Bewertung der pfsense Aktivitäten

[cibomato]

Hallo zusammen,

wie bewertet Ihr diese Ankündigungen von pfsense:
https://blog.pfsense.org/?p=1588

Ist das (nur) blinder Aktionismus als Reaktion auf den opnsense-Fork?
Stehen auf opnsense-Seite ähnliche Dinge auf der Roadmap? Könnt Ihr da von evtl. Weiterentwicklungen auf pfsense-Seite profitieren?

Danke und Gruß,
cibomato

[franco]

Wir freuen uns darauf. :)

Es zeigt doch, dass wir in einigen Dingen den Nerv des Fortschritts getroffen haben so wie Manuel es auch schon gesagt hat. Profitieren werden wir von diesen Änderungen kaum, da weder die pfSense Lizenz das Kopieren "einfach" macht, sowie FreeBSD Patches und Buildinfrastruktur hinter verschlossenen Türen gehandhabt werden.

Wir freuen uns für die Nutzer die weiterhin gern bei pfSense bleiben, weil sie nun eine echte Perspektive aufgezeigt bekommen. Und wir machen weiter: 2 Monate vorbei, viel geschafft, aber noch viel, viel mehr vor uns.

Ähnliche Dinge? Wir haben nativen pkgng Support, Meta-Packages und opnsense-update eingeführt und schon seit unserem Start eine Bootstrap GUI und PHP 5.6. Wir schreiben die GUI neu in MVC, arbeiten an einem Python-Backend-Service inklusive API und haben *immer* die neusten FreeBSD Pakete in unseren Releases, die übrigens alle 1-2 Wochen kommen. Das macht mit dem morgigen 8 Releases in nur 2 Monaten.

Nur bei DPDK müssen wir passen. Das ist sehr, sehr viel Arbeit die da versprochen wird.

Unsere Roadmap findest du hier: https://opnsense.org/about/road-map/


Grüße Franco

[athurdent]

Finde ich toll. Die Konkurrenz belebt hier anscheinend den Markt, zumindest habe ich bisher noch nie eine solch detallierte Roadmap zu pfSense gefunden. ;)
Interessant sind die vielen Gemeinsamkeiten. Viele der Dinge auf der neuen Roadmap hatte ich in der Form so schon auf der OPNsense Roadmap bzw. vorher hier im Forum als Ankündigungen für OPNsense gefunden.

Wo wir gerade bei der Roadmap sind, toll wäre, wenn OPNsense vorm Upgrade jeweils ein Backup der bestehenden Installation erlauben würde, das ist ein Feature von pfSense, was einem beim Upgrade immer ein wohliges Gefühl in der Magengegend beschert.
Und ganz hervorragend wäre eine Beta vom OpenVPN Client Exporter, dann könnte ich OPNsense auch mal bei mir in "Produktion" nehmen.

Und vielleicht sollte dies Topic in den passenden Bereich verschoben werden?

[franco]

Verschoben. :)

Der OpenVPN Client-Exporter wurde schon oft genug genannt um ihn als wichtiges Feature zu betrachten und wir hoffen dies bis spätestens 15.7 hinzufügen zu können, aber können hier keine definitive Aussage machen. Derzeit Arbeiten wir am neuen MVC, welches später als Grundlage für Packages genutzt werden soll. Jegliche Hilfe und Vorarbeit für den Exporter ist sehr willkommen.

Bei den Backups bin ich mir nicht so sicher. Die Configs sind das Herzstück der Software und dafür braucht man kein Plattenimage. Eine kaputte Installation lässt sich mit unserem Config Importer + Quick/Easy Install leicht bereinigen. Einzig und allein manuelle Modifikationen am System wären für ein Backup interessant, aber hier ist die Frage ob wir wirklich absichern wollen (oder auch: können), was nicht in unseren Händen liegt?


Grüße Franco

[athurdent]

Naja, die Backupfunktion hat den Vorteil, dass man i.d.R. einfach schneller wieder ein laufendes System hat. Dies ist auch in dem Fall interessant, wenn man vor Ort kein Fachpersonal sitzen hat. Da geht es halt bedeutend einfacher, einen einzigen Befehl ausführen zu lassen, statt jemanden durch eine Neuinstallation zu führen.
Klar, das sind alles Sachen, die man auch durch vernünftige Redundanzen und gute Planung lösen kann. Aber falls es keine Redundanzen gibt - kommt leider oft genug vor - dann würde ein eventuelles Problem mit einem defekten Upgrade immer mit einer längeren Downtime einhergehen.

[franco]

Wir arbeiten daran ein System wieder in einen Grundzustand zu versetzen. Sofern die Config nicht das System lahm legt, lässt sich so das System bereinigen. Ich mag das In-Place Backup nicht, weil es Modifikationen aufnimmt, die in erster Linie nicht im System sein sollten, es sei denn man kann sie administrieren (und das schließt ein eigenes Backup mit ein).

Ist das eine Option ein Factory-Reset anzubieten, dass nicht nur Config sondern auch das System zurücksetzen kann mit einem einzigen Befehl?

[jstrebel]

Bin für die Variante eines "  Factory-Reset anzubieten, dass nicht nur Config sondern auch das System zurücksetzen kann mit einem einzigen Befehl"
Jakob

[athurdent]

Ist das eine Option ein Factory-Reset anzubieten, dass nicht nur Config sondern auch das System zurücksetzen kann mit einem einzigen Befehl?

Eine super Option wäre, wenn dabei das System in einen funktionierenden Zustand (vor dem letzten Patch oder vor allen Patches) zurückgesetzt würde und man die Möglichkeit hätte, die aktuell laufende Config weiter einzusetzen.
Sowas deckt halt Fälle ab, wie wenn z.B. der IPSec Tunnel vor dem Update noch prima lief, nach dem Update aber (z.B. wegen eines Strongswan Patches) einfach nicht mehr hochkommen will. So könnte man dann einfach den "Zurück Knopf" drücken lassen, rebooten und danach in Ruhe recherchieren, woran es wohl lag.

Was mir bei pfSense nie so recht gefallen hat (weiss aber nicht, ob das mal gefixt wurde), wenn man ein Backup wieder eingespielt hat, gab es keine Rückmeldung wann man Rebooten soll. Man musste halt mit top nachsehen, ob tar/gzip noch lief. Die NanoBSD Slices hingegen sind natürlich unschlagbar, da hat man das System ja einfach doppelt auf der CF Karte ;)

Die Teuren haben sowas ja auch an Bord, bei ner ASA kann man i.d.R. einfach mit dem vorherigen Image wieder booten, ggf. muss man noch ein paar Befehle wieder anpassen. Checkpoint GAiA bietet LVM Snapshots an, auf die man in der GUI oder im Bootloader wieder zurück kann.

Alles in allem hat eine solche Funktion schon eine gewisse Daseinsberechtigung, finde ich ;)

[chemlud]

Jau, die nano-slices werde ich bei Vollinstallation schwer vermissen...

Aber da meine Boxen 32-bit sind, werde ich die ja auf pfSense lassen müssen. So schnell gibt's nicht wieder Hardware und die würde auch nicht mehr Performance bringen, bei meinen Anwendungen.

[athurdent]

Hmm, also zumindest bei den LibreSSL Builds gibts auch i386:
https://pkg.opnsense.org/snapshots/

[chemlud]

Uiii, gar nicht gemerkt, ich hatte nur 64bit im Kopf ;-)

Aber ich müsste mich erstmal mit einer Vollinstallation auf den nano-Böxchen beschäftigen, Vollinstallationen hab ich bisher nur auf Workstations gemacht :-)

EDIT: äääh, sehe gerade, da ist ja ein serial .img, das sollte dann direkt auf die CF-Karte gehen, oder---

Irgendwelche Hinweise zu Problemen mit OpenVPN (site-to site tunnels zu pfsense) bei den LibreSSL builts?

Bedankt vorab!

:-D

[athurdent]

Bisher hab ich nur IPSec (IKEv2) getestet, das funktioniert gegen eine Cisco ASA, aber hilft Dir nicht :)
Ich sehe gerade, normale i386 gibt's jetzt auch. Ich würde aber trotzdem mal LibreSSL testen, da soll die Reise ja hingehen, je mehr es probieren, desto besser...
Die Normalen findest Du hier:
http://sourceforge.net/projects/opnsense/files/15.1.7/

[chemlud]

IPsec... könnte ich auch wieder zurückgehen... wenn ich die ganze Konfiguration sowieso neu aufsetzen muss ;-) (waren bei pfsense zeitweise nicht so stabil, besser mit openvpn)

Sorry for thread-hijacking, aber eine Frage noch: Ich sehe gerade, das .img hat "nur" ca. 0.5 GB nach entpacken, muss ich nachher irgendwie das Filesystem auf die volle Größe der CF-Karte  erweitern? Bin nur pfSense gewohnt, .img drauf und fertig und halt leider kein Fachmann...

Nochmals bedankt! :-)

PS: Um auch mal etwas OT gesagt zu haben: Meine Meinung zu pfSense hatte ich ja dort im Forum (selber Name ;-) ) ziemlich direkt gesagt. Daraufhin mag keiner mehr mit mir im Sandkasten spielen, dort ...

[franco]

Eine super Option wäre, wenn dabei das System in einen funktionierenden Zustand (vor dem letzten Patch oder vor allen Patches) zurückgesetzt würde und man die Möglichkeit hätte, die aktuell laufende Config weiter einzusetzen.

Da haben wir die allseits gefragte Variante mit "alles". :)

Mit boot environments auf ZFS geht das. Mit nano boot slices auch. Mit einer einzigen Partition leider nicht. Warum? Weil man sich auch alle Dateien merken müsste die neu waren. Du kannst zwar mit einem "backup" alles zurückspielen, aber gerade Downgrades machen hier enorme Probleme weil neuere Libraries dem alten Backup ja nie bekannt waren. Die bleiben dann im System und der Linker will dann diese Nutzen und dann ist das Verhalten der Box eher undefiniert. Erschwerend hier sind auch die schon angesprochenen Nutzer-Additionen, die sich nicht zurückrollen lassen, außer mit den eingangs genannten beiden Möglichkeiten. Und wenn diese Nutzer-Additionen das Ursprungsproblem sind geht auch nach dem Rollback nichts. Ich würde einfach gern vermeiden eine falsche Sicherheit vorzutäuschen.

i386 Images haben wir seit 15.1.1, also schon länger. So weit sind damit alle glücklich? :)

Auch mit LibreSSL sind wir bis jetzt sehr zufrieden was Stabilität und Bugs betrifft. Wir hatten zwei, beide waren aber nicht von LibreSSl verursacht sondern befanden sich auch auf den anderen Images.

Wir haben noch keine Direkt Disk Images; alle Images sind Installationsmedien. Das wird sich aber ganz bald ändern. Wir werden ein SD Image anbieten (Größe 1GB) mit spätestens dem übernächsten Release.


Grüße,
Franco

[chol]

Hallo!
Ich denke das ist kein blinder Aktionismus.
Die pfSense-Fraktion gab sich vor diesem konstruktiven, elaborierten Plan bzw. roadmap ein bisschen negativ irritiert durch den <opnsense fork. Teilweise wurde ein ätzender Bugreport-Kommentar abgesetzt. Einige pfSensler scheinen verärgert über diesen völlig legitimen, erwartbaren und notwendigen EU-fork (eigentlich NL ;) )

Ich sehe es aber durchaus als Reaktion auf das OPNsense Project. Und das ist gut so.

Mir bleiben aber 3 Dinge hängen, aus dem BSD-Now Interview (http://www.bsdnow.tv/episodes/2015_01_14-common_sense_approach), die Alan Jude ansprach und die Bezug zu diesem Post haben:

#1 gibt es Planungen, OPNsense von Phalcom/PHP wegzuführen?
#2 was hat es mit der Ubuntu Namensmimikri auf sich?
#3 FreeBSD 10.0 Problem: Unterstützung bis 02/2015

zu #2 und #3 haben sich Ad, Jos und Franco anscheinend schon entschieden:  gegen eine Namenskonventions-kopie von Canonocal entschieden ("silly names": Albion Albatros, Black Bird, Colourful Colibri...), nur die Versionsnummern bleiben Ubuntu ähnlich und mit dem schnellen, d.h. vor 15.7 geschafften FreeBSD 10.1 Uprade haben sie (wie auch pfSense) Frühjahr 2015 ordentlich was vorgelegt, ein herzliches Danke und Gratulation an dieser Stelle!

zu #1 ist zu sagen, dass dies gerade von pfSense angestrebt wird. Wird sich zeigen ob Franco, Ad und Jos , neben dem OPNsense Python backend auch auf ein sichereres MVC webframework der 3. Generation wie etwa das 3.0 Python basierte Django (http://en.wikipedia.org/wiki/Django_%28web_framework%29) umsteigen werden?

Andere OPNsense pace-marks:

pkg(ng)
opnsense-update
LibreSSL

.. thank you and go on guys!  :)