108012
Goto Top

Änderungen und Bekanntmachungen zu den pfSense Versionnen 2.4 und 2.5

Hallo,

nachdem pfSense und Netgate vor einiger Zeit angekündigt haben, dass man ab Version 2.4 kein NanoBSD und auch kein 32Bit System (Hardware)
mehr unterstützen wird, kommt nun die nächste Ankündigung zur pfSense Version 2.5 und AES-NI, ab dann ist es nur möglich pfSense (2.5) auf einem
System zu installieren wenn eine CPU mit AES-NI Unterstützung verbaut wurde. Also noch einmal zusammen gefasst;
  • Version 2.4
- Kein 32Bit System mehr
- Kein NanoBSD mehr

  • Version 2.5
- CPU mit AES-NI ist Pflicht!

pfSense 2.5 & AES-NI
pfSense and more on AES-NI

Gruß
Dobby


https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html

Content-ID: 336870

Url: https://administrator.de/contentid/336870

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

Kuemmel
Kuemmel 04.05.2017 um 20:04:31 Uhr
Goto Top
Die wollen wohl langsam ihre eigene Hardware an den Mann bringen und so die Billigheimer vom Markt nehmen! face-wink
psannz
psannz 04.05.2017 um 20:22:38 Uhr
Goto Top
Sers,

Zitat von @Kuemmel:

Die wollen wohl langsam ihre eigene Hardware an den Mann bringen und so die Billigheimer vom Markt nehmen! face-wink

Dem kann ich so nicht zustimmen. AES-NI ist seit 2010 auf dem Markt.
Seit 2013 haben es selbst die meisten Atoms, und seit 2015 musst du dich anstrengen Pentiums und Celerons ohne AES-NI zu finden. Von den Core-i und Xeons mal ganz zu schweigen...

Selbst ein einfaches neues 50€ Mainboard mit Celeron J3060 CPU hat AES-NI...
108012
108012 04.05.2017 aktualisiert um 21:25:43 Uhr
Goto Top
Hallo zusammen,

Die wollen wohl langsam ihre eigene Hardware an den Mann bringen und so die Billigheimer vom Markt nehmen!
Kann auch sein, aber würde ich selber nicht so sehen wollen! Denn die APU2C4 ist doch auch mit AES-NI unterwegs
und auch 64Bit Hardware, die wird ja so, am meisten hier in Europa verbaut und eingesetzt, also da ist es weniger der
Fall dass man andere Hardware nicht mehr unterstützen will. Allerdings wäre das Jetway NF9HG-2930 davon betroffen,
nur darauf laufen Untangle UTM und Sophos UTM genauso gut wie Endian und IPFire oder gar ZeroShell oder gar MikroTik
RouterOS, und OPNSense. Das wäre damit also auch nur um pfSense weniger an der Unterstützung.

Seit 2013 haben es selbst die meisten Atoms, und seit 2015 musst du dich anstrengen Pentiums und Celerons ohne
AES-NI zu finden. Von den Core-i und Xeons mal ganz zu schweigen...
APU2C4
Intel Core i3, i5 und i7
Intel Xeon E3, E5 und D-1500
Alle Kaby Lake und Ryzen CPUs haben es auch (AES-NI)

Selbst ein einfaches neues 50€ Mainboard mit Celeron J3060 CPU hat AES-NI...
Und N3150 bis N3700 CPUs haben es auch alle mit an Board! Und die kosten alle nicht sehr viel!

Selbst die Hardware von ClearFog SolidRun Base und pro werden von dem ARM Fork unterstützt,
zwar nicht jetzt, aber bald und das sind eigentlich kleine genügsame Boards mit Krypto-Chip ähnlich wie
es die AES-NI Funktion anbietet und noch nicht einmal gleich, sondern wirklich nur ähnlich, ist aber auch nur
der ARM Fork!

Gruß
Dobby
Kuemmel
Kuemmel 04.05.2017 um 21:35:51 Uhr
Goto Top
Jau, war jetzt auch nicht so auf die "neuere" Hardware bezogen, sondern eher auf den alten Gamer-PC des 12-jährigen mit dem Windows XP-Sticker drauf welcher nun als Firewall umvergewaltigt wurde. face-wink
psannz
psannz 04.05.2017 um 23:09:22 Uhr
Goto Top
Zitat von @Kuemmel:

Jau, war jetzt auch nicht so auf die "neuere" Hardware bezogen, sondern eher auf den alten Gamer-PC des 12-jährigen mit dem Windows XP-Sticker drauf welcher nun als Firewall umvergewaltigt wurde. face-wink

Und damit über den Stromverbrauch im Jahr so viel kostet, wie ein einfaches neues System inkl. dessen Verbrauch? face-smile
108012
108012 04.05.2017 um 23:36:26 Uhr
Goto Top
Jau, war jetzt auch nicht so auf die "neuere" Hardware bezogen,
Klar ist auf jeden Fall schon einmal das gerade im 32Bit Bereich seit Version 2.4 nichts mehr "geht" und die neuere Hardware
ist ja auch fast ausschließlich nur noch 64Bit also von daher sollte es keine Probleme geben.

sondern eher auf den alten Gamer-PC des 12-jährigen mit dem Windows XP-Sticker drauf welcher nun als
Firewall umvergewaltigt wurde.
Ok man konnte damit fast jeden PC als kleine pfSense Firewall betreiben, nur da wurde noch gespendet und man
hatte keine eigene Hardware am "Laufen" bzw. im Verkauf hatte. Denn seit dem ist das mit den Spenden richtig in
den Keller gegangen und man bekommt so einfach nicht das nötige Geld für das gesamte Projekt zusammen.

Bei den Versionen 2.4, 2.5 und 3.0 dürften auch größere und kleinere neue Funktionen und Optionen mit an
Board sein, das kostet auch alles und im Endeffekt wenn die Hardware nicht wirklich so teuer wäre hätte ich
auch schon zugeschlagen und welche davon gekauft. (Kein Scherz)

  • 2.4
- volle OpenVPN 2.4 Integration
- verbesserte Treiber für 10GbE NICs (ix)
- verbesserte Treiber für 1 GBit/s NICs (igb(4))

  • 2.5
- eventuell schon etwas vom neuen GUI
- fast-fwd, netmap-fwd oder tryforward
- eventuell schon QAT

  • 3.0
- eventuell volle Multi-Core CPU Unterstützung
- komplett neu geschriebenes System

Gruß
Dobby
psannz
psannz 05.05.2017 um 07:28:00 Uhr
Goto Top
Zitat von @108012:

  • 2.5
- eventuell schon etwas vom neuen GUI
- fast-fwd, netmap-fwd oder tryforward
- eventuell schon QAT

QAT ist der echte Vorteil wenn es um verschlüsselte Verbindungen geht.
AES-NI ist im Vergleich fast schon vernachlässigbar.

Hier ein netter Artikel dazu.
117471
117471 05.05.2017 um 07:48:29 Uhr
Goto Top
Hallo,

Zitat von @Kuemmel:

Die wollen wohl langsam ihre eigene Hardware an den Mann bringen und so die Billigheimer vom Markt nehmen! face-wink

Ich glaube, bei AES-NI geht es eher darum, dass der Generalschlüssel von der NSA passt.

Gott sei Dank ist Freitag face-smile

Gruß,
Jörg
108012
108012 05.05.2017 um 08:09:13 Uhr
Goto Top
QAT ist der echte Vorteil wenn es um verschlüsselte Verbindungen geht.
Wenn in einem Betrieb mehrere MS Windows und Linux Server gibt die QAT Karten einsetzen dann
könnte die pfSense Firewall der Flaschenhals sein, auch wenn man intensiv "logged" und dann alles
besser packen kann ist schon eine Möglichkeit, aber so richtig kommt das wohl nur zur Geltung wenn
man auf beiden Seiten eines VPNs QAT einsetzt.

AES-NI ist im Vergleich fast schon vernachlässigbar.
Leider bietet die TUN/TAP Struktur keine großen Möglichkeiten von QAT zu profitieren, aber seit
OpenVPN 2.4 ist da eben mittels AES-NI und AES-GCM schon bis zum dreifachen möglich.

Gruß
Dobby
Kuemmel
Kuemmel 05.05.2017 um 09:22:41 Uhr
Goto Top
Zitat von @psannz:
Und damit über den Stromverbrauch im Jahr so viel kostet, wie ein einfaches neues System inkl. dessen Verbrauch? face-smile

Genau die Kandidaten meine ich face-big-smile Aber wen interessiert denn das,, Strom bezahlt ja Mami und Papi face-wink
Sucht einfach mal nach pfSense auf YouTube dann versteht ihr was ich meine! face-smile
monstermania
monstermania 09.05.2017 um 07:57:37 Uhr
Goto Top
Ich finde es sehr schade (aber Verständlich), dass pfsense die Unterstützung von 32Bit-Systemen und NanoBSD mit der 2.4 einstellt.
Es gibt sehr viele 32Bit-Embedded-Systeme die leistungsmäßig problemlos für den Betrieb einer Firewall ausreichen (z.B. ältere Intel Atom, VIA Eden , 1-2 GB RAM). Habe selbst eine Terra Black Dwarf (VIA Eden) zu Hause. Reicht locker aus um eine 50MBit Leitung nicht auszubremsen. Und mit < 10 Watt ist auch der Energieverbrauch akzeptabel. Und es gibt eine Menge Leute die von 50 Mbit und größer nur träumen können!
Die Hardware ist in Form von ausgemusterten Astaro's, Gateprotect, Securepoint oder Watchguards auch in großer Zahl günstig verfügbar.
Aber immerhin will man ja mit der Unterstützung der ARM-Platform für eine sehr interessante Alternative sorgen und möchte dafür (Entwicklungs)Ressourcen freimachen.

Die zwingende Voraussetzung von AES/NI ab der pfsense 2.5 kann ich derzeit überhaupt nicht einordnen. Schließlich lässt sich AES/NI ja auch per Software implementieren. Irgendwie scheint es wohl etwas mit Sicherheitsbedenken zu tun zu haben.
Die 2.5 ist aber ohnehin noch fernere Zukunft.
Selbst für die 2.4 ist ja bisher noch kein genaues Release-Datum bekannt.

Und dann gibt es mit OPNsense ja auch noch eine Alternative zu pfsense. Gerade die weiterhin gegebene Unterstützung von NanoBSD macht OPNsense für Embedded-Systeme zu einer echten Option. OPNsense wird 32 Bit/NanoBSD-Systeme mindestens noch bis mitte 2019 aktiv unterstützen.

Gruß
Dirk
108012
108012 10.05.2017 um 03:07:58 Uhr
Goto Top
Ich finde es sehr schade (aber Verständlich), dass pfsense die Unterstützung von 32Bit-Systemen und
NanoBSD mit der 2.4 einstellt.
Alle wollten Unterstützung für ARM basierende Geräte die günstig sind und nun haben sie diese bekommen,
aber wenn dann etwas anderes wegfällt ist es eben auch nicht allen recht. Es wird fast nur noch 64Bit Hardware
ausgeliefert, jedenfalls die neuere, und warum dafür dann extra 32Bit Treiber programmieren?

Es gibt sehr viele 32Bit-Embedded-Systeme die leistungsmäßig problemlos für den Betrieb einer Firewall
ausreichen (z.B. ältere Intel Atom, VIA Eden , 1-2 GB RAM). Habe selbst eine Terra Black Dwarf (VIA Eden)
zu Hause. Reicht locker aus um eine 50MBit Leitung nicht auszubremsen.
Die meisten Leute rund um die Welt sind aber schon bei 100 MBit/s bis hin zu 1 GBit/s angelangt, und die benötigen
eben dann entweder mehr Power oder aber wollen das maximal noch etwas von Ihrem schnellen Internetzugang übrig
bleibt.

Und mit < 10 Watt ist auch der Energieverbrauch akzeptabel. Und es gibt eine Menge Leute die von 50 Mbit und
größer nur träumen können!
Wie gesagt mag sein das es Dir reicht, aber viele Leute wollten eben den ARM Support haben und nun haben sie eine
SG-1000 die bis hin zu 100 MBit/s (WAN) locker ausreicht und mit $149 auch locker mit den kleinen Plastikroutern
mithalten kann.

Die Hardware ist in Form von ausgemusterten Astaro's, Gateprotect, Securepoint oder Watchguards auch in großer
Zahl günstig verfügbar.
Klar kann man wenn man will auch machen, man kann aber auch das Projekt unterstützen

Aber immerhin will man ja mit der Unterstützung der ARM-Platform für eine sehr interessante Alternative sorgen
und möchte dafür (Entwicklungs) Ressourcen freimachen.
1. Warum für 64Bit Hardware 32Bit Treiber programmieren?
2. Sehr viele Benutzer wollten eine günstige Alternative zu x_86 Hardware haben.
3. Version 3.0 wird wohl komplett neu geschrieben (from the Scratch) und das kostet Zeit.

Die zwingende Voraussetzung von AES/NI ab der pfsense 2.5 kann ich derzeit überhaupt nicht einordnen.
Wenn Microsoft andere oder neue Hardware für Ihren Server 2012 oder 2016 verlangt kaufen doch auch alle
Benutzer neue Hardware und keiner meckert herum! Warum also dann bei pfSense das kostenlos zu haben ist!?

Schließlich lässt sich AES/NI ja auch per Software implementieren. Irgendwie scheint es wohl etwas mit
Sicherheitsbedenken zu tun zu haben. Die 2.5 ist aber ohnehin noch fernere Zukunft.
Man muss und will den Benutzern auch Zeit geben, gar keine Frage, viele Leute haben zwischen 20 und 600 pfSense
Firewalls am laufen! Und die können das auch nicht alles von heute auf morgen austauschen.

Selbst für die 2.4 ist ja bisher noch kein genaues Release-Datum bekannt.
Alpha und beta Version sind aber schon in Benutzung und werden getestet.

Und dann gibt es mit OPNsense ja auch noch eine Alternative zu pfsense.
Klar für Heim- und Privatanwender ist schon interessant, nur bei zwei Millionen aktiven Installationen kann man
auch zumindest eigentlich erwarten, dass jeder einmal zwei bis fünf Dollar oder Euro spendet zumal das im Rahmen
eines jeden Taschengeldes liegt und auch sicherlich von jeder noch so kleinen Firma abgeschrieben werden kann, denn
man braucht auf der einen Seite Spenden für das Projekt und auf der anderen Seite braucht man auch Leute die die Pakete
pflegen und immer wieder erneuern und die werden auch älter und haben irgend wann Familie und müssen eben Geld verdienen
so dass es nicht übel wäre für jedes Paket einen oder zwei Dollar oder Euro zu spenden, denn auf Free Radius 3.0 warten wir schon
ewig und das nur weil da keiner ran will, dann lieber einen Programmierer der auch etwas dafür bekommt anheuern und man kann
bzw. wir können dann auch immer mit aktuellen Paketen rechnen, denn ohne Snort, Suricata, Squid, SquidGuard, DansGuardian,
pfBlockerNG & DNSBL oder gar ClamAV sieht es gar nicht so gut aus, das ist doch erst das "Salz in der Suppe" oder nicht?

Gerade die weiterhin gegebene Unterstützung von NanoBSD macht OPNsense für Embedded-Systeme zu einer echten Option.
OPNsense wird 32 Bit/NanoBSD-Systeme mindestens noch bis mitte 2019 aktiv unterstützen.
Kein Thema wer das will und möchte soll es installieren nur dann geht das alles mit den Paketen wieder von vorne los!?
Und warum nicht jedes Jahr 5 Euro bis 10 Euro für System und Pakete zahlen und dann immer alles haben was man so
braucht und was neu auf den Markt kommt! Klar soll es auch weiter eine OpenSource Version geben, nur dafür dann
eben keinen Support oder keine Paketgarantie wie bei der anderen Version!

Und eine APU2C4 kostet um die ~200 Euro und die läuft auch locker bis zu 200 MBit/s mit einigen Paketen, also
das sollte jetzt nicht das Problem sein, oder?

Wie schon erwähnt bei MS Windows CPs oder Servern sagt auch keiner etwas wenn er irgend wann neue Hardware kauft
und dafür bezahlen die Leute auch alle die Software-Lizenzen. Warum sollen 2 Millionen Leute Ihre Firma gut günstig
schützen aber nicht einmal im Jahr dafür zwischen 5 bis 10 Euro Spenden? Das ist für alle zu haben.

Gruß
Dobby