pfSense Usergroup #003 - 2021-01-22 - 17:00

viragomann

@jegr said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Ne das ist quatsch, dann hätten sie die ganzen Änderungen der letzten Jahre inkl Wireguard gerade nicht in FreeBSD pushen und entwickeln dürfen.

Wireguard ist hier vielleicht nicht das beste Beispiel. Ich könnte mir vorstellen, dass man dies nicht einfach auf das OS aufsetzen kann, sondern dass es vom Konzept her im Kernel laufen muss.
So gab es hier möglicherweise gar keine andere Option.

JeGr

@viragomann Niemand hätte sie daran hindern können, das Kernel Modul selbst zu entwickeln und statt an Upstream zu geben und im FreeBSD Tree zu entwickeln einfach als CodeFork oder direkt in ihrem pfSense Repo zu entwickeln und mit entsprechendem Copyright auszustatten. Da - könnte mich täuschen - das Rohgerüst aber BSD Lizensiert war, hätte das sich nichtmal ausgeschlossen. BSD Lizenz erlaubt explizit (siehe Apple) Entnahme von Code und Eigenentwicklung. Daher - nee, das passt halt nicht.

Aber auch im Moderator Bereich wo die Netgate Angestellten schreiben ist die Stimmung ganz gut, es wären ja viele recht aufgeschlossen und sogar positiv und jetzt könnte man vielleicht endlich auch in die Firmen reinkommen, die bislang OSS und "Frickelkram" abgelehnt haben und lieber ordentliche "kommerzielle Software" wollen, denn bei Fortune 500 oder Top100 Unternehmen wäre das halt ein Problem blabla.

Ja feini, dafür fliegt ihr halt bei den kleineren Firmen, SMBs und bei Companies, die Transparenz wollen und schätzen hochkant raus. Egal wie toll und fluffig und gut eure Software dann wird. Wenn ich ne Anfrage von der Land- oder Bund oder dem Medizin- oder Bildungssektor bekomme, dann ist das letzte was die feiern dass das Ding demnächst closed source wird. Und die blöde Ausrede "ja CE gibts ja weiter" - äh ja klar. Zitat Heise aus der FAQ übersetzt macht das im deutschen so richtig deutlich:

https://www.heise.de/news/Fokus-auf-Geschaeftskunden-Netgate-kuendigt-Firewall-Distribution-pfSense-Plus-an-5033142.html

Die Verantwortung für die Weiterentwicklung des Open-Source-Strangs legt das Unternehmen größtenteils auf die Schultern der Community: „Wenn sich die Community entscheidet, neue Features zu integrieren, diese zu testen, zu dokumentieren und Pakete zu veröffentlichen, dann wird es natürlich Fortschritt über Release 2.5 hinaus geben.“

Wie will man die Verantwortung zur Community schieben, wenn es kaum/keinen? Entwickler vom Core außerhalb von Netgate gibt?

noplan

@jegr

Und genau aus diesem Grund Stichwort CE müssen sich alle was überlegen wenn das pricing der pfS+ Lizenz nicht passt.

Was netgate intern sehr sehr bewusst ist und mit dem sie noch gar nicht wissen wie sie umgehen ist wenn kleine Firmen mit der pfS+ home auf netgate Hardware arbeiten gleiches gilt f outposts die <5 Mitarbeiter haben oder homeOffice das ist nach USLaw alles commercial use Ergo nix mit homeLizenz Nutzung, womit wir wieder beim Thema pricing sind passt das ist alles möglicherweise OK, passt es nicht wird mit großer Wahrscheinlichkeit gewechselt.

LG ausm VidCall zu dem Thema was wir mit den aktuell umzusetzenden Projekten machen.

NOCling

Habe ich was verpasst?

Netgate Hardware bringt doch die + mit und die ist doch automatisch für commercial freigegeben.

Oder soll hier auch noch eine nach Lizensierung notwendig werden?

noplan

@nocling

Das Statement hätte ich gerne. Kam gerade hier in der Runde so durch den Raum. Gleich nach dem Thema das die APU Bretter bessere Werte haben als die sg1100 ;)

Bisher

• hardware zB 100 eur

• software pfSce 0eur

• support 0 eur

Summe commercial use 100 eur

Neu
Hardware 100eur
pfS+ 0 eur
Lizenz commercial use eur??

Wenn bei beiden (alt & neu) 100 eur rauskommt
Ist die community Version bald mit owncloud zu vergleichen

Ich hab über commercial use ja eh noch recht wenig gelesen mit pfS+

nonick

@noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Wenn bei beiden (alt & neu) 100 eur rauskommt
Ist die community Version bald mit owncloud zu vergleichen

Das würde im Umkehrschluss bedeuten, man will die Community Version los werden. Nur möchte man das so nicht kommunizieren, bis sich das Thema von selbst erledigt hat. Wenn ich Jens richtig verstanden habe, gibt es gar keine Community die das entsprechend weiterentwickeln könnte.

Auf lange Sicht wird dann nur noch die Closed Source Version übrigbleiben (Das scheint auch der wahre Grund für diese Entscheidung zu sein). Sowas wäre bedenklich, da das immer Begehrlichkeiten weckt. Alles was machbar ist wird dann auch gemacht.

Meiner Meinung nach erleidet Netgate damit einen großen Vertrauensverlust und Vertrauen ist bei Sicherheitslösungen sehr wichtig.

slu

Ich erkunde derweil mal die Opnsense :)

nonick

@slu Ich weiß nicht wie der aktuelle Stand ist, aber ich habe vor ein paar Jahren leider sehr schlechte Erfahrungen mit OpnSense gemacht. Möchte man OpnSense umfangreich nutzen, dann funktionierte einiges nicht reibungslos. Auch zerstörten die häufigen Updates immer wieder wichtige Funktionen, wie z.B. IPSec.

Richtig sauber lief es erst mit pfSense und das bis heute. Jetzt kommt man mit dieser Hiobsbotschaft um die Ecke, sehr ärgerlich...

noplan

@nonick @slu

ich hab bis jetzt auch noch nichts wirklich verlässliches von der orangen seite gehört
was jetzt hier ansteht ist eine Aufstellung was ist mit pfS realisiert
und exakt das gleiche wird auf der gleichen Hardware mit openSense realisiert und in Betrieb genommen, mal schauen was dabei rum kommt

etwas Zeit is ja noch ... womöglich kommen die jungs & mädls von Netgate ja auch noch mit "Großartigen News" um die Ecke.

viragomann

@nonick said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Das würde im Umkehrschluss bedeuten, man will die Community Version los werden. Nur möchte man das so nicht kommunizieren, bis sich das Thema von selbst erledigt hat. Wenn ich Jens richtig verstanden habe, gibt es gar keine Community die das entsprechend weiterentwickeln könnte.

Diesen Eindruck habe ich auch. Alle entscheidenden Entwickler scheinen mittlerweile bei Netgate unter Vertrag zu stehen. Eine "lebendige" Weiterentwicklung auf reiner Community-Basis kann ich mir so nicht vorstellen.

Und mit der Aussage "wenn die Community was macht, wird es weitere Versionen geben" scheint man die Nutzer genau auf dieses Szenario vorbereiten zu wollen, um hinterher sagen zu können "es lag bei Community, aber die hat nichts weiterentwickelt".

Aber wie schon erwähnt, vorerst sehe ich das noch gelassen. Meine nicht kommerziellen Systeme könnten gewiss noch 2 Jahre mit pfSense laufen, auch wenn sich die Sache negativ entwickelt. In dieser Zeit kann sich auch in anderen Projekten einiges tun. Also sehe ich später weiter.

JeGr

@nocling said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Netgate Hardware bringt doch die + mit und die ist doch automatisch für commercial freigegeben.

Doch steht im Blog und FAQ. NG Hardware wird automatisch mit Plus ausgeliefert, da FE=Plus und daher gar nicht anders geht.

@noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Lizenz commercial use eur??

Gibt es nicht. Es soll Pricing für Plus auf 3rd Party Hardware geben. Mehr wurde noch nirgends geschrieben, alles andere ist quatsch.

@noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Das Statement hätte ich gerne. Kam gerade hier in der Runde so durch den Raum. Gleich nach dem Thema das die APU Bretter bessere Werte haben als die sg1100 ;)

I call Bullshit. Aber frag @NOCling dazu. Ich behaupte die ARMs auf der 1100/2100 und vor allem die 3100 drehen Schleifen um die sackalte APU. Vielleicht die 1100 nicht so spürbar weil nur 1GB RAM, aber die 2100 mit 4GB lacht da.

@nonick said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Das würde im Umkehrschluss bedeuten, man will die Community Version los werden. Nur möchte man das so nicht kommunizieren, bis sich das Thema von selbst erledigt hat. Wenn ich Jens richtig verstanden habe, gibt es gar keine Community die das entsprechend weiterentwickeln könnte.

Jein. Es soll im Laufe der Woche weitere Statements zum Blog und FAQ kommen, weil da einiges angeblich falsch verstanden wird. Und es klingt plötzlich auch etwas anders, dass man sehr wohl weiterhin auch die CE Version weiter pflegen und entwickeln will.

pfSense CE is and has been our #1 source of marketing for the sale of our appliances and TAC support. There are over a million active users of pfSense and a huge amount of them are running CE, it would be foolish of us to shut that down. There are performance improvements we plan on doing, starting with an improved 'pf' and that will be something that we add to FreeBSD, CE, and Plus. There will be other additions to CE as well, and as soon as we can, we'll add those to the public roadmap.

...

So why announce this now if there isn't really going to be any major differences between pfSense CE and pfSense Plus right away? Because we didn't want to wait until there was a material difference to spring it on people.

...

At the end of the day, it is up to us to prove people wrong. It is not the first time there was such speculation.

Der letzte Satz trifft es ganz gut.

@slu said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Ich erkunde derweil mal die Opnsense :)

Alternativen haben schadet nie, deshalb machen wir ja auch beide Projekte :)

@viragomann said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Aber wie schon erwähnt, vorerst sehe ich das noch gelassen. Meine nicht kommerziellen Systeme könnten gewiss noch 2 Jahre mit pfSense laufen, auch wenn sich die Sache negativ entwickelt. In dieser Zeit kann sich auch in anderen Projekten einiges tun. Also sehe ich später weiter.

Bis 2.6 haben wir auf alle Fälle noch Zeit, die ja nach neuem Zeitplan im Juni droppen soll. 3 Releases im Jahr, 02, 06 und 10 wären dann die Deadlines und 2.6 wurde ja indirekt schon für Juni bestätigt, weil man dann die 3rd Party Hardware Unterstützung und Updatewege für Plus nachreichen will.

Somit hat man auf jeden Fall noch dieses Jahr um sich das Prozedere anzusehen und zu sehen, WIE sehr sie sich noch um die CE kümmern oder nicht.

Ich hab auch gezielt ketzerisch mal das Thema versprochene API/CLI/UI wird jetzt Plus-only? angesprochen, da DAS Feature eigentlich für 2.5 geplant war und dann weichen musste. Und an der Stelle könnten sie tatsächlich richtig punkten und zeigen: hey doch wir machen das auch für CE. Packen es zwar zuerst in Plus, testen es da gut durch und lassen einige Kunden drauf los aber dann porten wir das zurück zur CE und pushen da dann auch Fortschritt.

Wenn DAS der Fall wäre - OK, kein großes Problem. Denn dann kommt weiter was an Evolution an. Aber das wird sich nur zeigen, wenn sie mal die Hosen runterlassen und statt reden was tun :)

noplan

Zusammengefasst, sowievom jetzigen Informationsstand ausgehend,
ist von einer langfristigen Verwendung in Neuprojektend von der pfSCE,
abzuraten. Das ist leider Fakt.
Ist in einem Neuprojekt openSource gewünscht oder vorausgesetzt, ist ebenfalls hinblickend auf die unsichere, Support / Entwicklungs Situation (bezogen auf zusätzlich eingesetztet Packages, nicht auf die CoreFunktion von pfSCE) von einem Einsatz der Community Version abzuraten.

Harte Einschätzung aber mit dem Info Stand gehe ich mich nicht mit Beratungs- & Haftungsfragen beschäftigen wenn da irgendwas in den Kleinbetrieben oder Vereinen sideways läuft und asap ein Verantwortlicher her muss.

lg np

slu

@jegr said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

pfSense CE is and has been our #1 source of marketing for the sale of our appliances and TAC support. There are over a million active users of pfSense and a huge amount of them are running CE, it would be foolish of us to shut that down. There are performance improvements we plan on doing, starting with an improved 'pf' and that will be something that we add to FreeBSD, CE, and Plus. There will be other additions to CE as well, and as soon as we can, we'll add those to the public roadmap.

...

So why announce this now if there isn't really going to be any major differences between pfSense CE and pfSense Plus right away? Because we didn't want to wait until there was a material difference to spring it on people.

...

At the end of the day, it is up to us to prove people wrong. It is not the first time there was such speculation.

Der letzte Satz trifft es ganz gut.

so langsam bin ich wirklich verwirrt, das hört sich ja fast wieder positiv an.

slu

@noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Ist in einem Neuprojekt openSource gewünscht oder vorausgesetzt, ist ebenfalls hinblickend auf die unsichere, Support / Entwicklungs Situation (bezogen auf zusätzlich eingesetztet Packages, nicht auf die CoreFunktion von pfSCE) von einem Einsatz der Community Version abzuraten.

Das ist genau so ein Punkt an dem ich auch hänge.

noplan

@JeGr
i dont give a shit what u call bullshit.
FACT not FICTION: 1GB RAM @ SG1100 vs 4GB in der APU box
und das bei einer Preisdiff und Gewährleistung zum Vorteil des Endkunden immer zu Gunsten der APU lassen die Gründe bezogen auf "alte Hardware" das Produkt nicht zu verwenden verblassen bzw. komplett ignorieren solange die Umgebungsvariablen des Projektes (WAN up/down | Budget | routing speed etc.) für die angesprochene Hardware (SG1100 / APU) nocht tragbar sind, sonst sind wir bei der Hardware eh in einer komplett anderen Liga. Aber das sind alles alt bekannte Standpunkte und müssige Diskussionen.

Fakt ist:

• Es gibt von NETGATE kein Statemant ob pfS+ Software auf Netgate Hardware für commercial use ohne zusätzliche Lizenzkosten genutzt werden kann.

• Zum jetzigen Zeitpunkt kann pfS+ Software auf Netgate Hardware für home & lab ohne zusätzliche Lizenzkosten genutzt werden.

• custom hardware / 3rd party hardware & pfS+ Software für home & lab scheinbar kein problem (no fee) aber für commercial use kein Statement (und das braucht man dringend für Planungssicherheit bei den Kunden aber auch um Haftungsfragen gleich abzudrehen)

Ich hatte gestern 2 Calls mit Kollegen in den USA, bei NETGATE dürfte man ziemlich, basierend auf den Reaktionen vor allem aus den nicht USA zur Kommnikation einen erhöhten Pulsschlag haben (Investor Relationship).

Scheinbar haben viele bei NETGATE nicht damit gerechnet dass die Einschätzung und Empfehlung von IT Dienstleistern und Consultern (die nicht aus der Community kommen) kommt das Produkt aufgrund der unklaren Kommunikation nicht mehr für neu Projekte zu verwenden (somit keine kontinuierliche Zahl an neu Devices).

Ich haben heute beschlossen für die Anforderungen die mit pfS abgebildet sind alternativen zu prüfen und das budget bereits freigegeben. Ich geh mir die Jammerei von den Kunden ja nicht anhören, die haben gleich wie unsere Unternehmen hier in Zeiten von COVID ganz ganz andere Sorgen.

NOCling

@noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

Das Statement hätte ich gerne. Kam gerade hier in der Runde so durch den Raum. Gleich nach dem Thema das die APU Bretter bessere Werte haben als die sg1100 ;)

Bin mit der kleinen super zufrieden, die GBit Leitung geht da halt nicht durch, aber die haben meine Eltern auch nur beauftragt, weil die günstiger war als die alte 250er.

Das läuft völlig entspannt und das mit dem Beta Treiber für AES. Der Peak heute um 1 Uhr war das VPN Backup 50MBit AES-128 CBC.

Hier hat die Kiste 450MBit aus dem WAN gezogen, wurde dann wegen GBit durch das SG-3100 ersetzt, aber bei meinen Eltern gibt das Segement nicht mals diese her wie es scheint. Der Peak am Ende ist ein Download mit allem was das Segment her zu geben scheint, Kabel halt.
Die SG-1100 ist jedenfalls hat hier noch genug Reserven.

Wie läuft denn deine APU mit dem pfBlockerNG 3 und ähnlichen Listen?
Und das bei 3,5W Leistungsaufnahme.

noplan

@nocling

DNSBL haben wir ca 2Mio Einträge in den Listen
drum RAM WAN ist hier 100/100 sync
AES war Kunden Req Leistungsaufnahme muss ich mal messen

noplan

Den apu / sg1100 bzw alternative Hardware
Sollte man in einen eigenen Zweig verschieben
Ohne das bla bla alte Hardware usw

NOCling

Bezüglich der ARM Crypto Engine sehe ich das Closed Source positiv, da kann man dann halt das volle Programm an Treibern usw. rein hauen und die Dinger werden dann sicherlich noch mal ein paar MBits mehr drauf haben.

Denn nur so bekommt man da wohl den vollen EIP-97 Treiber Support rein.
Für die eigene Hardware ist das also sicherlich kein schlechter Schachzug was die Performace angeht.

Aber da bin ich hier wohl der einzige, der sich auf dem Grund drauf freut.

noplan

@nocling
Ich auch aber preislich muss das halt nicht nur f die nerds (also uns hier) sondern auch für den Endkunden passen und der versteht halt nicht immer alles...