pfSense Usergroup #003 - 2021-01-22 - 17:00

NOCling

Hatte mich schon gewundert, du mal nicht dabei...

Jedenfall ging es recht emotional zu, nach den Ankündigungen seitens Netgate.

noplan

@nocling

Stellen die das openSource Projekt ein?
Oder geht's um wireguard

Hihi

NOCling

Das wurde weder gesagt noch angekündigt, aber einige haben die Befürchtung.

noplan

@nocling

Ich glaub nicht vor e2021 wenn die community die 2.5er ordentlich getestet hat

Wäre aber Mörder dämlich von ihnen...

Wer wird schon emotional werden nach zyxel und SonicWall ;)

NOCling

Die 2.5 wandelt die FE in die + um.
Ende des Jahres soll dann die 2.6 kommen die beide Linien dann das erste mal aufteilt.
Da kommt dann vermutlich die API.

Ab dann soll man von der CE auf die + wechseln können.

Und was haben die beiden jetzt angestellt?

noplan

@nocling

Auf pfS+ kannst doch nur wechseln wenn netgate Hardware drunter :(

pfS+ f small business preislich noch interessant? (wenn ich Preise finden könnte)

Zyxel mit passwort klartext (eh schon älter)
SonicWall seit gestern oder so aktiver vpn Breach

slu

@noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Auf pfS+ kannst doch nur wechseln wenn netgate Hardware drunter :(

Nein das geht später auch auf der eigenen Hardware.
Mir gefällt die Entwicklung nicht, vor allem das sich der Basis Code unterscheidet.

noplan

Diese Entwicklung passt überhaupt nicht.

psF+ mit eigener Hardware drunter wäre der Kill f die pfSce wenn die Lizenzkosten f pfS+ passen

JeGr

@noplan Das ist genau das Problem, was sie mit der Ankündigung und dem "Verstecken" von "Closed Source" in den FAQs haben. Die Aussagen sind so wischi-waschi bis "keine Ahnung noch", dass es ein komplettes Chaos ist.

• FE wird zu Plus. OK.
• Plus wird Closed Source. Äh nicht so geil?
• We will focus our development on Plus. Auch nicht soo geil?
• We try to commit to 2-3 releases per year. Uff was? Bislang nicht mal eines fix im Jahr und jetzt 3 pro Jahr?

Paar Originalzitate aus dem Mod Forum:

5. "The pfSense CE release continues" part sounds a bit vague. Code will stay(!) available -> that reads like "it stays there but we don't think we will do much". "Continue to support" sounds like "yeah we fix bugs and that's it". "Focus on pfSense Plus" reads to many as "we jump ship of the CE edition".
   So is there a bit better definition as to where the two products will diverge going forward? An explanation like yesterday with "we'll make pfSense CE a "fork" of pfSense Plus (now the other way round then before) so projects will continue both" or sth along those lines would be way easier to understand.

• Netgate’s focus will be to develop pfSense Plus and the feature adds. Will continue to update CE with security vulnerabilities, FreeBSD updates, etc. but the release will not be the same as pfSense Plus. Today the two are the same and Plus is a fork of CE but they will diverge in terms of architecture, feature set, performance and manageability.

6. It sounds to me now as if you'll - perhaps not stop but - slow in developing pfSense CE and go fully "Plus". And as if "Plus" will get big design changes under the hood (e.g. extract the web stack, replace with API/CLI/WebUI) that won't make the way into pfSense CE. That would play into one of the questions yesterday about how are packages maintained if codebases differ that much. How would I maintain a package, if "Plus" is giving me direct access via API layer to control my stuff from my package when "CE" has the old webstack where I have to throw around code to get my stuff into config.xml and get it to work? That was one of my main questions: Will the projects differ THAT much at one point as it makes no sense staying on the CE version or developing packages for it or will they get the big "architecture" updates too, but e.g. "Plus" will have API+CLI preinstalled and you can add UI to the box (or manage it from remote via central management, deployment, ansible/chef/salt/whatever) as where "CE" will have API+CLI+WebUI "fixed" on the box with no option to change it, but with the same architecture below so one can develop and provide support/packages the same way?

• There’s no way for me to fairly answer this :), I do not know what features CE will get from Plus. However as these become known we will share with the community. (ausgewichen)

7. If #6 is not happening and the projects diverge that much, that could be the point where most will lay blame on you. Because: where is the sense in running pfSense CE when it doesn't get updated or get current technologies. That would essentially mean forcing users to upgrade to "Plus". But with #3 from above (free homelab version) - the problem would mostly hit the smaller companies as home users would simply switch to "Plus Homelab Edition" or drop pfSense and use e.g. OPNsense instead.

• Nothing says that pfSense CE or the project can’t move forward, however it will depend on the community with Netgate assisting. Like I said in 5, Netgate’s focus will be on plus while making code contributions and resources for CE. (und wer soll das dann machen?)

10. If "Plus" is going to be closed source, how are "external" package-developers gonne contribute? Will there be an open API/interface to use for packages? Are packages going to get merged in the system itself? Are there plans that one can run custom/own packages installed manually?

• Good question, I don’t want to speak out of turn here so let me check. (e.g. we don't have a clue now)

4. ...pricing...?

• Pricing has not been set, but when it is finalized we will try to brief all accordingly

Und das macht mich gerade nicht so froh.

Bob.Dig

Ich weiß nicht, ob ich damit richtig liege, aber ich meine herauszulesen, dass netgate nicht möchte, dass die andere Sense noch irgendwas, was von netgate geschrieben wird, nutzen kann. War es denn bisher so, dass nach dem Fork der anderen Sense weiterhin viel vom netgate Code übernommen wurde oder gab es da einen harten cut mit der Abspaltung?
Vielleicht war das Ganze nun schon von langer Hand geplant und deswegen gab es in den letzten Jahren nur noch so spärliche Updates? Soll wohl früher deutlich fixer gegangen sein, was ich so lese.

noplan

wenn dieser Schritt nicht genau geplant war, dann brauchen die bei NETGATE wirklich bessere Consulter, aber da red ich mir jetzt nicht den Mund fusselig.

wenn der Grund für closed source der ist, den Abfluss an die Forks (zB. openSense etc. pp. usw. ) zu unterbinden kann ich dafür Verständnis aufbringen, wenn nicht sogar ungeteilte Zustimmung.

denn die Wahrscheinlichkeit das es zwischen pfS und openS zu einem ähnlichen Phänomen wie zwischen nextColud und ownCloud kommt halte ich in einer kurzen zukünftigen Zeitperiode für sehr sehr unwahrscheinlich.

also was bleibt.

• yeah we fix bugs and that's it -->
  alles was nicht bug ist "paid support oder wrong software Version" --> forcing user to "Plus"

• slow in developing pfSense CE and go fully "Plus" --->
  irgendwann und das geht recht fix, wenn die Vorgehensweise geplant ist, ist die Differnz zwischen den beiden Versionen so groß das die package-developers (intern oder extern) diese für beide Varianten nicht mehr pflegen können und eine der beiden Versionen bleibt old fashioned (unsupported) auf der Strecke --> forcing user to "Plus"

• forcing users to upgrade to "Plus" ---->
  die kleine Fimren suchen sich (jetzt 2 Tage nach Ankündigung, die geplant haben in den kommenden Monaten eine pfS anzuschaffen) Alternativen da man davon ausgehen kann das weder die Netgate Hardware noch die Lizenz "günstig" im Sinne von es kostet gleich viel wie mit pfSenseCE

• Pricing ----->
  du kannst mir ja viel erzählen aber dafür bin ich schon zu lange im Executive Consulting tätig um das zu glauben, die wissen ganz genau was das pricing ist, wollen es aber nicht sagen weil es ihnen so wie es den Anschein hat bereits innerhalb der Community um die Ohren fliegt. (und das bereits 2 Tage nach Announcement)

Ich bleibe dabei der strategische KILL für die pfSCE wie sie jetzt vorhanden ist, wäre wie folgt.

A)
die CE wird als Fork von der PLUS betreiben, somit ist sichergestellt das kein anderer Fork (also direkter Mitbewerb davon Nutzen hat, wie das im real life mit den Lizenzen aussieht andere Baustelle) dann verrecken die Entwickler weil sie in closed source entwickeln und/oder

B) die PLUS bekommt ein Lizenzmodell das für die Frisöse am Eck ein "no Brainer" ist und sie den Hundert Eur Schein (1Stk) ohne Support einmalig gerne auf den Tisch legt für die Software, die sie entweder aud der netgate Hardware betreibt oder auf ihrer eigenen Hardware. (das glaub ich aber nicht denn dafür sind wir alle samt zuweit im ABO Zeitalter versunken)

und zu den Updates ...
ja eh 3 Release p Jahr .... überlegt euch mal wie die package-developers das handeln sollen f 2 Versionen (unterschiedlich wie tag und nacht)

Das werden spannende Zeiten, genau bis zu dem Zeitpunkt wann das pricing bekannt gegeben wird.

Die Consulter von openSense reiben sich schon die Hände, und zählen Geldscheine ;)
NP

nonick

Ich bekomme Pickel von Closed Source. Sowas möchte ich nicht haben, erst recht nicht im einem Router bzw. Firewall.

Ich finde die Entwicklung von Netgate sehr skeptisch und bedenklich. Dann haben wir auch bald "Das Klappern der Hintertüren" wie bei Juniper.

viragomann

@noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

du kannst mir ja viel erzählen aber dafür bin ich schon zu lange im Executive Consulting tätig um das zu glauben, die wissen ganz genau was das pricing ist, wollen es aber nicht sagen weil es ihnen so wie es den Anschein hat bereits innerhalb der Community um die Ohren fliegt. (und das bereits 2 Tage nach Announcement)

Soweit habe ich das noch gar nicht gesponnen. Aber das

und zu den Updates ...
ja eh 3 Release p Jahr

riecht wirklich sehr danach.

viragomann

@nonick
Fühle mich auch mit Open Source wohler.

noplan

du killst mit der Anzahl an schnellen Releases die Entwickler die auf 2 unterschiedlichen Plattformen (und das kann man bei PLUS und CE ruhig so nennen) nicht mehr mit dem entwickeln / pflegen / patchen nachkommen. Wenn dann 1 der beiden Plattformen leichter zu handeln ist (zb APIs ) dann ist das ein Kampf Panzer gegen Taschenmesser.

Aus Sicht des Consulters greifts dir auf den Kopf, Zyxel, SonicWall im Bereich ITsec und von #DSGVO ganz zu schweigen usw. der ideale Zeipunkt das Alleinstellungsmerkmal openSource rasuzuhauen und zu vermarkten vor allem in Europa (siehe Nextcloud, der Vergleich passt nicht ganz da Nextcloud europäische Software und im Softwar zwischen USA und EU noch ganz anders bewertet werden muss) das ist nur leider den US Firmen egal (scheinbar)

Die Kollegen aus den USA meinen aber auch das man neben der BWL Seite (da Netgate ja auch sicherstellen muss sein Produkt wertig zu halten) die rechtliche Seite beachten sollte, Netgate muss ja auch "Mitbewerber" ausschalten um die BWL Seite bedienen zu können.

Der springende Punkt wird das PRICING sein.

Wenn das passt (nicht alles muss free sein), und wir reden hier über ein Modell das sich NUR über die Masse an 1 time payed license rechnen darf (1 Stk Lizenz ohne Support einmalig 100USD pro deviceID), geht es der CE Version gleich wie ownCloud (Tote Community nur mehr bugfix) wenn die Lizenzen sich im usual range für Firmen befinden, ist der Weg zur Alternative weit offen unabhängig wie brauchbar diese ist.

Darum kann mir keiner sagen das das C-Level Management bei Netgate nicht exakt geplant hat was da jetzt passiert.
NP

NOCling

Naja, die eigenen Hardware ist ja auch ganz ok und wenn ich dann hier die + oben drauf habe, die stabil rennt, ist das doch auch was.

Ja das SG-1100 ist teurer als wenn ich das nakte Espressobin kaufe und da selber irgendwie was drauf löte.

Mag sein das ich da gerade die Netgate Brille auf habe, wegen meinen beiden weißen Boxen, aber das war für mich sehr gut investiertes Geld.

JeGr

@bob-dig said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Ich weiß nicht, ob ich damit richtig liege, aber ich meine herauszulesen, dass netgate nicht möchte, dass die andere Sense noch irgendwas, was von netgate geschrieben wird, nutzen kann. War es denn bisher so, dass nach dem Fork der anderen Sense weiterhin viel vom netgate Code übernommen wurde oder gab es da einen harten cut mit der Abspaltung?
Vielleicht war das Ganze nun schon von langer Hand geplant und deswegen gab es in den letzten Jahren nur noch so spärliche Updates? Soll wohl früher deutlich fixer gegangen sein, was ich so lese.

Ne das ist quatsch, dann hätten sie die ganzen Änderungen der letzten Jahre inkl Wireguard gerade nicht in FreeBSD pushen und entwickeln dürfen. Denn das forkt sich Hardened BSD und dann Opnsense wie jeder andere Fork dann auch.

viragomann

@jegr said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Ne das ist quatsch, dann hätten sie die ganzen Änderungen der letzten Jahre inkl Wireguard gerade nicht in FreeBSD pushen und entwickeln dürfen.

Wireguard ist hier vielleicht nicht das beste Beispiel. Ich könnte mir vorstellen, dass man dies nicht einfach auf das OS aufsetzen kann, sondern dass es vom Konzept her im Kernel laufen muss.
So gab es hier möglicherweise gar keine andere Option.

JeGr

@viragomann Niemand hätte sie daran hindern können, das Kernel Modul selbst zu entwickeln und statt an Upstream zu geben und im FreeBSD Tree zu entwickeln einfach als CodeFork oder direkt in ihrem pfSense Repo zu entwickeln und mit entsprechendem Copyright auszustatten. Da - könnte mich täuschen - das Rohgerüst aber BSD Lizensiert war, hätte das sich nichtmal ausgeschlossen. BSD Lizenz erlaubt explizit (siehe Apple) Entnahme von Code und Eigenentwicklung. Daher - nee, das passt halt nicht.

Aber auch im Moderator Bereich wo die Netgate Angestellten schreiben ist die Stimmung ganz gut, es wären ja viele recht aufgeschlossen und sogar positiv und jetzt könnte man vielleicht endlich auch in die Firmen reinkommen, die bislang OSS und "Frickelkram" abgelehnt haben und lieber ordentliche "kommerzielle Software" wollen, denn bei Fortune 500 oder Top100 Unternehmen wäre das halt ein Problem blabla.

Ja feini, dafür fliegt ihr halt bei den kleineren Firmen, SMBs und bei Companies, die Transparenz wollen und schätzen hochkant raus. Egal wie toll und fluffig und gut eure Software dann wird. Wenn ich ne Anfrage von der Land- oder Bund oder dem Medizin- oder Bildungssektor bekomme, dann ist das letzte was die feiern dass das Ding demnächst closed source wird. Und die blöde Ausrede "ja CE gibts ja weiter" - äh ja klar. Zitat Heise aus der FAQ übersetzt macht das im deutschen so richtig deutlich:

https://www.heise.de/news/Fokus-auf-Geschaeftskunden-Netgate-kuendigt-Firewall-Distribution-pfSense-Plus-an-5033142.html

Die Verantwortung für die Weiterentwicklung des Open-Source-Strangs legt das Unternehmen größtenteils auf die Schultern der Community: „Wenn sich die Community entscheidet, neue Features zu integrieren, diese zu testen, zu dokumentieren und Pakete zu veröffentlichen, dann wird es natürlich Fortschritt über Release 2.5 hinaus geben.“

Wie will man die Verantwortung zur Community schieben, wenn es kaum/keinen? Entwickler vom Core außerhalb von Netgate gibt?

noplan

@jegr

Und genau aus diesem Grund Stichwort CE müssen sich alle was überlegen wenn das pricing der pfS+ Lizenz nicht passt.

Was netgate intern sehr sehr bewusst ist und mit dem sie noch gar nicht wissen wie sie umgehen ist wenn kleine Firmen mit der pfS+ home auf netgate Hardware arbeiten gleiches gilt f outposts die <5 Mitarbeiter haben oder homeOffice das ist nach USLaw alles commercial use Ergo nix mit homeLizenz Nutzung, womit wir wieder beim Thema pricing sind passt das ist alles möglicherweise OK, passt es nicht wird mit großer Wahrscheinlichkeit gewechselt.

LG ausm VidCall zu dem Thema was wir mit den aktuell umzusetzenden Projekten machen.