Ankündigung zum nächsten Release

Exordium

Verstehe das Drama jetzt nicht so. Die CE bleibt doch! Wir haben eine Top-Firewall zum NULL-Tarif, die gewartet und supported wird. Für die Firma freut es mich, wenn ich für ne Handvoll Dollar eine +Version einkaufen kann. Auch die Scheffs sind dann meist "zufriedener" wenn ein bisschen Kommerz dabei ist. Für @home gibts dann vermutlich auch eine Basislizenz die eine kostenlose Nutzung der +Version für Privat gestattet!? Bevor ich mir die Frickel-Sense von "nebenan" installiere, ziehe ich lieber den Internetstecker ;-)

viragomann

@exordium said in Ankündigung zum nächsten Release:

Bevor ich mir die Frickel-Sense von "nebenan" installiere

Ich bin da nicht so nah dran, habe aber den Eindruck, dass dieser Ausdruck heute nicht mehr zutreffend ist.
@JeGr könnte dazu aber Genaueres sagen.

JeGr

@beerman said in Ankündigung zum nächsten Release:

Haben ja leider auch kaum Features einer sog. NG-FW, die andere schon jahrelang haben.

Die da wären? Das ganze Thema "NGFW" oder "next generation" ist m.E. eh Augenwischerei und viel Marketing Bullshit. IDS/IPS? Funktionieren heute dank SSL/TLS und mehr Verschlüsselung kaum mehr sinnvoll weil die Signaturen den Traffic nicht lesen können. Zumindest nicht den verschlüsselten Part. Da bringt es mir nichts dass die Payload "0x08151234" als böse wegen WebInjection/PHP-Shell o.ä. erkannt wird - wenn sie dank HTTPS gar nicht erst gesehen wird :) Da ist leider - verständlicherweise - bei den Herstellern viel Bullshit Bingo am Start. Ähnlich wie bei den VPN Providern ;)
Ich hab zumindest keinen Kunden der klagt, dass es Feature X wie bei Firma Y nicht gibt, im Gegenteil. Wir haben eher mehr Features (wenn man weiß wo), als kommerzielle Anbieter. Wenn man nicht gerade Sachen rannimmt, die sich schlicht nicht vergleichen lassen.

@beerman said in Ankündigung zum nächsten Release:

Wurde eigentlich etwas über die Packages, wie z.B. IDS/IPS, pfBlockerNG usw.) gesagt? Wird es die dann in der Form so weiter geben in pfSense+?

Pakete sollen nach wie vor weiter ein Thema sein. Es gab explizit dazu das Statement dass wenn und ob Änderungen am Paket notwendig sind, Netgate selbst ggf. den Maintainern helfen wird oder sich mit einbringt, um das zu stemmen. Da gings dann aber mehr in Richtung "wenn sich der Unterbau etwas ändert" wegen API bspw. - aber deshalb waren ja u.a. auch die Mods der Paketforen wie Bill Meeks (bmeeks) der für Snort und Surricata zuständig ist mit dabei. Auch wenn BBCan (Anthony) nicht konnte, ist aber auch er informiert worden. Also zumindest scheint es bei den Zusatzpaketen nach wie vor zu bleiben. Ob man dann zwei Schienen braucht - ein Paket für CE und eins für Plus - oder wie der Unterbau dann bleibt/werden wird - das habe ich auch schon nachgefragt aber noch keine Antwort erhalten.

@exordium said in Ankündigung zum nächsten Release:

Verstehe das Drama jetzt nicht so. Die CE bleibt doch! Wir haben eine Top-Firewall zum NULL-Tarif, die gewartet und supported wird.

Prinzipiell ja. Aber die Aussagen, die sie selbst ins FAQ geschrieben haben, lesen sich da eben - und da ging meine Kritik auch hin im zitierten Beitrag - sehr dodgy. Weiterhin die Schirmherrschaft und die Idee vorzugeben ist ein Ding, aber wenn sich dann zukünftig fast ausschließlich in der Entwicklung auf die Plus Version konzentriert wird und ab und zu dann mal ein Häppchen an die CE runterportiert wird, dann ist das keine wirkliche Weiterentwicklung mehr. Dahin geht die Kritik und die Bitte um weitere Aufklärung in dem zitierten Thread der Ankündigung. Denn dazu bleibt der offizielle Tenor etwas blass. Und dass sowas nach hinten losgeht, hat man historisch an Projekten wie Nagios oder auch Oracles Übernahme von MySQL gesehen. Man konzentriert sich plötzlich auf das Business-Produkt (bspw. Nagios) und die OSS Version gammelt dann vor sich hin weil es kaum Entwickler gibt die so tief drinstecken, dass sie da was reißen können. Hat man anfangs auch bei MySQL gesehen, dass plötzlich nur noch Commits von Oracle kamen, kaum mehr was reinkam und alles so rumgedümpelt ist (5.6/5.7) bis dann sich gleich zwei Forks abgespalten haben und einige Distros MySQL rausgeworfen haben als Standard. Dann ist man plötzlich wieder aufgewacht und hat angefangen da weiter zu entwickeln (5.7/v8) aber erst nachdem genug Druck da war.

Und genau das erhoffe ich mir nicht, dass das erst gegen die Wand fahren muss, bevor es weiter geht (oder ganz einschläft).

Für die Firma freut es mich, wenn ich für ne Handvoll Dollar eine +Version einkaufen kann. Auch die Scheffs sind dann meist "zufriedener" wenn ein bisschen Kommerz dabei ist.

Aber nicht, wenn nach dem ganzen Desasterjahr 2020 mit den ganzen Fuckups aus der IT Security die Chefs plötzlich ganz stark auf dem OSS Zug sind, weil das gut ist, wenn der Code offen ist. Und das ausgewählte Produkt in der Plus Variante aber dann plötzlich closed source ist... Dann ist der (eine) Vorteil zumindest wech.

@exordium said in Ankündigung zum nächsten Release:

Für @home gibts dann vermutlich auch eine Basislizenz die eine kostenlose Nutzung der +Version für Privat gestattet!?

Jup das ist auch schön und gut. Hab ich für TNSR auch geholt. Und es ist fein, da CentOS und Co drunter zu sehen... obwohl - Mist da war doch was mit CentOS und nicht mehr weiter gepflegt und so...

Ich vermute auch dass pfSense weiter auf FreeBSD bleibt. Und trotz "closed source" weiter ähnlich entwickelt wird wie jetzt aber eben um den "plus" Part zu schützen. Kann ich alles verstehen. Aber blöd ist es trotzdem, wenn man zum Einen die ganzen Jahre mit OSS-Firewall Werbung macht und die Leute jetzt! aktuell! wirklich endlich mal soweit sind zu begreifen, dass OSS was Gutes ist in Punkto Sicherheit, Prüfbarkeit, Nachweisbarkeit gerade wenn die nächsten Crypto Wars vor der Tür stehen und jeder gern überall Backdoors haben will. Dann schafft so ein Move nicht unbedingt mehr Vertrauen.

@viragomann said in Ankündigung zum nächsten Release:

@exordium said in Ankündigung zum nächsten Release:

Bevor ich mir die Frickel-Sense von "nebenan" installiere

Ich bin da nicht so nah dran, habe aber den Eindruck, dass dieser Ausdruck heute nicht mehr zutreffend ist.
@JeGr könnte dazu aber Genaueres sagen.

Nö würde ich ganz sicher nicht sagen. Wie gesagt, die Projekte gingen auseinander und haben sich seither anders entwickelt.
Ist manches ziemlich frickelig? Jap, defintiv. Werden teils Features eingebaut einfach der Featuritis wegen? Jau, so mein Eindruck manchmal.

Aber gibt's nur Dinge zu meckern? Nö. Nur eine kleine Liste an Sachen, die ich durchaus gut/weiter ausbaubar finde:

• Control Daemon, der es mit dem letzten Release erlaubt, Aliase(?) und Regeln per Konsole anzulegen
• einfacheres Plugin-System mit dem man (mutmaßlich) schneller/einfacher mal Addons bauen kann
• Bestrebung bzw. Vorgabe, dass mit nächstem Release es kaum/keine Funktionen mehr geben sollte mit "Advanced" Textboxen wo Fließtext reinsoll, sondern nach Möglichkeit alle Funktionen/Parameter als Optionen vorhanden sein sollen, die gebraucht werden. Dadurch weniger Möglichkeit was kaputt zu konfigurieren
• Community Repo (gestartet von Michael / mimugmail) für eigene Addons die ggf. gegen die internen Richtlinien gehen (also solche Freifelder noch enthalten, quasi expert-mode-only)
• wesentlich mehr Pakete die auch größtenteils gepflegt werden
• Firewall Regelansicht (mit einem Klick in der UI An/abschalten, Logging togglen, Richtung ändern/sehen, quick/non-quick togglen) sowie bei Interface-Regeln auch out- und non-quick auswählbar um komplexere Regelsets zu bauen.
• In vielen Ecken ist das Einblenden von "automatisch generierten Regeln/Settings" möglich, damit man sieht, was wirklich aktiv ist.

Gibt natürlich noch mehr. Gutes wie Schlechtes - wie das immer so ist. Aber wesentlich besser wie noch vor einem Jahr oder anderthalb. Und es formieren sich auch Bestrebungen aus der Community, da mehr Involvement zu schaffen und damit auch mehr Stabilität reinzubringen.

Muss man der Fairness-halber schon sagen - es haben einfach beide ihre Daseinsberechtigung. Auch wenn ich sagen darf, dass mir allein unser Forum um Längen besser gefällt (wegen der User/Fragekultur hier - aber auch weil die Forensoftware steinalt ist )

slu

@jegr

Du kannst das sicher beantworten:
Wenn ich das richtig verstehe ist der Code bei opnsense gleich, sobald man die Support Version kauft gibt es aber noch Extras dazu, richtig?
Der Preis ist okay, würde ich sofort buchen.

Ich störe mich bei pfSense nach wie vor an dem Code split.

wkn

Bei TrueNAS/FreeNAS hat man vor Kurzem den genau umgekehrten Weg eingeschlagen. Man hat die Codebasis der Community und Enterprise zusammengeführt (vornehmlich wohl auf Grund der vereinfachten Entwicklung und der Test) und bietet nun darauf die CORE und die Enterprise an, mit der Maßgabe, das die Codebasis für beide Versionen zusammen fortgeführt wird.

Warum für pfSense es jetzt anders laufen soll, man wird sehen, wo es dann in Zukunft hinführt.

Exordium

Genau. Abwarten, Tee trinken, lecker Keckse reintunken ;)

Ich bekomme deswegen keinen Stress momentan. Vielleicht gibts ja nen fork, der auf der letzten CE dann basiert. pfSenseplusplus. Und alle ehrenamtlichen Devs gehen mit. OwnCloud -> NextCloud war ja auch sowas damals. Bei der OwnCloud passiert so gut wie nix mehr. Die Developer sind fast alle umgezogen. Nur noch Bugfixes, tote Community... So was wünsch ich uns jetzt nicht. Ich bin mir auch fast sicher, dass je nach Response hier und da am derzeitigen Plan noch gefeilt wird. Letztendlich haben sehr viele Privatanwender/Admins (so wie ich) dat Dingens ja auch in der Firma etabliert. Einfach deswegen, weils tolle, freie Software ist. Ich beobachte einfach die Situation und werde ab und zu Jens interviewen ;)

Exordium

@jegr said in Ankündigung zum nächsten Release:

@viragomann said in Ankündigung zum nächsten Release:

@exordium said in Ankündigung zum nächsten Release:

Bevor ich mir die Frickel-Sense von "nebenan" installiere

Ich bin da nicht so nah dran, habe aber den Eindruck, dass dieser Ausdruck heute nicht mehr zutreffend ist.
@JeGr könnte dazu aber Genaueres sagen.

Nö würde ich ganz sicher nicht sagen. Wie gesagt, die Projekte gingen auseinander und haben sich seither anders entwickelt.
Ist manches ziemlich frickelig? Jap, defintiv. Werden teils Features eingebaut einfach der Featuritis wegen? Jau, so mein Eindruck manchmal.

Das meinte ich ja auch ;)
Bisserl blöd ausgedrückt. Hier passieren mir manche Dinge zu schnell und oft gibt es Features die gehören einfach nicht auf ne Firewall, sondern auf den Server nebendran. Für @home vielleicht supertoll, für den Firmeneinsatz fragwürdig.
Und auf den geliebten pfblockerNG will ich keinesfalls mehr verzichten!

JeGr

@wkn said in Ankündigung zum nächsten Release:

Bei TrueNAS/FreeNAS hat man vor Kurzem den genau umgekehrten Weg eingeschlagen. Man hat die Codebasis der Community und Enterprise zusammengeführt (vornehmlich wohl auf Grund der vereinfachten Entwicklung und der Test) und bietet nun darauf die CORE und die Enterprise an, mit der Maßgabe, das die Codebasis für beide Versionen zusammen fortgeführt wird.

Genau das hätte ich mir auch gewünscht. Momentan ist das aber hier nicht der Fall, denn so richtig will man sich nicht zu einem "Core" committen, sondern ist da in den Ausführungen sehr "vage". Auch dass die Plus Version dann closed wird, ist solala - viele interessierts nicht, manche schon. Ich habe jetzt auch noch nie ein Release selbst gebaut. In den Code aber schauen zu können und ggf. per System Patch Cherry Picking machen können um was zu testen, ist aber ein cooler Vorteil gewesen. Aber wie genau sich das dann jetzt umsetzt - da bekam ich noch keine Antwort zu. Werden wohl momentan auch ziemlich überrannt mit Anfragen.

Aber das:

* Netgate will continue providing stewardship and resources for the pfSense project, just as it has since 2012
* pfSense project code will continue to be available on GitHub, and will remain Apache licensed
  Netgate will continue to support the project with code contributions, particularly with respect to security vulnerability protection, FreeBSD related updates, common code, etc.
* While Netgate will focus most of its efforts on pfSense Plus, there will continue to be releases, snapshots, and updates of pfSense CE
* The frequency of this support will be evaluated on an ongoing basis. As an example, we already anticipate there will be a 2.6 release in 2021 to provide 1) the necessary upgrade path to pfSense Plus for instance types beyond those already covered, 2) hardware support updates, and 3) bug fixes.

Der Absatz ist halt sehr vage. Nach 2.6 kann das alles heißen denn dann gibts den Update Pfad zu Plus. Da sie dann aber schreiben, dass es weitere Releases und Snapshots geben soll - OK. Nur hatte ich auch schon die Frage gestellt: Was passiert dann bei größeren Codebase Änderungen? Plus bekommt API und CLI mit remote GUI. Und die CE? Bekommt die die Änderung? Das wäre dann nämlich der Punkt mit dem "by time the codebase will begin to differ" und dann sind wir leider nicht mehr beim TruNAS Vergleich, denn der "Core" bzw. OSS Teil ist dann signifikant anders, denn der sitzt dann auf dem alten Web/PHP Stack und der Plus Kram auf ner API mit CLI/GUI. Genau da sind einige sehr am Hadern mit der Formulierung wie die aktuell ist.

Exordium

F und A im englischen Forum:

@dennis_s will the no charge version for home and lab use be "crippled" in any way compared to commercial version ? ( ie max bandwidth supported on throughout etc) or less features ?

@longreen No...Full-featured version.

pfsense+ für Tests oder @home usage soll also der "Vollversion" entsprechen.

NOCling

Ja warten wir doch mal ab, wenn die Richtung in die der Kahn schippert dann mal wirklich fest steht, können wir immer noch mit Scheiße werfen.

Ich freue mich jetzt erstmal auf 2.5 und auch 2.6 und lasse mir das jetzt nicht durch die ganzen negativis put machen.

slu

@nocling
wir warten ab, ich denke schon das Feedback bei Netgate reflektiert wird.

Und schlussendlich haben wir viel zu wenig Infos um die Situation technisch beurteilen zu können.

Exordium

Erstaunlich gelassen nimmt man das Thema im internationalen Forum auf. Lediglich 55 Posts bisher. Ich hätte hier mit einer größeren "Empörungswelle" gerechnet.

Exordium

Ich frage mich allerdings gerade, was passiert zum Beispiel, wenn der pfblockerNG sich der Entwicklung der CE anpasst und dann Routinen und Schnittstellen drin sind, die in einer + Version durch propritären closed Source Code ersetzt wurden... und dadurch nicht mehr kompatibel zur Profi-Version ist? Ob das ganze Vorhaben wirklich ordentlich durchdacht wurde, hier zukünftig zweigleisig zu fahren?

apollo13

@exordium said in Ankündigung zum nächsten Release:

Ich frage mich allerdings gerade, was passiert zum Beispiel, wenn der pfblockerNG sich der Entwicklung der CE anpasst und dann Routinen und Schnittstellen drin sind, die in einer + Version durch propritären closed Source Code ersetzt wurden...

Das frage ich mich auch, vor allem bei einem Service wie zum Beispiel HAProxy, der ja meines Wissens durchaus viel Community-Contributions hat (bzw überhaupt da her kam). Langfristig wird dann wohl Netgate das selber machen wenn es closed-source ist…

FWIW ich hoffe nur dass man eventuell als Bezahlkunde Zugriff auf den Source hat. Funktioniert ja bei Produkten wie Gitlab etc auch. Es wird dadurch imo a) das debuggen einfacher und b) die Qualität der Bugreports besser (bzw teilweise gleich mit Lösung).

viragomann

@exordium said in Ankündigung zum nächsten Release:

Ich frage mich allerdings gerade, was passiert zum Beispiel, wenn der pfblockerNG sich der Entwicklung der CE anpasst und dann Routinen und Schnittstellen drin sind, die in einer + Version durch propritären closed Source Code ersetzt wurden... und dadurch nicht mehr kompatibel zur Profi-Version ist?

Das wird sich portieren lassen. Wenn die Basis Open Source ist, wird das kein allzu großes Unterfangen sein und sich lohnen, nachdem die Kunden dafür löhnen. Der umgekehrte Weg wäre problematischer.

JeGr

@exordium said in Ankündigung zum nächsten Release:

pfsense+ für Tests oder @home usage soll also der "Vollversion" entsprechen.

Hatte ich ja bereits mehrfach geschrieben. Die Kritikpunkte - auch im Talk am Freitag - waren ja nicht, dass Privatuser dann kein Spielzeug mehr haben, sondern dass die OSS Version ggf. auf Zeit wegfällt weil veraltet und nur ein paar Brotkrumen wie OS Update, Treiber und Bugfixes bekommt aber keine oder nur minimale Features nachgezogen werden.

@slu said in Ankündigung zum nächsten Release:

Und schlussendlich haben wir viel zu wenig Infos um die Situation technisch beurteilen zu können.

Was auch daran liegt - und auch hierfür Kritik - dass man bei Netgate selbst noch keine Ahnung hat. Es gibt noch kein Plus, außer dem Rebranding dass mit 2.5 geplant ist. Aber es gibt noch keine Version "Plus" und daher auch keine Auskunft wie das wiedergeht. Aber:

@exordium said in Ankündigung zum nächsten Release:

Erstaunlich gelassen nimmt man das Thema im internationalen Forum auf. Lediglich 55 Posts bisher. Ich hätte hier mit einer größeren "Empörungswelle" gerechnet.

...das kann auch durchaus daran liegen, dass viele NUR den Blogpost lesen und nicht die FAQ, denn - interessant - im Blog steht nirgends konkret, dass die CE so stiefmütterlich behandelt "werden könnte" oder auch was mit Release Plan der Plus oder "Closing Source" der Plus Version. Ich habe dafür schon einige auf Twitter und Co gelesen, die dann völlig perplex waren, denn für die - wie auch mich am Mittwoch - hatte sich das erstmal nicht schlimm angehört, bis dann plötzlich sich herauskristallisiert, dass man den Code dann nicht mehr einsehen kann und das auch ggf. für Plugin Autoren problematisch wird. Auch in der Hinsicht, ob man dann zwei getrennte Versionen pflegen müsste und die sich signifikant unterscheiden müssen/werden weil die Plattformen auseinanderdriften.

Und genau diese Wortwahl "auseinanderdriften", "closed source", "full focus on plus" und "we plan 3(!) releases per year" sind solche Warnindikatoren, die gerade bei einigen die Alarmlampen schrillen lassen. Denn wenn dein kleines Dev-Team 3 Releases mit Vor und Nacharbeit durchackern soll pro Jahr UND dazu noch Testen, Bugfixing, QA und Co. dann sehen einige Kollegen das auch sehr skeptisch, ob die dann noch großartig was in eine offene CE Version abforken was nicht eh abfallen würde (also OS Update, Bugfix, Treiber blah), aber du willst ja keine großen Incentives für deine Plus Version rausgeben und öffnen, dann würde das ja keiner nutzen.

Beispiel API. Wenn das Feature, was den kompletten Webstack ablösen und aufräumen würde auch in die CE käme, bräuchte niemand zwingend das coole Business Dashboard oder die Deployment Features, denn mit ordentlicher API kann ich da selbst dran andocken. Daher bin ich da gerade sehr skeptisch ob die lang runtergebetete Kiste, dass man API bringen wird und den WebStack wegwerfen wird, auch in die CE reinkommen wird. Denn das würde die Plus abwerten und wofür dann diese nutzen. Dazu kommt immer noch der seltsame Move, dass die eigene Hardware (Stand jetzt) die Plus sowieso hat/bekommt. Wie wird also 3rd Party Hardware "besteuert". Das ist alles so vage, undurchdacht und wischiwaschi wie die Aussagen im FAQ - und die nicht-antworten, die ich von Mitarbeitern bekomme, dass mich das gerade nicht so richtig froh macht.

@viragomann said in Ankündigung zum nächsten Release:

Das wird sich portieren lassen. Wenn die Basis Open Source ist, wird das kein allzu großes Unterfangen sein und sich lohnen, nachdem die Kunden dafür löhnen. Der umgekehrte Weg wäre problematischer.

Und das ist der Knackpunkt. Da der Code jetzt OSS ist, kann den Notfalls Netgate selbst nehmen, ausmisten, besser machen und in Plus packen, aber umgekehr, wird dann das "bessere" Paket auch zurückkommen? Wo ist der Nutzen dazu? (Mal als Advocatus Diavoli gesprochen) Und hat man da wirklich die Manpower zu, wenn man 3 zugesicherte Releases pro Jahr raushauen will, nebenbei noch BackPorts zu CE zu machen, die dann vielleicht inzwischen "much diverged", also ziemlich abgespalten ist?

Sehr schwierig gerade. Vielleicht wäre es sinnvoll gewesen sich diese ganzen Fragen vorab selbst zu stellen, das ganze viel gezielter auszuskizzieren und zu planen und DANN erst zu announcen und dann auch auf Fragen antworten zu können. Und nicht "das wissen wir jetzt noch nicht, das sehen wir dann wenns dazu kommt." Oder sowas wie "der Community steht es frei das Projekt weiter voranzutreiben, wir werden Steuerung, Ressourcen, Unterstützung und Code weiterhin beisteuern" - ja was? wie viel? in welcher Weise? Und: welche "Community Developer" sollen das Projekt denn weiter treiben, wenn jetzt die Mehrheit (wenn nicht gar alle) Hauptentwickler Netgate Personal sind? Makes no sense.

thiasaef

@jegr said in Ankündigung zum nächsten Release:

WiFi wird anscheinend wieder ein Thema (in welcher Art auch immer)

Wie stehen denn die Chancen, dass die Compex WLE600VX damit "out of the box" laufen wird?

Exordium

@jegr said in Ankündigung zum nächsten Release:

Makes no sense.

Schönes Wortspiel im Schlusstext...

Ich habe vollstes Vertrauen in Dich, dass Du das hier Diskutierte auch irgendwie komprimierst und Netgate übermittelst. Du hast ja (noch) den direkten Draht.

Gruß
Exo

Sachte

Moin.

Wird es die dann letzte 2.4.5p1 noch ne ganze Weile zum Upgraden geben, wenn jemand noch auf einer 2.4.4 u.ä. hängt? Oder bekommt man dann nur noch die 2.5 zu sehen?

Sorry. Ich bin noch ein... blutiger Grünschnabel :)

mfG.

JeGr

@sachte said in Ankündigung zum nächsten Release:

Moin.

Wird es die dann letzte 2.4.5p1 noch ne ganze Weile zum Upgraden geben, wenn jemand noch auf einer 2.4.4 u.ä. hängt? Oder bekommt man dann nur noch die 2.5 zu sehen?

Sorry. Ich bin noch ein... blutiger Grünschnabel :)

mfG.

Normalerweise ist das Update dann immer auf die nächste Stable. Mit Release von 2.5 stable wird das Update dann auf 2.5 angeboten, es sei denn, es wären Showstopper drin, dass man zuerst auf 2.4.lastest gehen müsste vor dem Update, da wäre mir aber grad nix von bekannt.