PfSense für ARMv8/AArch64 ?



  • Hinsichtlich der zunehmenden Leistung & Vorteile der neuesten 64Bit Cortex CPUs, frage ich mich ob pfSense für ARMv8/AArch64 als eine mögliche Zukünftige Option bereits angemacht wurde?

    Weis da schon jemand was?


  • Moderator

    Die Möglichkeit ist (auf lange Sicht) durchaus in der Planung, da der Weg dahingeht, dass pfSense (Core) und die Packages wie mit 2.3 begonnen dann "nur" noch als echte FreeBSD Pakete gebaut werden. Somit kann die Installation dann auf einem Minimal FreeBSD erfolgen und ggf. dann auch die Plattformen unterstützen, auf denen FreeBSD nativ bereits läuft (wie eben auch ARM). Das ist aber m.W. noch kein kurzfristiges Ziel, da hier noch etwas Portieraufwand notwendig ist.



  • Ich hoffe, ich plaudere da nun kein Geheimnis aus: Ungefähr ab Herbst kann man mit einer ARM-Hardware und passender pfSense rechnen. Voleatech hat da was in Vorbereitung.  So zumindest der Infostand des gestrigen pfSense-Trainings-Kaffeeplausch  ;)


  • Moderator

    Nö, ich denke Geheimnis ist das keines, es hatten ja auch schon einige pfSense Entwickler davon gesprochen, dass Sie nach der Umstellung auf FreeBSD Packages die ersten Schritte auf ARM erfolgreich gemacht haben und hinter verschlossenen Türen da wohl schon was grob stolpernd am Laufen ist ;) Ich meinte nur, dass man jetzt nicht davon ausgehen soll, kurzfristig was zu bekommen was generell auf allem was irgendwie ARM ist lauffähig ist. Deshalb hier einfach die Erwartungen etwas runterschrauben. Dass es über kurz oder lang was für ARM gibt, ist aber abzusehen, inwieweit das dann generell lauffähig ist auf Plattformen wie RasPi oder anderen ARM Komplettboards (wie sie auch alle heißen) ist aber eben noch abzuwarten. :)



  • Naja, ob Geheimnis oder nicht. Angesichts der hohen Leistung eines Cortex-A72, so wie dessen Effizienz (Leistungsrufnamen / Abwärme), und der Annahme das es wegen des Handy-Kriegs schon sehr bald einen noch stärkeren Nachfolger geben wird. Dürfte es wohl eher eine weise Voraussicht sein. Denn so wie ich das sehe finden sich im x86-64 Lager nur schwitzen Hitzköpfe. Auch ansiehst A10, Rangeley und Xeon-D sehe ich nix was Fanless gegenhalten könnte. ..?

    8 bis 16-Core Banana Pi Nachvolger auf Steroide & pfSense  8)


  • Banned

    Nunja, alles eine Frage des Kühlkonzepts, oder?

    http://www.tx-team.de/shop/index.php

    Aber ein Raspi 3 als Reiserouter mit UMST USB stick oder  das eingebaute Wifi als WAN, das hätte schon was…



  • Ja gut - Kühlkonzept. Leistungsaufname / Effizienz und schlussendlich doch nich die Abwärme des Kühlkörpers/Gehäuses. Aber du sagst es ja selbst RasPi 3 als Reiserouter. Und wen ich mir denke das der RasPi 3 o. ODROID-XU4 ja doch einiges wegdrückt, gegen ein Huawei Mate 8 oder NVIDIA SHIELD trotz dem ziemlich in die röhre guckt, freue ich mich über die info, und das was uns die Zukunft bringt.
    :D ;D ;)



  • @JeGr:

    inwieweit das dann generell lauffähig ist auf Plattformen wie RasPi oder anderen ARM Komplettboards (wie sie auch alle heißen) ist aber eben noch abzuwarten. :)

    Das wäre halt ein wichtiger Faktor zur weiteren Verbreitung von pfS. Ich persönlich würde pfS gerne überall sehen. Auch als Firmware auf Konsumenten-Routern (statt DD-WRT z.B.). Ob das im Fokus liegt, entzieht sich aber meiner Kenntnis. Vermutlich eher weniger, was ich sehr bedauern würde.




  • Moderator

    @2chemlud, @Bordi:

    Achwas die Schwitzen nicht! Die wollen nur spielen: https://simbimbo.files.wordpress.com/2015/07/img_2002.jpg
    :D

    Der Raspi selbst ist eher suboptimal weil auch bei v3 immer noch alles über den langsamen Bus angebunden ist. Aber ein ARM Board mit 2-3 Netzwerkschnittstellen in der Größe einer NCA-1010 oder APU2 sollte kein Problem sein und je nachdem auch ganz angenehme Leistungswerte haben :) Ob es nun was bringt, hier x-fache Multicores zu haben sei mal dahingestellt, Router haben ja nun ein anderes Einsatzfeld als Multimedia Chips, aber insgesamt sollte durch den neuen CPU-Mobile Krieg da durchaus was schönes abfallen.

    @tpf

    Schon allein durch die neue Rechtssprechung zum Thema (freier) Firmware auf Geräten die WLAN können (das Thema war ja gerade erst eine der Säue, die man durchs Dorf getrieben hat), wird ein breiter Einsatz jetzt eher nicht wahrscheinlich IMHO. Aber es wäre trotzdem interessant, wenn pfSense sich damit zu einer Art Alternative zu DD-WRT und Co mausern könnte, wobei gegenüber den Linux basierten Systemen der Einsatz auf WLAN Geräten jetzt trotzdem eher nicht so optimal ist (da fehlender Treibersupport).

    @arthurdent

    Super, Danke, der Post war mir entwischt. Ich hatte schonmal gelesen, dass mit custom Hardware (ähnlich Pi Zero) experimentiert wurde, aber schön dass sie da jetzt wirklich substantielle Fortschritte machen :) Ne mobile Firewall für die Tasche und mein Laptop wäre schon geil :D Dann noch v6 Tunnel drauf aufgebaut und ich hab überall ne mobile feste IP ;)


  • Banned

    @JeGr
    Langsame Anbinding hin oder her, wenn ich mir einen Raspi an mein Notebook pappe für unterwegs bekomme ich den 3er sicher nicht mit etwas Router/Firewall-Gedöns an seine Grenzen mit einem UMTS USB-Stick oder über das eingebaute Wifimodul.

    Das sind doch keine SOOOOO hohen Durchsätze, dass mich das Abschrecken würde. Ich streame aber auch keine Filmchen unterwegs. Für meine Zwecke sollte das voll ausreichen mit einem Raspi 3, wenn es denn mal funktionieren sollte.



  • Ich persönlich fände es nicht gut wen pfSense überall zu finden wäre. Stell sich nur einer for pfSense auf der FritzBox beim NoB zuhause.  ::)

    Auf gehobene Geräten für Profis und Fortgeschrittene aber jederzeit gerne. Zuerst würde ich aber gerne mehr angepasste und passiv gekühlte HW sehen. Auch in 19". Ein APU2C4 kann nicht das max darstellen.


  • Moderator

    @2chemlud

    Langsame Anbinding hin oder her, wenn ich mir einen Raspi an mein Notebook pappe für unterwegs bekomme ich den 3er sicher nicht mit etwas Router/Firewall-Gedöns an seine Grenzen mit einem UMTS USB-Stick oder über das eingebaute Wifimodul.

    Wut? Na klar bekomm ich den ans Maximum ;) Ich weiß ja nicht wo du unterwegs bist, aber mein Laptop ist auch bei Kunden o.ä. im Einsatz und da klemm ich mich an Gigabit an. Und da wärs uncool, wenn ich dann nur 300-400 MBit drüberbekomme wenn ich mehr brauche. Deshalb finde ich sowas wie nen Raspi als Basis zwar nett, aber noch nicht wirklich toll. Da geht mehr, denn was brauche ich bspw. an so einer "mini-Firewall" noch großartige USB, Video o.ä. da kann gern noch abgespeckt werden, Konsole reicht bspw. und zwei Netzwerk Ports mit ein-zwei USB würde genügen. Aber die Interfaces an USB anzudocken ist nicht ganz so schön.

    Ansonsten bin ich natürlich bei dir, für ein bisschen WLAN/100MBit unterwegs wenns nur um Internet geht, wäre so ne mini-Appliance "to go" mit 2 Netzports zum Durchschleifen natürlich großartig.



  • nicht nur das  https://twitter.com/gonzopancho/status/730205682159357952  wie Athurdent schrieb
    sondern auch hier  https://twitter.com/gonzopancho/status/715084162294792192

    Und jwt/gonzopancho hat einmal gepostet, dass er einen ganzen Batzen BeagleBone Blacks aus einem Grund im Lager hätte.
    gefunden:  https://forum.pfsense.org/index.php?topic=87983.msg507567#msg507567

    https://forum.pfsense.org/index.php?topic=59718.msg561718#msg561718





  • @JeGr:

    @tpf

    Schon allein durch die neue Rechtssprechung zum Thema (freier) Firmware auf Geräten die WLAN können (das Thema war ja gerade erst eine der Säue, die man durchs Dorf getrieben hat), wird ein breiter Einsatz jetzt eher nicht wahrscheinlich IMHO. Aber es wäre trotzdem interessant, wenn pfSense sich damit zu einer Art Alternative zu DD-WRT und Co mausern könnte, wobei gegenüber den Linux basierten Systemen der Einsatz auf WLAN Geräten jetzt trotzdem eher nicht so optimal ist (da fehlender Treibersupport).

    Ja, ein Ärgerniss! Ich bin auf die Zukunft gespannt. Ob DD-WRT wohl stirbt?



  • Ich raffs nicht. Einer redet vom Winnow Max -was in fakt ein Intel Atom Board, und alles andere als Max ist- wieder einer vom BeagleBone Black und ein anderer twittert von einem Pi Zero verschnitt. Wie auch immer, ob x86_64 oder AArch32, für beide gilt KEIN AArch64 bzw ARMv8(-A) wie es auch noch heißen würde, und sich nach aktuellem Stand auf die Cortex-A53, Cortex-A57 und Cortex-A72 bezieht. Das stellt sich mir die Frage erneut: Ist jetzt was für die 64Bit Multicore Cortex geplant oder … ?

    ???

    EDIT:\ WRT stirbt bestimmt nicht, dazu ist es viel zu verbreitet (die ganzen NAS usw basieren ja auch darauf). Aber ein bisschen mehr BSD auf' Markt würde dennoch nicht schaden. Obs pfSense sein muss? Frisst ja doch einiges an Performance, und dann auch noch so kompliziert und in einer 'Fremden Fach-Chinesischen Sprache'. ich denke da hat OPNsence bessere Chancen.  ;)


  • Moderator

    Wie auch immer, ob x86_64 oder AArch32, für beide gilt KEIN AArch64 bzw ARMv8(-A) wie es auch noch heißen würde,
    und sich nach aktuellem Stand auf die Cortex-A53, Cortex-A57 und Cortex-A72 bezieht. Das stellt sich mir die Frage erneut:
    Ist jetzt was für die 64Bit Multicore Cortex geplant oder … ?

    Die entsprechenden Links die uns bekannt sind, haben wir hier doch nun zusammengetragen oder? Man kann lesen, dass es sehr wohl einen ARM Port gibt. Dass das jetzt vllt. noch kein ARMv8 oder whatever sein mag, kann ja sein, aber man sieht ja durchaus, dass da Drive dahinter ist und das kommen wird (und zumindest mit ersten kleinen Projekten wohl sehr bald einschlagen wird). Worüber beschwerst du dich denn jetzt? Mehr als die Quellen, die genannt wurden und dass im Blog bereits mehrfach geschrieben wurde, dass man sehr an ARM interessiert ist und da aktiv mit involviert ist, kann dir nur jemand vom Entwickler-Team beantworten.

    Aber ein bisschen mehr BSD auf' Markt würde dennoch nicht schaden.

    Stimmt, ist aber eh schon sehr stark vertreten. Hast du Ahnung, wo überall (Free)BSD drin ist? Stichwort Juniper et al...

    Obs pfSense sein muss?

    Das sagt ja keiner, aber größere Plattform/Verbreitung hat noch keinem geschadet :)

    Frisst ja doch einiges an Performance

    Bitte was? Was an pfSense "frisst" denn Performance!? Also ohne Beleg ist das wieder nur so ein "hab ich gehört"... Ich kann hier mit pfSense zumindest auf Geräten wie NCA-1010 oder APUs zumindest mehr wuppern als bspw. Cisco mit der kleinsten ASA (zulässt). Das würde ich nicht als "frisst Performance" bezeichnen :o

    und dann auch noch so kompliziert und in einer 'Fremden Fach-Chinesischen Sprache'

    :o Von was reden wir jetzt denn? :o Eine Firewall bleibt eine Firewall. Das hat ja jetzt nichts mit Fachchinesisch zu tun. Das ist jetzt wirklich ein wenig "blah". Wenn du da konkret ein Problem hast, dann lass uns doch wissen, was genau, dann kann dir auch sicher jemand weiterhelfen. Aber wenn man mit Netzwerk und Gateways arbeitet, muss man sich auch mit den Termini auseinander setzen.

    ich denke da hat OPNsence bessere Chancen.

    Und OPNsense ist ein Fork. Dass der jetzt super-duper-weniger Fachspezifische Wörter hat, wage ich zu bezweifeln...  ::)



  • :-[ Wen du meinem Text irgendwas Vorwurfsvolles oder gar Beleidigendes entnommen hast tut mir das Leid. Was auch immer es war, es war bestimmt nicht so gemeint. Ich war bloss verwirrt weiss ich doch absichtlich auf [url=https://en.wikipedia.org/wiki/ARM_architecture#ARMv8-A]diesen Technologiesprung hingewiesen habe, und es Plötzlich mit was anderem zu tun hatte.

    Was die Verbreitung angeht, so stütze ich mich diesbezüglich auf meine Langjärigen, und nicht immer tollen Erfahrungen mit Linux. Da war wie hier erst auch noch alles gut, wir waren unter uns, wussten wo wir suchen mussten und wussten was RTFM hies. Dann muss alles möglich zwecks Vereinfachung zu nem Mickey Mouse Toy umgearbeitet werden. Das war erst gar nicht mal so übel, das eine oder andere wurde ein bisschen einfacher. Doch dann wurde es DAU-Tauglich, und nachdem auch noch Vista die Windows Anhänger verscheuchte, hatten viele Foren ein Problem das sie zuvor so nie hatten. Es wurde plötzlich VERLANGT das man was sehr simples mit Bild und Ton zu erklären hätte. Die Foren waren voll mit Lese- & Lern-faulen DAUs, und das sind sie Heute noch. Die folge davon ist das nur noch 'OPNsence' gibt, und selbst dies als ZU kompliziert angesehen wird. Daher ist es mehr ein Wunsch, aber auch ein Rat, dieses Klientel möglichst denen zu überlassen, die es anlocken wollen. So das pfSense möglichst für die Sorte Admins bleibt, die es jetzt schon nutzen.  ;D

    Bezüglich Performance kann ich halt nur aus meinem Erfahrungsschatz sprechen, und der geht auch nur bis auf V 1. irgendwass zurück. Ich weiss halt nicht wie du das machst, aber bei mir war pfSense immer deutlich belastender als z.B. eine m0n0wall. nach PIII und P4 darf ich nun meine permanent überlastete Z530P gegen eine APU2C4 in Rente schicken, und fürchte das ich auch den Nachfolger -zugunsten der Performance- nicht so einrichten kann, wie ich das schon länger gerne würde.  :-\

    Noch was? Ah ja Juniter. Nein sorry, sagt mir gar nix. Keine Ahnung.  ???


  • Moderator

    :-[ Wen du meinem Text irgendwas Vorwurfsvolles oder gar Beleidigendes entnommen hast tut mir das Leid. Was auch immer es war, es war bestimmt nicht so gemeint. Ich war bloss verwirrt weiss ich doch absichtlich auf diesen Technologiesprung hingewiesen habe, und es Plötzlich mit was anderem zu tun hatte.

    No offense taken - ich habe da nirgends eine Beleidigung rausgelesen, bin/war aber zurecht verwirrt darüber, dass wir von ARM plötzlich bei BSD allgemein und dann plötzlich beim Thema "alles zu kompliziert" und "OPNsense ist besser" waren. Das sollten auch die :o ausdrücken, denn den Gedankensprung konnte ich - obwohl ich selbst manchen großen Sprung mache - wirklich nicht nachvollziehen.

    …zweiter Absatz...

    OK jetzt wird das etwas klarer. Allerdings muss ich sagen, dass ich es an der Stelle nicht wirklich "dramatisch"/schlimm finde, wenn komplexe Technologien einfacher zugänglich gemacht werden. Warum auch nicht. Ich kann heute trotzdem noch auf meinem Linux größtenteils Console-only Hardcore arbeiten. Nur weil es jetzt optisch/GUI-mäßig einfacher wurde und nun auch Anfänger Linux nutzen können, hat das System für mich nicht wirklich schlechter gemacht. Und das ist auch bei BSD oder pfSense meiner Ansicht nach nicht so. Aber das ist IMHO ;)

    Über OPNsense an sich kann man gerne denken was man möchte, die Weltuntergangsprophezeiungen, die damals durch die Foren/Chats/Boards getrieben wurden, dass pfSense jetzt kommerziell, closed source und was weiß ich nicht alles werden, sind zumindest nie eingetreten. Und schlußendlich hat das "wir spalten uns jetzt ab und machen erstmal fancy GUI stuff" dazu geführt, dass pfSense nun recht schnell endlich ein Bootstrap Theme bekommen hat, was nicht nur m.E. gut aussieht, sondern auch sinnvolle Funktionen mit anbietet (Regeltabellen mit Kommentarzeilen? Yay! \o/)
    Ein paar "religiöse" Fanatiker gibts sicher hie wie da, wenn die "Prediger" und "Missionare" aber in ihren eigenen Lagern bleiben dürfen Sie da gern schreiben was sie wollen. Ich finde es nur nicht schön, wenn man woanders Frust-Posts ablässt à la "der pfSense Mist ist totaler Crap, nachdem ich jetzt x Tage da rumgemacht hab, ist das Scheiße, ihr alle doof und ich nehm jetzt OPNsense, weil das eh viel besser ist". Und ein klein wenig klang dein einer Absatz oben danach ("Hier ist alles zu kompliziert, OPNsense ist besser... blah"). Da schaltet sich inzwischen mein Brain-Profanity-Filter ein denn ich bezweifle tunlichst, dass nach dem 2.1er Fork auf dem OPN basiert, plötzlich alles anders und viiiiiiiiel einfacher ist, zumal die Begriffe ja die gleichen bleiben. Kann man drehen wie man will, aber Routing wird nicht durch I18N plötzlich zu Wegfindung wie in gruseligen Google-Translate-GUI-Übersetzungen mancher Billig-Router :D

    Bezüglich Performance kann ich halt nur aus meinem Erfahrungsschatz sprechen, und der geht auch nur bis auf V 1. irgendwass zurück. Ich weiss halt nicht wie du das machst, aber bei mir war pfSense immer deutlich belastender als z.B. eine m0n0wall

    Deutlich belastender als was? Eine M0n0 war auch immer vollständig anders aufgebaut und hatte eine ganz andere Paketauswahl. Die Aussage wäre in etwa wie "pfSense ist belastender als IPCop". Bisschen weiter weg weil Linux vs FreeBSD, aber auch nicht aussagekräftig. Was belastet denn was? Klar, wenn ich die ganze Zeit auf der GUI rumklicke ist pfSense vielleicht belastender als ein System was rein CLI based ist. Aber ich verstehe da die "Performance" nicht? Werden dadurch deine Bandbreite kleiner? Anzahl Pakete pro Sekunde geringer? Was ist hier deine Metrik für "Performance"?
    Ich habe im Heimlabor noch eine alte FW-7535 von Lanner stehen. Atom D-510. Die rennt schon seit Jahren von v1.23 bis jetzt v2.2.6. Ist schnell genug wenn ich mal auf die GUI muss. Aber ansonsten interessiert mich da nur "PPS" (Pakete pro Sekunde) und "Througput" also MBit Durchsatz. Und vielleicht noch IPSec Performance. Und zu den Faktoren sehe ich, dass ich mit der zigarettenschachtelgroßen NCA1010 (Atom E Serie) locker mehrere 100 Mbit/s wuppen kann. Und dank AES-NI auch noch mit starkem IPSec/VPN arbeiten kann. Mit C2358/C2758 Atom Kisten (die ebenfalls nicht so High-Power sind) schafft man Gigabit verschlüsselt via IPSec.

    Deshalb verstehe ich da deinen "Performance" Punkt so gar nicht. Sag mal ein paar Werte/Metriken die da interessant sind :)

    Juniper - nicht Juniter - ist einer der großen Firewall/Netzwerk Player. Deren JunOS bspw. basiert ebenfalls auf FreeBSD: https://en.wikipedia.org/wiki/Junos_OS
    Borderware, Checkpoint (IPSO), Citrix Netscaler, Cisco Ironport, etc. - alles FreeBSD. Und das ist nur Security/Network Stuff. Wenn man da bei Storage und Co nachsieht, gehts noch weiter. Insofern sind die BSDs oft weiter verbreitet als man denkt ;) Stichwort Apple MacOS :)

    Grüße



  • Danke JeGr

    Hab eben gesehen das sich was bewegt…  ;D 8)

    https://twitter.com/gonzopancho/status/738818738431139840

    https://www.pine64.com/product