OPNSense - Kritische Hinterfragung

[tomas]

Ich verfolge OPNSense nun schon etwas länger.

Immer wieder sehe ich bei Twitter auch diverse Kritik, auf die aber von OPNSense nicht eingegangen wird.
Meine Frage: Warum ist das so?

Als Beispiel nenne ich mal folgendes Twitter-Gespräch:
https://twitter.com/MacLemon/status/712278845425115136

Dort schreibt z.B. ein User, dass nichts getestet wird oder aber z.B. das der pFSense Code genutzt wird ohne jegliche Copyright Hinweise.

Ich will hier OPNSense keineswegs diskreditieren - im Gegenteil ich finde das gesamte Projekt spannend.

Vielleicht sind ja die z.B. im oben genannten Twitter-Gespräch genannten Kritikpunkte falsch (ich muss zugeben ich habe das nicht nachgeprüft!). Dann sagt es mir einfach. Dann würde für mich aber immernoch die Tatsache bestehen das auf soetwas gar nicht eingegangen wird. Von Seiten der 'Verantwortlichen'.

[franco]

Hallo tomas,

Ja, wir sind der tägliche Spot, vielleicht einfach nur weil wir diesen Fork ins Leben gerufen haben.

Es ist eine einzige anonyme Person die seit einem Jahr fast täglich die gleichen Dinge von sich gibt. In den Augen dieser Person machen wir alles falsch. Technische Diskussionen sind natürlich geführt worden, aber wurden abgewiesen und ins lächerliche gezogen von dieser Person. Es gibt da eine Menge technisches Halbwissen mit dem Versucht wurde uns einen Strick zu drehen, aber andere Projekte haben nun mal die gleichen Probleme, ob man das jetzt täglich postet oder nicht. ;)

Diese Person wurde wegen solchen Dingen schon einmal temporär von Twitter gebannt.

Diese Person verfasst Hass-Posts auf Reddit, zieht dort auch HardenedBSD durch den Kakao -- ein tolles Projekt was nur Zufällig zu uns gefunden hat. https://www.reddit.com/r/hardenedbsd/

Die Website hier haben wir dieser Person wohl auch zu verdanken: http://opnsense.com/

Diese Person ist auch dafür verantwortlich, dass unsere englische Wikipedia-Seite entfernt wurde. Dabei editiert diese Person auch noch die Wikipedia Seite eines anderen Projektes. Nun rate einmal welches...

Diese Person interagiert täglich mit dem Besitzer von pfSense und macht sich über uns lustig mit ihm.

So eine Kampagne ein Jahr durchzuhalten kostet jede Menge Geld. Das kann kein bloßes Hobby sein. Deshalb halten wir uns da raus und schreiben lieber Code.


Gruß
Franco

[franco]

PS: Wir können und werden uns gern jederzeit in einer normalen Diskussion präzisen Aussagen/Fragen stellen. Nur zu... :)

[temporaryuser]

Hallo zusammen,

Die Website hier haben wir dieser Person wohl auch zu verdanken: http://opnsense.com/

Kacke, das war ein Fehler, die .com nicht auch mitzubuchen..

So eine Kampagne ein Jahr durchzuhalten kostet jede Menge Geld. Das kann kein bloßes Hobby sein.

Ich habe mich damit ein wenig befasst und auch das hier gefunden: https://twitter.com/htilonom
Es ist verblüffend, mit welcher Energie und Leidenschaft - und offenbar auch mit sehr viel Zeit und Geld - da jemand massiv versucht OPNsense schlecht darzustellen.

Deshalb halten wir uns da raus und schreiben lieber Code.

Bravo! Macht einfach Euer Ding. Und immer dran denken: ,,Zuerst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich und dann gewinnst du."

Wobei ich es schade finde, dass es überhaupt zu einem "gewinnen" kommen muss, denn ein Fork ist nichts verbotenes oder böses und es hätte auch genau so gut für beide Projekte förderlich sein können. Aber offenbar sind die von pfSense so plemplem, dass man lieber Abstand von ihnen hält..

Ciao
temporaryuser

[temporaryuser]

Dieser Spinner scheint hier im Forum den ganzen Tag in Echtzeit mitzulesen: https://twitter.com/htilonom/status/713063716632338432

Gilt das juristisch schon als Stalking? :)

Auf Twitter unterhält er sich oft mit "Hacker S. Thomson". Wenn das Jim Thomson sein sollte, also einer der Jungs hinter Electric Sheep Fencing LLC, dann wäre solch ein peinliches Auftreten schon krass negativ für ihre Firma und stellt sie in ein nicht gerade vertrauenswürdiges Licht.... Und Vertrauen sollte für eine Firma, die Sicherheitstechnik vertreibt eigentlich an erster Stelle stehen.... Wie peinlich all das für pfSense!

[franco]

Wenn das Jim Thomson sein sollte

Ja, ist er.

[temporaryuser]

Wenn das Jim Thomson sein sollte

Ja, ist er.

OMG! Wie unseriös und hochnotpeinlich! Da kann man sich glatt fremdschämen.

Aber es bestätigt mich auch. Ich habe pfSense schon vor Längerem den Rücken gekehrt, weil ich die Stimmung dort zu negativ fand. Dabei beziehe ich mich insbesondere auch auf Jim Thompson, der des öfteren in der Mailingliste durch ein hohes Maß an Arroganz, Aggressivität und Feindseligkeit aufgefallen ist und auf manch einen Fragenden regelrecht eingeprügelt hat.

Es gab mal einen Fall, da hat einer in deren Mailingliste im Rahmen der Snowden-Enthüllungen und dem Lavabit-Fall¹ gefragt, wie es eigentlich um pfSense bestellt ist, also ob auch ihr Projekt bereits von NSA und co. kontaktiert worden ist (immerhin sitzt ihre Firma in Texas/USA) und wie pfSense die Lage generell sieht, etc. Da ist der Thompson regelrecht ausgerastet und hat den Fragenden beleidigt und angepöbelt, was ihm den einfalle, solche Fragen zu stellen, etc., anstatt sich sachlich mit der - meiner Meinung nach durchaus berechtigten Sorge des Fragenden - auseinander zu setzen.

Das hat mich stutzig gemacht und das Verhalten von Thompson hat mich an der Seriösität und Verlässlichkeit des gesamten pfSense-Projektes zweifeln lassen.

Die jetzigen Schmutzkampagnen von denen bestätigen mich darin, dass es das Richtige für mich war, das Projekt pfSense zu verlassen und mich nach Alternativen umzusehen.

Ciao
temporaryuser

¹: https://de.wikipedia.org/wiki/Lavabit

[franco]

Früher gab es ja noch solche Seitenhiebe von Jim (ein mal nach unten scrollen): https://blog.pfsense.org/?p=1773

Screenshots von OPNsense wie man es nicht machen sollte vom Juli 2015. Bootstrap 88% completed für pfSense 2.3. Na, ja, ok, ich lass das mal so stehen.

Oder aber meine liebste Email von Chris Buechler, in der er im Februar 2015 schon alles vorherahnt was an eingangs erwähnter Kampagne folgt: "OPNsense is extraordinarily shady, proceed with caution."

http://m0n0.ch/wall/list/showmsg.php?id=376/07

Ahh, ich schwelge in süßen Erinnerungen...

[Zeitkind]

Hmmm.. hatte den Krempel auch mal gelesen - und mir meinen Teil gedacht.

Vor vielen Jahren, als ich noch recht aktiv im IRC/freenode im IPCop-Channel war, hatte ich ein Problem, bei dem mir IPCop nicht weiterhalf - ich glaube es war Multi-WAN. Mein erster "Selbstbau-Router" war ein 68k-Mac mit NetBSD - so Ecke 1994. Bin also nicht wirklich unerfahren, wenn auch nicht der Crack auf dem Gebiet. Aber ich wußte schon so in etwa, was noch so auf dem Markt war und bin halt mal in den #pfsense gegangen um ein paar einfache, aber doch konkrete Frage zu stellen. Weia. Was ein Erlebnis. Arroganz, überhebliches Getue & erschreckende Unfreundlichkeit sind da noch sehr freundliche Ausdrücke für das, was ich da erlebte. Das war's dann mit pfsense für mich für sehr lange Zeit. Ich war deshalb auch sehr skeptisch, was mich hier erwartet..

Aber gut, ein Körnchen Wahrheit steckt in diesen ganzen Schmähungen drin: OPNsense würde ich noch nicht wirklich als ausgereifte Lösung ansehen. Was mir gefällt ist das Ziel, eine Lösung aufbauend auf einer Standardinstallation zu machen. Ich erlebe nu seit Jahren, wie viele dieser Lösungen sich abmühen (müssen), das System einigermaßen up-to-date zu halten, und dabei die Weiterentwicklung der eigentlichen Firewallfunktionalität zu vernachlässigen. Es ist zwar nett, eine Firewall mit LFS (Linux from Scratch) zu bauen, aber warum sich die Arbeit aufhalsen, die Debian, SuSE & Co. sowieso machen? Ich hab es nie ganz verstanden. Deshalb hege ich die Hoffnung, daß die teilweise Zusammenarbeit mit anderen Gruppen innerhalb der FreeBSD-Gemeinde dabei hilft, sich auf das Wesentliche zu konzentrieren und nicht das Rad jedesmal neu zu erfinden. Mal schaun.. ^^

[Σουπεργιούζερ]

Hallo Franco,

Früher gab es ja noch solche Seitenhiebe von Jim (ein mal nach unten scrollen): https://blog.pfsense.org/?p=1773
Screenshots von OPNsense wie man es nicht machen sollte vom Juli 2015. Bootstrap 88% completed für pfSense 2.3. Na, ja, ok, ich lass das mal so stehen.

Sehr unseriös von pfSense, finde ich.

Oder aber meine liebste Email von Chris Buechler, in der er im Februar 2015 schon alles vorherahnt was an eingangs erwähnter Kampagne folgt: "OPNsense is extraordinarily shady, proceed with caution."

http://m0n0.ch/wall/list/showmsg.php?id=376/07

Ahh, ich schwelge in süßen Erinnerungen...

Würde es Dir etwas ausmachen, dazu Stellung zu nehmen und kurz Deine/ Eure Sicht der Dinge, bzw. des Verlaufs darzulegen?

Gruß
Σουπεργιούζερ

[Σουπεργιούζερ]

Hallo,

Aber gut, ein Körnchen Wahrheit steckt in diesen ganzen Schmähungen drin: OPNsense würde ich noch nicht wirklich als ausgereifte Lösung ansehen.

Könntest Du das weiter ausführen? Was fehlt denn Deiner Meinung nach, bzw. was muss noch getan werden um OPNsense in einem Produktivbetrieb einzusetzen?

Gruß

[jstrebel]

tomas,
    "" Dort schreibt z.B. ein User, dass nichts getestet wird oder aber z.B. das der pFSense Code genutzt wird ohne jegliche Copyright Hinweise""
Finde diesen Punkt völlig unqualifiziert. Wir haben vor einigen Jahren das ganze Voucher System m0n0wall als Opensource zur Verfügung gestellt. Dies wird soweit ich feststellen kann immer noch in pfs verwendet ohne dass darauf hingewiesen wird. Das ist voll gegen die Regeln von Opensource. So wie ich die Opensource Regeln kenne muss der Opensource Code frei zugänglich sein und heruntergeladen werden können.

Vor ca 15 Monaten habe ich versuchsweise von monowall auf pfs gewechselt. Die Stabilität unserer Internetverbindung lies danach sehr zu wünschen übrig. Habe danach wieder einen Fallback auf m0n0 gemacht. Seit einem Jahr setzen wir OPNsense ein und können nicht klagen. Ich meine nicht, dass das eine oder andere (im danach noch jungen opnsense) nicht auf Anhieb voll funktioniert hat. Die Entwickler waren aber immer schnell in der Lage einen Workaround vorzuschlagen. Von meiner Seite ein volles Lob für die Hilfsbereitschaft und die Professionalität der Beitragenden. Jakob

Jakob

[temporaryuser]

Hi Jakob!

Es ist vielleicht jetzt etwas off topic, aber ich möchte das folgende nicht unerwähnt lassen, da es für alle Beteiligten wichtig ist, ein fundiertes Verständnis der Materie zu haben:

Das ist voll gegen die Regeln von Opensource.

Soetwas wie "Opensource-Regeln" gibt es nicht!

Es gibt hingegen das Copyright eines jeden Urhebers eines Werkes (z.B. Text, Foto, Code,..) und sein damit verbundenes Recht, seine Werke anderen zu den Bedingungen seiner Wahl zur Verfügung zu stellen. Im Bereich von Code stellen diese Bedingungen die Softwarelizenzen dar, die ein Urheber für sein Werk auswählt.

In der Welt von "open source" gibt es eine ganze Reihe von Lizenzen, die Autoren zur Auswahl stehen. Per Definition haben alle zunächst einmal lediglich gemeinsam, dass jemand den Source Code unter bestimmten Bedingungen EINSEHEN darf. Das bedeutet "Open Source", nicht mehr und nicht weniger (leider; dazu mehr weiter unten). Also muss man genau hinsehen, was in der Lizenz sonst noch so drinsteht, z.B. wer den Code einsehen darf und unter welchen Bedingungen, ob man den Source-Code verändern darf, weitergeben darf und an welche Bedingungen das geknüpft ist.

Wir haben vor einigen Jahren das ganze Voucher System m0n0wall als Opensource zur Verfügung gestellt. Dies wird soweit ich feststellen kann immer noch in pfs verwendet ohne dass darauf hingewiesen wird.
<snip>
So wie ich die Opensource Regeln kenne muss der Opensource Code frei zugänglich sein und heruntergeladen werden können.

Bei der Lizenz von m0n0wall (http://m0n0.ch/wall/license.php) handelt es sich offenbar um die 2-Clause-BSD-Lizenz https://en.wikipedia.org/wiki/BSD_licenses#2-clause_license_.28.22Simplified_BSD_License.22_or_.22FreeBSD_License.22.29

Wie man sehen kann, erfordert die 2-Clause-BSD-Lizenz weder dass der Source Code frei verfügbar sein muss, noch dass er heruntergeladen werden kann. Viel mehr noch: Das bedeutet nämlich auch, dass man den offenen Code nehmen kann und daraus wieder unfreie, proprietäre, Closed-Source-Software machen kann und damit die ehemals (scheinbar) freie Software wieder versklaven kann.

Ebensowenig sagt die 2-Clause-BSD-Lizenz, dass man jedes von jemandem anderen übernommene Schnipsel Code kennzeichnen muss. IANAL, aber es müsste völlig reichen, wenn an einer Stelle im gesamten Quelltext das Copyright und die 2-Clause-BSD-Lizenz vom Vorgänger aufgeführt wird.

Das alles mag Dich jetzt vielleicht überraschen, aber das ist einer der großen Kritikpunkte an den meisten "Open Source"-Lizenzen. Richtige Freiheit erlangt die Software nur, wenn man anstatt "Open Source"-Lizenzen lieber echte "Freie Software"-Lizenzen (https://de.wikipedia.org/wiki/Freie_Software) mit "Copyleft" (https://de.wikipedia.org/wiki/Copyleft) verwendet, allen voran die Urmutter der Freien Software-Bewegung, die General Public License GPL (https://de.wikipedia.org/wiki/GNU_General_Public_License).

Software, das einmal vom Urheber unter die GPL gestellt wurde, darf nie wieder von einem Dritten unfrei gemacht werden, jeder muss im Rahmen von Copyleft seine Variationen ebenfalls unter der GPL in die Freiheit entlassen.
Ebenfalls schreibt die GPL übrigens das von Dir geforderte vor, dass im Quelltext fremde Teile genauestens gekennzeichnet werden müssen.

Die GPL in tl;dl-Zusammenfassung: https://tldrlegal.com/license/gnu-general-public-license-v3-%28gpl-3%29
Die 2-Clause-BSD in tl;dr-Zusammenfassung: https://tldrlegal.com/license/bsd-2-clause-license-%28freebsd%29

Ich bin mir bewusst, dass den meisten der Konzeptuelle Unterschied zwischen "Open Source" und "Freier Software" nicht bewusst ist. Sie denken, es sei ein und das selbe, was nicht stimmt.

Freie Software ist immer auch automatisch Open Source; Open Source ist jedoch nicht automatisch immer Freie Software!

Meiner Meinung nach ist nur Freie Software tatsächlich frei und ich würde es toll finden, wenn auch OPNsense von der 2-Clause-BSD auf die GPL umsteigen würde, denn damit wäre die Freiheit der Software und aller Contributions unwiderruflich gesichert.

"Open Source" ist ein Marketingbegriff der vor allem von Bruce Perens und Eric Raymond vorangetrieben wurde, weil sich "Freie Software" in den 90ern schlecht vermarkten und erklären ließ. Leider spalteten sie sich damit (und mit der von ihnen gegründeten OSI https://en.wikipedia.org/wiki/Open_Source_Initiative) von der Freien Software-Bewegung ab und weichten ihre Ideologie auf, um der Industrie zu gefallen, wobei sie die Freiheit des Copyleft zugunsten von vermeintlich besseren kommerziellen Nutzungschancen, aufgaben.
Bruce Perens hat dies mittlerweile sehr bereut und als großen Fehler bezeichnet und hat sich öffentlich von der OSI distanziert, wobei er auch aufrief, lieber wieder die Free Software Foundation (https://en.wikipedia.org/wiki/Free_Software_Foundation) von Richard Stallman zu unterstützen.

Cheers
temporaryuser

[Zeitkind]

Würde es Dir etwas ausmachen, dazu Stellung zu nehmen und kurz Deine/ Eure Sicht der Dinge, bzw. des Verlaufs darzulegen?

Naja, es wird halt noch überall umgebaut, umgestellt, verändert. Ist ja auch gut so, denn Ziel ist ja eben auch die Unabhängigkeit von einer eigenen Distro hin zu einem reinen "Aufsatz" auf ein vanilla FreeBSD. Die Entwicklung ist rasant, und da sind halt auch mal ein paar Bugs dabei. Bei mir nicht wirklich schlimmes bisher, mal liefen Updates nicht, mal knallte der configd, mal der Proxy, mal machte der ftp-Proxy seltsame Dinge. Für mich alles Dinge, die ich bei einer Beta-Software erwarte. Man mag es hier stable nennen, aber die Entwicklungsgeschwindigkeit fordert zu oft mal ihren Tribut. Ich kann damit leben, denn das Projekt gefällt mir und ich verwende OPNsense inzwischen auf 3 Routern. Die Kisten, bei denen es auf absolute Zuverlässigkeit ankommt, fahren aber noch IPCop. Mit dem habe ich seit Jahren 100% Uptime - nicht eingerechnet selten notwenige Updates oder Hardwareprobleme.

[franco]

Naja, es wird halt noch überall umgebaut, umgestellt, verändert.

Wir befinden uns laut Aussage von pfSense's Gründer Chris Buecher in einer "dead end codebase"[1]. Ähnliches war schon im Jahre 2013 für Pojektliebhaber offensichtlich und auch von damaligen Programmierern kommuniziert. Heute sind wir im Jahr 2016. Wie viel hat sich getan? Nun, nicht viel.

Nun gibt sich OPNsense die Blöße einen Löwenanteil der Modernisierung selbst vorzunehmen. Wir machen das nicht aus Spaß an der Freude, sondern weil es bitter nötig ist. Und wenn dann 1-2 Jahre später pfSense nach zieht sind die damaligen Umbauten so stabil, dass wir längst an eigenen Sachen arbeiten können. Die Frage ist doch nicht wie oft etwas kaputt geht, sondern wie oft mit den Ressourcen die wir haben eine Katastrophe erstens im Voraus verhindert wird und zweitens wie schnell dann der Support oder die Hotfixes kommen.

Wir hatten jetzt mehrmals den Fall, dass FreeBSD oder Drittprogramme nicht mehr taten, das war z.B. bei Unbound der Fall oder das Hyper-V auf 10.2. Das spricht für Agilität und Korrektheit im Projekt. Wir haben lighttpd bei uns und bleiben dabei, andere wechseln auf nginx weil lighttpd nicht funktioniert. Schon komisch. Es scheint mir so als ob man sich mit entweder Stabilität oder Sicherheit genügen muss, aber nie mit beidem. In welche Schiene fällt OPNsense, in welche pfSense? Richtig, Äpfel und Birnen.

Vielleicht benötigen wir eine Umstellung von "release" ab 16.7, aber das wird dann auch unweigerlich zur Verlangsamung der Entwicklung führen und alle 6 Monate ein Poker, ob denn nach dem großen Upgrade noch alles funktioniert. Die eingesessene Meinung ist ja so wenig major updates wie möglich damit man so wenig alle 2-3 Jahre richtig viel Arbeit und Schweiß hat. Chrome und Firefox zeigen dass es anders geht. Auch bei einer Firewall sollte man nicht halt machen mit so einer Idee. Und wenn es nicht funktioniert, dann geht's eben wieder zurück zum alteingesessenen Muster. Im Moment denke ich noch es funktioniert.

Es scheint mir fast so als ob anderswo alles rosig ist, dabei gibt es regelmäßig noch fragen zu 2.1.x und ob die Sachen die damals gingen denn bei uns funktionieren oder nicht.

Jedenfalls freu ich mich riesig über den Zuwachs an Nutzern, Fortschritt, Neuheiten und Flexibilität. Probleme sind so schnell im Forum oder GitHub geklärt, dass man meinen könnte wozu dann noch kommerzieller Support. Und dennoch ist die Antwort: Stabilität, Stabilität, Stabilität.

Ich sags noch mal: das hier ist vielleicht der Ausweg aus der Ausweglosigkeit und jede Hilfe hilft.

[1] https://forum.pfsense.org/index.php?topic=86170.msg534555#msg534555