Messages

The configd socket wasn't there it seems. You always seem to trigger daemon-related issues with your setup, but I'm not sure why. It is mostly harmless, except that it doesn't reload the new settings. A reboot should fix this. A couple of tweaks went into 15.1.8 that may make this go away, otherwise we'll have to debug with a microscope.

I'd like to move the files to its proper target destination before merging them to avoid thousands of lines of movement in the history. I like both suggested directories. Since it's only for the GUI we can certainly get away with /usr/local/opnsense/locale.

Ike, do you have any generation tools/scripts that maybe need to go into tools.git or core.git to make it easier for others to work on translations as well?

Yes, love the progress! :)

FreeBSD 10.1-STABLE will, however, install and boot just fine.

Is this FreeBSD 10-STABLE (if so, which date or commit) or FreeBSD 10.1-RELEASE? They are different.

Hallo zusammen, ich habe einen Bug-Report erstellt, da der Fehler aus dem Crash-Reporter etwas suspekt ist:

https://github.com/opnsense/core/issues/105

Was anscheinend passiert ist, dass das Interface zwar da ist aber nicht gesetzt wird, dann also nicht gefunden wird bei der Einrichtung. Das hängt dann bestimmt mit dem Fehlen auf OPT1 zusammen. Ich werde dies an Ad weiterleiten, der diesen Code kürzlich neu geschrieben hat.

Ja, wird immer wieder nachgefragt. Zwar eher von der kommerziellen Seite, aber mit API hätten wir einen sehr guten Schritt in die richtige Richtung. Es wäre dann sogar möglich, dass andere diese Verwaltungssoftware bauen können nach ihren eigenen Vorstellungen. Das Thema bleibt spannend.

Hi Ike,

how is it going, do you need any help with the infrastructure or commits merged into core.git?  Keep up the good work. :)


Cheers,
Franco

Hallo chol,

Ich sehe es aber durchaus als Reaktion auf das OPNsense Project. Und das ist gut so.

Das sehen wir auch so. Wir sind diese Woche alle am gleichen Tisch hier im schönen Holland und haben den letzten Monat besprochen und für den nächsten geplant. Unser Fazit ist: wir haben viel bewegt, uns definiert und werden damit (u.a. mit dem heutigen 15.1.8 ) auch weiter fahren unbeirrt im Kurs. :)

#2 was hat es mit der Ubuntu Namensmimikri auf sich?

Die Namen gibt es noch immer, aber diese sind lange nicht so präsent wie wir gedacht haben. Ob sie bleiben oder nicht werden wir sehen. Zufrieden sind wir allerdings mit der numerischen Versionierung, auch wenn wir hier noch experimentieren und machmal die Versionen zu lang werden. ;)

Ob sich das alles noch ändert bleibt offen. Wir haben jedenfalls keine Angst davor etabliertes einzureißen, gerade um Dinge einfacher oder deutlicher für unsere Nutzer zu gestalten.

#3 FreeBSD 10.0 Problem: Unterstützung bis 02/2015

Das war ein guter Sprint. Ich sag jetzt einfach mal dreist, dass wir das selbe auch ganz schnell mit 10.2 machen können, damit man dann auch sieht, dass das kein "PR Stunt" oder Hinterherlaufen ist. Leider ist 10.2 erst im Herbst verfügbar soweit ich hörte? Schauen wir mal...

#1 gibt es Planungen, OPNsense von Phalcom/PHP wegzuführen?

zu #1 ist zu sagen, dass dies gerade von pfSense angestrebt wird. Wird sich zeigen ob Franco, Ad und Jos , neben dem OPNsense Python backend auch auf ein sichereres MVC webframework der 3. Generation wie etwa das 3.0 Python basierte Django (http://en.wikipedia.org/wiki/Django_%28web_framework%29) umsteigen werden?

Moment, Phalcon ist neu und genau wie Django 3.Generation um bei der Terminologie zu bleiben. Es ist unserer Meinung nach unmöglich den PHP Code komplett einzureißen und ein neues Framework mit neuer Sprache zu bauen. Das kostet Jahre. Jahre die nicht überbrückt werden können mit Zwischenlösungen. Was also mit anderen Projekten passieren könnte ist, dass eine "richtige" Version parallel ewig entwickelt wird aber niemals korrekt getestet wird, weil den Nutzern zu viele Features fehlen und dann "nebenbei" eine Legacy-Version gepflegt wird die weiterhin von allen genutzt wird. Man sieht deutlich, dass es auf 2 parallele Projekte hinausläuft. Wenn man dann noch annimmt, dass die Legacy-Version sehr viel Pflege und Modernisierung braucht könnte man zu dem Schluss kommen, dass das nur bedingt machbar ist auf die Jahre gesehen.

Unser zweigleisiger Plan sieht so aus:

* PHP bleibt, aber der alte statische Code wird Schritt für Schritt ins MVC migriert. Das Config-System ist schon umgeschrieben und vereint und erscheint heute mit 15.1.8. Das heißt die Basis für alte und neuen Code ist nun gegeben. Was als nächstes passiert ist eine Portierung des statischen Codes in eine modularisierte Variante. Das bringt weniger Code der gleichzeitig besser strukturiert ist und daher wird es einfacher für andere mitzuarbeiten. Das hat noch nichts mit Sicherheit zu tun, sondern ist eine vernünftige Grundlage. Ganz nebenbei ist PHP/Phalcon sehr schnell und im Vergleich mit z.b. Python/Django ähnlich schnell und umfassend: http://vschart.com/compare/django/vs/phalconphp

* Python ersetzt den alten check_reload_status Daemon, der für Hintergrundaktivität genutzt wurde. Daraus wurde kürzlich "configd", der nun weiter ausgebaut wird um mehr Systemkonfiguration zu übernehmen. Das führt Schritt für Schritt zu einer Situation in der das "schwache" PHP weniger privilegierten Code für die Systemkonfiguration ausführen muss. Der Frontend-PHP-Code bleibt aber erhalten. Wenn dies ausreichend vorangeschritten ist können wir PHP die Root-Rechte entziehen, weil es diese dann nicht mehr braucht. Sicherheitsproblem gelöst! Na, ja, zumindest eins davon. ;)

Diese Schritte ermöglichen es uns jede Woche Releases herauszubringen, die etwas besser sind als die Woche zuvor und gegen Ende des Jahres haben wir dann den Löwenanteil erreicht, vielleicht sogar eine REST API und weitere Security-relevante Dinge wie LibreSSL oder aber ein neues modularisiertes Package-System als Nebenprodukte eingearbeitet.

Andere OPNsense pace-marks:

pkg(ng)
opnsense-update
LibreSSL

.. thank you and go on guys!  :)

Auf die bin ich besonders stolz. :) Vielen Dank auch im Namen von Jos, Ad und Robert.

@ristridin  Danke! :D

Indeed, I'll be back on Friday. We've found that today's 15.1.8 will be a huge step forward in this direction. Stay tuned. :D

Roles and packages are different things. The new ACL will support controller/action based access. So you can view certain functions or not at all, or set fine-grained read/write access through individual controller actions.

Packages in OPNsense will be as follows: the install media is pretty small and will only install the minimal base system. Afterwards, you'll be able to pull packages through the GUI much like pfSense does it, but with FreeBSD's native pkgng system. The key difference will be that we do split down the current base version in installation base, official packages, and unofficial packages from the community.

While all of this seems logical and some may have talked about it for years, actually doing it in a way that it works as simple as possible is the hard part we will definitely focus on getting right. :)

I saw OpenBSD requesting donations to push Networking Stack SMP support, which I still think is one of the main problems with OpenBSD, the diverge of pf(4) and so on. Let's see if that changes now...

Hallo Chris,

habe für das Port Forwarding ein Ticket erstellt im Issue Tracker: https://github.com/opnsense/core/issues/100

Ist ziemlich sicher bestimmt ein Bug.


Danke für den Report,
Franco

In any case, was the summary spot on or did I miss something? :)

Hallo Chris,

ich werde versuchen das alsbald nachzustellen, aber im Moment fehlt mir die Zeit: nächste Woche werden wir gemeinsam ein größeres 15.1.8 herausbringen inklusive aller gerade aktuellen OpenSSL/LibreSSL Updates. Ich hoffe das ist so in Ordnung?


Grüße Franco

Is it therefor planned to construct a modularisation of OPNsense, with install options like small, medium, full OPNsense installs, meaning, to have a feature/service-rich or a feature/service-poor install? Not everyone needs all the features, esp. when the full install come with cluttered GUI branches and flamboyant services all not touched/needed.

I am traveling right now so I do not know what the IRC discussion is all about but I think this is more or less the gist of what we want to achieve with the new package system building on further feedback we got from the m0n0wall community:

Instead of just adding packages on top we'll start splitting off bits and pieces of the main installation into packages as well (e.g. PPTP is one such thing to hopefully appease everybody). This will severely reduce the attack surface of the standard installation and avoid feature bloat, but don't expect to suddenly get rid of a large install media as PHP and Python are needed for core functionalities as well as a standards-compliant base system (world and kernel with most kernel modules).

On top of that, again, we try to deliver fast security updates and general fixes to keep the project moving forward at a sensible pace.

I hope this helps. :)