffe ich mir nicht, dass das erst gegen die Wand fahren muss, bevor es weiter geht (oder ganz einschläft).

Für die Firma freut es mich, wenn ich für ne Handvoll Dollar eine +Version einkaufen kann. Auch die Scheffs sind dann meist "zufriedener" wenn ein bisschen Kommerz dabei ist.

Aber nicht, wenn nach dem ganzen Desasterjahr 2020 mit den ganzen Fuckups aus der IT Security die Chefs plötzlich ganz stark auf dem OSS Zug sind, weil das gut ist, wenn der Code offen ist. Und das ausgewählte Produkt in der Plus Variante aber dann plötzlich closed source ist... Dann ist der (eine) Vorteil zumindest wech.

@exordium said in Ankündigung zum nächsten Release:

Für @home gibts dann vermutlich auch eine Basislizenz die eine kostenlose Nutzung der +Version für Privat gestattet!?

Jup das ist auch schön und gut. Hab ich für TNSR auch geholt. Und es ist fein, da CentOS und Co drunter zu sehen... obwohl - Mist da war doch was mit CentOS und nicht mehr weiter gepflegt und so...

Ich vermute auch dass pfSense weiter auf FreeBSD bleibt. Und trotz "closed source" weiter ähnlich entwickelt wird wie jetzt aber eben um den "plus" Part zu schützen. Kann ich alles verstehen. Aber blöd ist es trotzdem, wenn man zum Einen die ganzen Jahre mit OSS-Firewall Werbung macht und die Leute jetzt! aktuell! wirklich endlich mal soweit sind zu begreifen, dass OSS was Gutes ist in Punkto Sicherheit, Prüfbarkeit, Nachweisbarkeit gerade wenn die nächsten Crypto Wars vor der Tür stehen und jeder gern überall Backdoors haben will. Dann schafft so ein Move nicht unbedingt mehr Vertrauen.

@viragomann said in Ankündigung zum nächsten Release:

@exordium said in Ankündigung zum nächsten Release:

Bevor ich mir die Frickel-Sense von "nebenan" installiere

Ich bin da nicht so nah dran, habe aber den Eindruck, dass dieser Ausdruck heute nicht mehr zutreffend ist.
@JeGr könnte dazu aber Genaueres sagen.

Nö würde ich ganz sicher nicht sagen. Wie gesagt, die Projekte gingen auseinander und haben sich seither anders entwickelt.
Ist manches ziemlich frickelig? Jap, defintiv. Werden teils Features eingebaut einfach der Featuritis wegen? Jau, so mein Eindruck manchmal.

Aber gibt's nur Dinge zu meckern? Nö. Nur eine kleine Liste an Sachen, die ich durchaus gut/weiter ausbaubar finde:

• Control Daemon, der es mit dem letzten Release erlaubt, Aliase(?) und Regeln per Konsole anzulegen
• einfacheres Plugin-System mit dem man (mutmaßlich) schneller/einfacher mal Addons bauen kann
• Bestrebung bzw. Vorgabe, dass mit nächstem Release es kaum/keine Funktionen mehr geben sollte mit "Advanced" Textboxen wo Fließtext reinsoll, sondern nach Möglichkeit alle Funktionen/Parameter als Optionen vorhanden sein sollen, die gebraucht werden. Dadurch weniger Möglichkeit was kaputt zu konfigurieren
• Community Repo (gestartet von Michael / mimugmail) für eigene Addons die ggf. gegen die internen Richtlinien gehen (also solche Freifelder noch enthalten, quasi expert-mode-only)
• wesentlich mehr Pakete die auch größtenteils gepflegt werden
• Firewall Regelansicht (mit einem Klick in der UI An/abschalten, Logging togglen, Richtung ändern/sehen, quick/non-quick togglen) sowie bei Interface-Regeln auch out- und non-quick auswählbar um komplexere Regelsets zu bauen.
• In vielen Ecken ist das Einblenden von "automatisch generierten Regeln/Settings" möglich, damit man sieht, was wirklich aktiv ist.

Gibt natürlich noch mehr. Gutes wie Schlechtes - wie das immer so ist. Aber wesentlich besser wie noch vor einem Jahr oder anderthalb. Und es formieren sich auch Bestrebungen aus der Community, da mehr Involvement zu schaffen und damit auch mehr Stabilität reinzubringen.

Muss man der Fairness-halber schon sagen - es haben einfach beide ihre Daseinsberechtigung. Auch wenn ich sagen darf, dass mir allein unser Forum um Längen besser gefällt (wegen der User/Fragekultur hier - aber auch weil die Forensoftware steinalt ist )

slu

@jegr

Du kannst das sicher beantworten:
Wenn ich das richtig verstehe ist der Code bei opnsense gleich, sobald man die Support Version kauft gibt es aber noch Extras dazu, richtig?
Der Preis ist okay, würde ich sofort buchen.

Ich störe mich bei pfSense nach wie vor an dem Code split.

wkn

Bei TrueNAS/FreeNAS hat man vor Kurzem den genau umgekehrten Weg eingeschlagen. Man hat die Codebasis der Community und Enterprise zusammengeführt (vornehmlich wohl auf Grund der vereinfachten Entwicklung und der Test) und bietet nun darauf die CORE und die Enterprise an, mit der Maßgabe, das die Codebasis für beide Versionen zusammen fortgeführt wird.

Warum für pfSense es jetzt anders laufen soll, man wird sehen, wo es dann in Zukunft hinführt.

Exordium

Genau. Abwarten, Tee trinken, lecker Keckse reintunken ;)

Ich bekomme deswegen keinen Stress momentan. Vielleicht gibts ja nen fork, der auf der letzten CE dann basiert. pfSenseplusplus. Und alle ehrenamtlichen Devs gehen mit. OwnCloud -> NextCloud war ja auch sowas damals. Bei der OwnCloud passiert so gut wie nix mehr. Die Developer sind fast alle umgezogen. Nur noch Bugfixes, tote Community... So was wünsch ich uns jetzt nicht. Ich bin mir auch fast sicher, dass je nach Response hier und da am derzeitigen Plan noch gefeilt wird. Letztendlich haben sehr viele Privatanwender/Admins (so wie ich) dat Dingens ja auch in der Firma etabliert. Einfach deswegen, weils tolle, freie Software ist. Ich beobachte einfach die Situation und werde ab und zu Jens interviewen ;)

Exordium

@jegr said in Ankündigung zum nächsten Release:

@viragomann said in Ankündigung zum nächsten Release:

@exordium said in Ankündigung zum nächsten Release:

Bevor ich mir die Frickel-Sense von "nebenan" installiere

Ich bin da nicht so nah dran, habe aber den Eindruck, dass dieser Ausdruck heute nicht mehr zutreffend ist.
@JeGr könnte dazu aber Genaueres sagen.

Nö würde ich ganz sicher nicht sagen. Wie gesagt, die Projekte gingen auseinander und haben sich seither anders entwickelt.
Ist manches ziemlich frickelig? Jap, defintiv. Werden teils Features eingebaut einfach der Featuritis wegen? Jau, so mein Eindruck manchmal.

Das meinte ich ja auch ;)
Bisserl blöd ausgedrückt. Hier passieren mir manche Dinge zu schnell und oft gibt es Features die gehören einfach nicht auf ne Firewall, sondern auf den Server nebendran. Für @home vielleicht supertoll, für den Firmeneinsatz fragwürdig.
Und auf den geliebten pfblockerNG will ich keinesfalls mehr verzichten!

JeGr

@wkn said in Ankündigung zum nächsten Release:

Bei TrueNAS/FreeNAS hat man vor Kurzem den genau umgekehrten Weg eingeschlagen. Man hat die Codebasis der Community und Enterprise zusammengeführt (vornehmlich wohl auf Grund der vereinfachten Entwicklung und der Test) und bietet nun darauf die CORE und die Enterprise an, mit der Maßgabe, das die Codebasis für beide Versionen zusammen fortgeführt wird.

Genau das hätte ich mir auch gewünscht. Momentan ist das aber hier nicht der Fall, denn so richtig will man sich nicht zu einem "Core" committen, sondern ist da in den Ausführungen sehr "vage". Auch dass die Plus Version dann closed wird, ist solala - viele interessierts nicht, manche schon. Ich habe jetzt auch noch nie ein Release selbst gebaut. In den Code aber schauen zu können und ggf. per System Patch Cherry Picking machen können um was zu testen, ist aber ein cooler Vorteil gewesen. Aber wie genau sich das dann jetzt umsetzt - da bekam ich noch keine Antwort zu. Werden wohl momentan auch ziemlich überrannt mit Anfragen.

Aber das:

* Netgate will continue providing stewardship and resources for the pfSense project, just as it has since 2012
* pfSense project code will continue to be available on GitHub, and will remain Apache licensed
  Netgate will continue to support the project with code contributions, particularly with respect to security vulnerability protection, FreeBSD related updates, common code, etc.
* While Netgate will focus most of its efforts on pfSense Plus, there will continue to be releases, snapshots, and updates of pfSense CE
* The frequency of this support will be evaluated on an ongoing basis. As an example, we already anticipate there will be a 2.6 release in 2021 to provide 1) the necessary upgrade path to pfSense Plus for instance types beyond those already covered, 2) hardware support updates, and 3) bug fixes.

Der Absatz ist halt sehr vage. Nach 2.6 kann das alles heißen denn dann gibts den Update Pfad zu Plus. Da sie dann aber schreiben, dass es weitere Releases und Snapshots geben soll - OK. Nur hatte ich auch schon die Frage gestellt: Was passiert dann bei größeren Codebase Änderungen? Plus bekommt API und CLI mit remote GUI. Und die CE? Bekommt die die Änderung? Das wäre dann nämlich der Punkt mit dem "by time the codebase will begin to differ" und dann sind wir leider nicht mehr beim TruNAS Vergleich, denn der "Core" bzw. OSS Teil ist dann signifikant anders, denn der sitzt dann auf dem alten Web/PHP Stack und der Plus Kram auf ner API mit CLI/GUI. Genau da sind einige sehr am Hadern mit der Formulierung wie die aktuell ist.

Exordium

F und A im englischen Forum:

@dennis_s will the no charge version for home and lab use be "crippled" in any way compared to commercial version ? ( ie max bandwidth supported on throughout etc) or less features ?

@longreen No...Full-featured version.

pfsense+ für Tests oder @home usage soll also der "Vollversion" entsprechen.

NOCling

Ja warten wir doch mal ab, wenn die Richtung in die der Kahn schippert dann mal wirklich fest steht, können wir immer noch mit Scheiße werfen.

Ich freue mich jetzt erstmal auf 2.5 und auch 2.6 und lasse mir das jetzt nicht durch die ganzen negativis put machen.

slu

@nocling
wir warten ab, ich denke schon das Feedback bei Netgate reflektiert wird.

Und schlussendlich haben wir viel zu wenig Infos um die Situation technisch beurteilen zu können.