OPNsense ist der Wahnsinn

[monstermania]

Sehr interessante Diskussion 
Und sehr sachlich!

Das mit den Updates (insbesondere zu 17.1) ist mir auch extrem negativ aufgefallen. Mir kommt es auch so vor, als wenn man auf Krampf irgendwie die präsentierte Roadmap einhalten will. Koste es was es wolle. Dabei zählt m.E. bei einer Firewall die Stabilität mindestens genau soviel wie die Sicherheit!
Ich bin inzwischen froh, nicht die Zeit gefunden zu haben auf die 17.1 upzudaten und werden zunächst mal noch einige Wochen bzw. Updates abwarten bis ich diesen Schritt vollziehe.

Dann zum Thema Einordung der sensen (SOHO/Enterprise). Woran will man so etwas fest machen? Zum einen natürlich an der Sicherheit/Stabilität  . Ein anderer wichtiger Punkt sind aber auch die Features. So setzen die Unternehmen die ich so kenne auf UTM-Lösungen kommerzieller Hersteller. Ich kenne erhrlicherweise gar kein Unternehmen, dass eine *sense einsetzt!
Kommerzielle UTM beinhalten neben der reinen Firewallfunktion eben Dinge wie professionelle AV-Scanner und Email-Spamfilter. Auch bieten z.B. Webproxy's solcher kommerziellen Systeme ganz andere Möglichkeiten (z.B. gruppenabhängige Filterprofile, Zeitprofile, Quarantäne von Downloads, Anpassung der Sperrseite, usw.)
Wenn ich mir nur diese 2 Bereiche bei den sensen ansehe fehlt das so Einiges, was ich als Standard professioneller UTM's bezeichnen würde.
Auf der andere Seite gibt es reichlich Anwendungsfälle, wo solche Features gar nicht gebraucht werden. Wer z.B. in einem Hotel oder einem Campingplatz für hunderte Gäste WLAN anbieten will fährt mit den sensen sehr gut (Captive Portal). So etwas bieten kommerzielle Systeme nur gegen einen nicht unerheblichen Aufpreis an! 
Auch für die Filialevernetzung eignen die sensen sich m.E. sich ideal. Also durchaus Enterprise fähig. Kommt halt immer auf die genauen Anforderungen an. 

Wie nun OPNsense da Einzuordnen ist, mag jeder selbst entscheiden. Ich bewerte es z.B. sehr positiv, dass auch noch NANO-Images und x86 weiterhin unterstützt werden, da ich selbst entsprechende Hardware nutze.
Auch bin ich Dir Meinung, dass nicht unbedingt krampfhaft jedes Feature unterstützt werden muss. Lieber eine kleine feine Lösung als ein Featuremonster, dass kaum noch vernünftig supportet werden kann! Und wenn die OPNsense die 'kleine' pfsense ist. So What! Der Markt ist sicherlich groß genug für beide Lösungen.

Gruß
Dirk

[chemlud]

Der Release-Zyklus ist m.E. weniger ein Problem der manpower bei den Entwicklern als der Betatester draussen. Wenn Probleme im BSD erst nach Release auftauchen hätten ein paar mehr Leute mit z.B. IPsec in ihrer Konfiguration während der Entwicklung mal testen sollen/können. 

Also: Mehr Mitmacher, weniger Forumvollquatscher :-D

Ich nehme mich dabei selbst nicht aus, aber bin z.Z. anderweitig vollauf ausge-/überlastet... :-(

[monstermania]

Also: Mehr Mitmacher, weniger Forumvollquatscher :-D

Da hast Du wohl recht! 
Ich habe aber ehrlicherweise keine Zeit/Lust Betatester zu spielen. So etwas nervt mich schon bei unseren kommerziellen Softwarelösungen im Unternehmen maßlos.

[fabian]

Wenn man mag, kann man eine VM erstellen und die Konfiguration dort importieren - nur war für mich bei diesem Release das Testen etwas erschwert hat, war die WLAN-Unterstützung - lange Zeit ungewiss war.

Ich muss da dazu sagen, dass sich trotzdem viel mit der OPNsense machen lässt und ich sie gerade aus diesem Grund im Einsatz habe.

Fabian

[JeGr]

> PfSense sehe ich eher als... ähm.. "altmodisch"?
Altmodisch? Finde ich nicht. Gerade mit der Umstellung auf 2.3 und den Paketen jetzt, sind sie flexibler als vorher. Patch Releases wanns gebraucht wird, etwas größerer Sammlungen in Minor Releases und Steppings wie 2.4 wenn sich größere Sachen ändern sind vielleicht nicht neu und hip, aber altmodisch sicher nicht OK wir könnten die 2. streichen und machen einfach v3, v4, v5 etc. wie Chrome das ist dann vielleicht hipper

> Zusammenfassend muss ich sagen, dass mir die "Security Patches" alle paar Wochen sehr gut gefallen
Dito, wie bei pfSense ebenso

> nur die Upgrades alle 6 Monate noch viel zu "erzwungen" wirken. Ich bin auf jeden Fall gespannt.
Jep, genau, da finde ich das noch recht überschaubare Team einfach entwicklungstechnisch überfordert bzw. gibt es einfach viele Probleme die durch beschränkte Test-Cases gar nicht entdeckt werden. Es wird eben allerlei Hardware eingesetzt und man kann nicht auf allem testen. Und so lange die Community noch klein und das Team ebenfalls (und jung), gibt es nicht so viele Rückmeldungen aus der Community was Testing angeht.

[franco]

Das wird jetzt doch etwas schwierig hier.

Ich denke "erzwungen", oder vielleicht auch "verlässlich" ist angenehmer zu handhaben für den Nutzer als eine Version 3.0 in Aussicht zu stellen, die auch nach 2 Jahren keinerlei Anzeichen macht: Netmap/DPDK Integration, kein PHP, ein MVC Framework, eine API, etc. Aber das ist nur meine Meinung.

Beide Projekte haben ihre Probleme und Vorteile. Manche sind selbst gemacht/gewollt. Vieles ist bedingt durch die Team-Strukturen und Laufzeit. Am Ende jedoch zählt was der Nutzer für seine Zwecke einsetzt und dass dieser mit der Wahl glücklich ist.


Grüsse
Franco

[franco]

PS: Ein offenes, freundliches und produktives Community Management ist alles was ich jemals wollte für *sense. Ob wir das jetzt hier erreicht haben oder nicht muss jeder selbst entscheiden. Bereuen kann ich die Entscheidung für den Fork jedenfalls in dieser Hinsicht nicht. Ein anderer Weg wurde uns nicht gegeben auf Basis der Projektwurzeln die wir weiter kultivieren (FreeBSD, m0n0wall, BSD-Lizenz). Und jetzt sagt nicht, dass hat sich nicht positiv auf andere ausgewirkt.

[Oxygen61]

Altmodisch? Finde ich nicht. Gerade mit der Umstellung auf 2.3 und den Paketen jetzt, sind sie flexibler als vorher. Patch Releases wanns gebraucht wird, etwas größerer Sammlungen in Minor Releases und Steppings wie 2.4 wenn sich größere Sachen ändern sind vielleicht nicht neu und hip, aber altmodisch sicher nicht

Ich hatte vergeblich nach nem Adjektiv gesucht. Altmodisch is da sicher das falsche Wort, aber es wirkte halt zu der Zeit wo ich anfing mich in die Systeme einzulesen im Gegensatz zur OPNsense wie der "altmodische Vater". Klingt etwas komisch aber so kam es mir eben vor, gerade auch als OPNsense ein Feature nach dem nächsten raus brachte und mit der Code Überarbeitung und der überdachten Security Infrastruktur für die GUI halt Meilensteine setzen wollte (und auch hat vielleicht?) ohne die pfSense hier schlecht reden zu wollen.
Hip sind die Sensen einfach mal schon alleine deswegen, weil sie nicht Mainstream sind. Hehe 

Jep, genau, da finde ich das noch recht überschaubare Team einfach entwicklungstechnisch überfordert bzw. gibt es einfach viele Probleme die durch beschränkte Test-Cases gar nicht entdeckt werden.

Überfordert? Findeste echt?  Das Gefühl hab ich jedoch nich. 

>[...]Und so lange die Community noch klein und das Team ebenfalls (und jung), gibt es nicht so viele Rückmeldungen aus der Community was Testing angeht.

>Der Release-Zyklus ist m.E. weniger ein Problem der manpower bei den Entwicklern als der Betatester draussen.

Das schon eher. Das wird auch der Grund sein, warum die Updates und Upgrades holprig laufen.
Es wechseln ja schon viele von M0n0wall und pfSense zu OPNsense. Das sieht man ja in den Forenbeiträgen ganz gut. Trotzdem: Die Masse machts und solange OPNsense noch im Aufbau ist, technisch wie auch Community bezogen wird sich noch vieles zum positiven ändern. Davon bin ich überzeugt.

Außerdem.. war das nicht so, dass die Entwickler der OPNsense vorher mal bei der pfSense mitgemacht hatten?
Oder meintest du "jung" vom Alter her? 

Schöne Grüße
Oxy

[Pimmal]

Also mein Grund zu OPNSense zu wechseln war dass PfSense im HA mit Limittern abschmiert. (Bug)

Ahoi und Grüße!

Da ich momentan beides nutze, frage ich mich: was funktioniert denn so viel viel besser als vorher!? Für die meisten normalen Anwendungsfälle hatte ich bislang kaum großartige Unterschiede, was keinesfalls schlecht ist, aber auch nicht diesen Überschwang hervorrufen dürfte