pfSense Usergroup #003 - 2021-01-22 - 17:00

  • LAYER 8 Moderator

    Datum: 22.1.2021, ab 17:00 Einlass
    Link: https://meet.qwertiko.de/pfsense_usergroup
    PW: pfsug

    Angedachter erster Termin zur ersten Talkrunde des neuen Jahres mit neuen und alten Themen, neuen und alten Gesichtern und neuen und alten Problemen 😄

    NEU: für Android gibbet nun: https://play.google.com/store/apps/details?id=de.qwertiko.meet


  • This post is deleted!
  • Rebel Alliance

    Habe Spätschicht, kann dran nicht teilnehmen. Es sei denn, ihr haltet bis 22:30 durch. :)

  • LAYER 8 Moderator

    @mike69 Ist eh noch ein Fragezeichen, ich werds nächste Woche sehen. Vielleicht schieben wirs auch einfach noch ne Woche nach hinten auf den 15. Dann bin ich eh wieder arbeiten und aus dem Urlaub wieder richtig da ;)


  • Die zweite Woche würde für mich auch besser passen, die habe ich wieder frei, Resturlaub muss weg.

    Ggf. gehen wir dann ja mal die Vorzüge der 2.5er durch.
    Die Neuerungen vom pfBlocker in der Version 3.
    Letzt habe ich jetzt im Einsatz, mit dem normalen Unbound Mode habe ich dauerhaft 20% Last auf den Kisten, mit dem neuen mode 0,x.

    VxLAN ist auch interessant, also wann packen wir jeden Client in sei eigenes VLAN?

  • LAYER 8 Moderator

    @nocling said in pfSense Usergroup #003 - 2021-01-08 - 16:30:

    Ggf. gehen wir dann ja mal die Vorzüge der 2.5er durch.

    Jup hab ich ja geschrieben :) Kanns aber dann gern auch zeigen.

    Evtl hab ich bis dahin dann ja endlich den restlichen HW Kram da.

    Letzt habe ich jetzt im Einsatz, mit dem normalen Unbound Mode habe ich dauerhaft 20% Last auf den Kisten, mit dem neuen mode 0,x.

    Interessant hab ich bislang noch nichts zu geshene/gelesen aber sehr schön zu hören!

    @nocling said in pfSense Usergroup #003 - 2021-01-08 - 16:30:

    VxLAN ist auch interessant, also wann packen wir jeden Client in sei eigenes VLAN?

    Gar nicht, denn dafür ists IMHO weder gemacht noch momentan auf einem Stand der zu gebrauchen wäre ;) Wie man im Upstream Ticket sieht, muss da noch ordentlich was implementiert werden :)

  • LAYER 8 Moderator

    Moin,

    sorry heute wird - zumindest bei mir - nichts. Wenn ihr trotzdem meeten wollt, kann ich euch gerne aufmachen, aber ich bin zum Einen mit Migräne gerade nicht ganz so fitt und habe privat da leider auch noch was obendrauf bekommen. Gern nächste Woche.

  • LAYER 8 Moderator

    So alle zusammen: wie siehts morgen aus?

    16:30? Lieber später und dafür länger in den Abend rein? Wie ists euch lieber?


  • Ich bin wohl noch bis 17 Uhr am schaffen, dann würde ich mich mit rein hängen.

  • LAYER 8 Moderator

    @nocling Kann dann auch das eher nach hinten schieben und um 1730 aufmachen, wenn das mit dem Rest OK geht? Aber meldet sich ja gerade kaum einer 😀

    Vielleicht sollte ich noch gratis support morgen mit anbieten 😁


  • Hmm verdammt hier läuft gerade alles...

    Von dem verdammten IKEv1 mit Aggro Mode zu einer Fritz mal abgesehen.
    Mit dem Main läuft das mit der 7590 nicht stabil.

  • LAYER 8 Moderator

    @nocling said in pfSense Usergroup #003 - 2021-01-22 - 16:30:

    Mit dem Main läuft das mit der 7590 nicht stabil.

    Finde immer noch: ein Armutszeugnis in 2021. Nach all der Scheiße die SecOps letztes Jahr passiert ist, Shitrix, Forticrap etc. und AVM bekommts als deutsche Firma nicht geschissen, ne ordentliche VPN Implementation hinzubekommen. Kannste dir nicht ausdenken.


  • Naja so ein Audit kannst ja mal machen🤘

    Ja das ist wirklich traurige, aber passt irgendwie dazu das FAX auch 21 noch das wichtigste Kommunikationsmittel ist.

    Ja letztes Jahr ist mega viel Scheiße vom Himmer gefallen, wir hatten echt Glück was wir nicht in die Jauchegruben rein oder von der von oben getroffen worden sind.

    Denken uns jetzt aber auch gut viel Zeugs aus um P2P Block rein zu werfen und auf diesem Wege wenn mal was ist, den Einschlag klein zu halten, mit vertretbarem Aufwand und nicht so komplex das nur noch ne Hand voll das blickt.

  • Rebel Alliance

    @jegr said in pfSense Usergroup #003 - 2021-01-22 - 16:30:

    Aber meldet sich ja gerade kaum einer

    Doch, bin mit dabei. Aber nur Audio, NB hat keine Cam. :)

  • LAYER 8 Moderator

    @mike69 Das ja nicht schlimm, inzwischen kenn ich ja die Stamm-Pappenheimer ;) Und notfalls gibbet ja noch Chat.

    BTW: Unsere App für unser Jitsi ist jetzt im PlayStore raus. Ohne Google Analytics, Crashlytics blablubb.

    https://play.google.com/store/apps/details?id=de.qwertiko.meet

  • LAYER 8 Moderator

    Ich geh hier mal auf 17:00 weil ich jetzt gerade erst aus dem VideoCall rauskomme und noch telefonieren muss... :/

    Heute wieder ey.

  • LAYER 8 Moderator

    @jegr ach wer braucht schon Essen, Session ist auf. Bin aber noch gemutet weil noch kurz am umräumen

  • LAYER 8 Moderator

    Ah wenn Problem mit Einwahl wegen Browser - warum auch immer - dann ggf. mal Telefon versuchen?

    Dial-in: +49.721662499981 PIN: 609 726 964#


  • War sehr interessant gestern Abend, werde wieder rein schauen.


  • Ich brauch Kalender Einträge für die Termine
    Fix

    Zwar vor der Kiste aber nicht im call...

    Ärgerlich


  • Hatte mich schon gewundert, du mal nicht dabei...

    Jedenfall ging es recht emotional zu, nach den Ankündigungen seitens Netgate.


  • @nocling

    Stellen die das openSource Projekt ein?
    Oder geht's um wireguard

    Hihi


  • Das wurde weder gesagt noch angekündigt, aber einige haben die Befürchtung.


  • @nocling

    Ich glaub nicht vor e2021 wenn die community die 2.5er ordentlich getestet hat

    Wäre aber Mörder dämlich von ihnen...

    Wer wird schon emotional werden nach zyxel und SonicWall ;)


  • Die 2.5 wandelt die FE in die + um.
    Ende des Jahres soll dann die 2.6 kommen die beide Linien dann das erste mal aufteilt.
    Da kommt dann vermutlich die API.

    Ab dann soll man von der CE auf die + wechseln können.

    Und was haben die beiden jetzt angestellt?


  • @nocling

    Auf pfS+ kannst doch nur wechseln wenn netgate Hardware drunter :(

    pfS+ f small business preislich noch interessant? (wenn ich Preise finden könnte)

    Zyxel mit passwort klartext (eh schon älter)
    SonicWall seit gestern oder so aktiver vpn Breach


  • @noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

    Auf pfS+ kannst doch nur wechseln wenn netgate Hardware drunter :(

    Nein das geht später auch auf der eigenen Hardware.
    Mir gefällt die Entwicklung nicht, vor allem das sich der Basis Code unterscheidet.


  • Diese Entwicklung passt überhaupt nicht.

    psF+ mit eigener Hardware drunter wäre der Kill f die pfSce wenn die Lizenzkosten f pfS+ passen

  • LAYER 8 Moderator

    @noplan Das ist genau das Problem, was sie mit der Ankündigung und dem "Verstecken" von "Closed Source" in den FAQs haben. Die Aussagen sind so wischi-waschi bis "keine Ahnung noch", dass es ein komplettes Chaos ist.

    • FE wird zu Plus. OK.
    • Plus wird Closed Source. Äh nicht so geil?
    • We will focus our development on Plus. Auch nicht soo geil?
    • We try to commit to 2-3 releases per year. Uff was? Bislang nicht mal eines fix im Jahr und jetzt 3 pro Jahr?

    Paar Originalzitate aus dem Mod Forum:

    1. "The pfSense CE release continues" part sounds a bit vague. Code will stay(!) available -> that reads like "it stays there but we don't think we will do much". "Continue to support" sounds like "yeah we fix bugs and that's it". "Focus on pfSense Plus" reads to many as "we jump ship of the CE edition".
      So is there a bit better definition as to where the two products will diverge going forward? An explanation like yesterday with "we'll make pfSense CE a "fork" of pfSense Plus (now the other way round then before) so projects will continue both" or sth along those lines would be way easier to understand.
    • Netgate’s focus will be to develop pfSense Plus and the feature adds. Will continue to update CE with security vulnerabilities, FreeBSD updates, etc. but the release will not be the same as pfSense Plus. Today the two are the same and Plus is a fork of CE but they will diverge in terms of architecture, feature set, performance and manageability.
    1. It sounds to me now as if you'll - perhaps not stop but - slow in developing pfSense CE and go fully "Plus". And as if "Plus" will get big design changes under the hood (e.g. extract the web stack, replace with API/CLI/WebUI) that won't make the way into pfSense CE. That would play into one of the questions yesterday about how are packages maintained if codebases differ that much. How would I maintain a package, if "Plus" is giving me direct access via API layer to control my stuff from my package when "CE" has the old webstack where I have to throw around code to get my stuff into config.xml and get it to work? That was one of my main questions: Will the projects differ THAT much at one point as it makes no sense staying on the CE version or developing packages for it or will they get the big "architecture" updates too, but e.g. "Plus" will have API+CLI preinstalled and you can add UI to the box (or manage it from remote via central management, deployment, ansible/chef/salt/whatever) as where "CE" will have API+CLI+WebUI "fixed" on the box with no option to change it, but with the same architecture below so one can develop and provide support/packages the same way?
    • There’s no way for me to fairly answer this :), I do not know what features CE will get from Plus. However as these become known we will share with the community. (ausgewichen)
    1. If #6 is not happening and the projects diverge that much, that could be the point where most will lay blame on you. Because: where is the sense in running pfSense CE when it doesn't get updated or get current technologies. That would essentially mean forcing users to upgrade to "Plus". But with #3 from above (free homelab version) - the problem would mostly hit the smaller companies as home users would simply switch to "Plus Homelab Edition" or drop pfSense and use e.g. OPNsense instead.
    • Nothing says that pfSense CE or the project can’t move forward, however it will depend on the community with Netgate assisting. Like I said in 5, Netgate’s focus will be on plus while making code contributions and resources for CE. (und wer soll das dann machen?)
    1. If "Plus" is going to be closed source, how are "external" package-developers gonne contribute? Will there be an open API/interface to use for packages? Are packages going to get merged in the system itself? Are there plans that one can run custom/own packages installed manually?
    • Good question, I don’t want to speak out of turn here so let me check. (e.g. we don't have a clue now)
    1. ...pricing...?
    • Pricing has not been set, but when it is finalized we will try to brief all accordingly

    Und das macht mich gerade nicht so froh.


  • Ich weiß nicht, ob ich damit richtig liege, aber ich meine herauszulesen, dass netgate nicht möchte, dass die andere Sense noch irgendwas, was von netgate geschrieben wird, nutzen kann. War es denn bisher so, dass nach dem Fork der anderen Sense weiterhin viel vom netgate Code übernommen wurde oder gab es da einen harten cut mit der Abspaltung?
    Vielleicht war das Ganze nun schon von langer Hand geplant und deswegen gab es in den letzten Jahren nur noch so spärliche Updates? Soll wohl früher deutlich fixer gegangen sein, was ich so lese.


  • wenn dieser Schritt nicht genau geplant war, dann brauchen die bei NETGATE wirklich bessere Consulter, aber da red ich mir jetzt nicht den Mund fusselig.

    wenn der Grund für closed source der ist, den Abfluss an die Forks (zB. openSense etc. pp. usw. ) zu unterbinden kann ich dafür Verständnis aufbringen, wenn nicht sogar ungeteilte Zustimmung.

    denn die Wahrscheinlichkeit das es zwischen pfS und openS zu einem ähnlichen Phänomen wie zwischen nextColud und ownCloud kommt halte ich in einer kurzen zukünftigen Zeitperiode für sehr sehr unwahrscheinlich.

    also was bleibt.

    • yeah we fix bugs and that's it -->
      alles was nicht bug ist "paid support oder wrong software Version" --> forcing user to "Plus"

    • slow in developing pfSense CE and go fully "Plus" --->
      irgendwann und das geht recht fix, wenn die Vorgehensweise geplant ist, ist die Differnz zwischen den beiden Versionen so groß das die package-developers (intern oder extern) diese für beide Varianten nicht mehr pflegen können und eine der beiden Versionen bleibt old fashioned (unsupported) auf der Strecke --> forcing user to "Plus"

    • forcing users to upgrade to "Plus" ---->
      die kleine Fimren suchen sich (jetzt 2 Tage nach Ankündigung, die geplant haben in den kommenden Monaten eine pfS anzuschaffen) Alternativen da man davon ausgehen kann das weder die Netgate Hardware noch die Lizenz "günstig" im Sinne von es kostet gleich viel wie mit pfSenseCE

    • Pricing ----->
      du kannst mir ja viel erzählen aber dafür bin ich schon zu lange im Executive Consulting tätig um das zu glauben, die wissen ganz genau was das pricing ist, wollen es aber nicht sagen weil es ihnen so wie es den Anschein hat bereits innerhalb der Community um die Ohren fliegt. (und das bereits 2 Tage nach Announcement)

    Ich bleibe dabei der strategische KILL für die pfSCE wie sie jetzt vorhanden ist, wäre wie folgt.

    A)
    die CE wird als Fork von der PLUS betreiben, somit ist sichergestellt das kein anderer Fork (also direkter Mitbewerb davon Nutzen hat, wie das im real life mit den Lizenzen aussieht andere Baustelle) dann verrecken die Entwickler weil sie in closed source entwickeln und/oder

    B) die PLUS bekommt ein Lizenzmodell das für die Frisöse am Eck ein "no Brainer" ist und sie den Hundert Eur Schein (1Stk) ohne Support einmalig gerne auf den Tisch legt für die Software, die sie entweder aud der netgate Hardware betreibt oder auf ihrer eigenen Hardware. (das glaub ich aber nicht denn dafür sind wir alle samt zuweit im ABO Zeitalter versunken)

    und zu den Updates ...
    ja eh 3 Release p Jahr .... überlegt euch mal wie die package-developers das handeln sollen f 2 Versionen (unterschiedlich wie tag und nacht)

    Das werden spannende Zeiten, genau bis zu dem Zeitpunkt wann das pricing bekannt gegeben wird.

    Die Consulter von openSense reiben sich schon die Hände, und zählen Geldscheine ;)
    NP


  • Ich bekomme Pickel von Closed Source. Sowas möchte ich nicht haben, erst recht nicht im einem Router bzw. Firewall.

    Ich finde die Entwicklung von Netgate sehr skeptisch und bedenklich. Dann haben wir auch bald "Das Klappern der Hintertüren" wie bei Juniper.


  • @noplan said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

    du kannst mir ja viel erzählen aber dafür bin ich schon zu lange im Executive Consulting tätig um das zu glauben, die wissen ganz genau was das pricing ist, wollen es aber nicht sagen weil es ihnen so wie es den Anschein hat bereits innerhalb der Community um die Ohren fliegt. (und das bereits 2 Tage nach Announcement)

    Soweit habe ich das noch gar nicht gesponnen. Aber das

    und zu den Updates ...
    ja eh 3 Release p Jahr

    riecht wirklich sehr danach.


  • @nonick
    Fühle mich auch mit Open Source wohler.
    😞


  • du killst mit der Anzahl an schnellen Releases die Entwickler die auf 2 unterschiedlichen Plattformen (und das kann man bei PLUS und CE ruhig so nennen) nicht mehr mit dem entwickeln / pflegen / patchen nachkommen. Wenn dann 1 der beiden Plattformen leichter zu handeln ist (zb APIs ) dann ist das ein Kampf Panzer gegen Taschenmesser.

    Aus Sicht des Consulters greifts dir auf den Kopf, Zyxel, SonicWall im Bereich ITsec und von #DSGVO ganz zu schweigen usw. der ideale Zeipunkt das Alleinstellungsmerkmal openSource rasuzuhauen und zu vermarkten vor allem in Europa (siehe Nextcloud, der Vergleich passt nicht ganz da Nextcloud europäische Software und im Softwar zwischen USA und EU noch ganz anders bewertet werden muss) das ist nur leider den US Firmen egal (scheinbar)

    Die Kollegen aus den USA meinen aber auch das man neben der BWL Seite (da Netgate ja auch sicherstellen muss sein Produkt wertig zu halten) die rechtliche Seite beachten sollte, Netgate muss ja auch "Mitbewerber" ausschalten um die BWL Seite bedienen zu können.

    Der springende Punkt wird das PRICING sein.

    Wenn das passt (nicht alles muss free sein), und wir reden hier über ein Modell das sich NUR über die Masse an 1 time payed license rechnen darf (1 Stk Lizenz ohne Support einmalig 100USD pro deviceID), geht es der CE Version gleich wie ownCloud (Tote Community nur mehr bugfix) wenn die Lizenzen sich im usual range für Firmen befinden, ist der Weg zur Alternative weit offen unabhängig wie brauchbar diese ist.

    Darum kann mir keiner sagen das das C-Level Management bei Netgate nicht exakt geplant hat was da jetzt passiert.
    NP


  • Naja, die eigenen Hardware ist ja auch ganz ok und wenn ich dann hier die + oben drauf habe, die stabil rennt, ist das doch auch was.

    Ja das SG-1100 ist teurer als wenn ich das nakte Espressobin kaufe und da selber irgendwie was drauf löte.

    Mag sein das ich da gerade die Netgate Brille auf habe, wegen meinen beiden weißen Boxen, aber das war für mich sehr gut investiertes Geld.

  • LAYER 8 Moderator

    @bob-dig said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

    Ich weiß nicht, ob ich damit richtig liege, aber ich meine herauszulesen, dass netgate nicht möchte, dass die andere Sense noch irgendwas, was von netgate geschrieben wird, nutzen kann. War es denn bisher so, dass nach dem Fork der anderen Sense weiterhin viel vom netgate Code übernommen wurde oder gab es da einen harten cut mit der Abspaltung?
    Vielleicht war das Ganze nun schon von langer Hand geplant und deswegen gab es in den letzten Jahren nur noch so spärliche Updates? Soll wohl früher deutlich fixer gegangen sein, was ich so lese.

    Ne das ist quatsch, dann hätten sie die ganzen Änderungen der letzten Jahre inkl Wireguard gerade nicht in FreeBSD pushen und entwickeln dürfen. Denn das forkt sich Hardened BSD und dann Opnsense wie jeder andere Fork dann auch.


  • @jegr said in pfSense Usergroup #003 - 2021-01-22 - 17:00:

    Ne das ist quatsch, dann hätten sie die ganzen Änderungen der letzten Jahre inkl Wireguard gerade nicht in FreeBSD pushen und entwickeln dürfen.

    Wireguard ist hier vielleicht nicht das beste Beispiel. Ich könnte mir vorstellen, dass man dies nicht einfach auf das OS aufsetzen kann, sondern dass es vom Konzept her im Kernel laufen muss.
    So gab es hier möglicherweise gar keine andere Option.

  • LAYER 8 Moderator

    @viragomann Niemand hätte sie daran hindern können, das Kernel Modul selbst zu entwickeln und statt an Upstream zu geben und im FreeBSD Tree zu entwickeln einfach als CodeFork oder direkt in ihrem pfSense Repo zu entwickeln und mit entsprechendem Copyright auszustatten. Da - könnte mich täuschen - das Rohgerüst aber BSD Lizensiert war, hätte das sich nichtmal ausgeschlossen. BSD Lizenz erlaubt explizit (siehe Apple) Entnahme von Code und Eigenentwicklung. Daher - nee, das passt halt nicht.

    Aber auch im Moderator Bereich wo die Netgate Angestellten schreiben ist die Stimmung ganz gut, es wären ja viele recht aufgeschlossen und sogar positiv und jetzt könnte man vielleicht endlich auch in die Firmen reinkommen, die bislang OSS und "Frickelkram" abgelehnt haben und lieber ordentliche "kommerzielle Software" wollen, denn bei Fortune 500 oder Top100 Unternehmen wäre das halt ein Problem blabla.

    Ja feini, dafür fliegt ihr halt bei den kleineren Firmen, SMBs und bei Companies, die Transparenz wollen und schätzen hochkant raus. Egal wie toll und fluffig und gut eure Software dann wird. Wenn ich ne Anfrage von der Land- oder Bund oder dem Medizin- oder Bildungssektor bekomme, dann ist das letzte was die feiern dass das Ding demnächst closed source wird. Und die blöde Ausrede "ja CE gibts ja weiter" - äh ja klar. Zitat Heise aus der FAQ übersetzt macht das im deutschen so richtig deutlich:

    https://www.heise.de/news/Fokus-auf-Geschaeftskunden-Netgate-kuendigt-Firewall-Distribution-pfSense-Plus-an-5033142.html

    Die Verantwortung für die Weiterentwicklung des Open-Source-Strangs legt das Unternehmen größtenteils auf die Schultern der Community: „Wenn sich die Community entscheidet, neue Features zu integrieren, diese zu testen, zu dokumentieren und Pakete zu veröffentlichen, dann wird es natürlich Fortschritt über Release 2.5 hinaus geben.“

    Wie will man die Verantwortung zur Community schieben, wenn es kaum/keinen? Entwickler vom Core außerhalb von Netgate gibt?


  • @jegr

    Und genau aus diesem Grund Stichwort CE müssen sich alle was überlegen wenn das pricing der pfS+ Lizenz nicht passt.

    Was netgate intern sehr sehr bewusst ist und mit dem sie noch gar nicht wissen wie sie umgehen ist wenn kleine Firmen mit der pfS+ home auf netgate Hardware arbeiten gleiches gilt f outposts die <5 Mitarbeiter haben oder homeOffice das ist nach USLaw alles commercial use Ergo nix mit homeLizenz Nutzung, womit wir wieder beim Thema pricing sind passt das ist alles möglicherweise OK, passt es nicht wird mit großer Wahrscheinlichkeit gewechselt.

    LG ausm VidCall zu dem Thema was wir mit den aktuell umzusetzenden Projekten machen.