Sortie de pfSense 2.0

[jdh]

Après de long mois de test (beta puis RC 1,2,3), pfSense sort en 2.0.

Rappel :
- pfSense existe en 2 versions : destinés à un pc ou serveur ou destiné à une machine embarquée (alix ou autre avec compact-flash p.e.),
- pfSense existe en outre en version i386 (32 bits) et amd-64 (64 bits proc intel ou amd),
- pfSense n'est pas limité à quatre interfaces (de couleur),
- pfSense gère nativement le multi-WAN, les VLAN, les VPN de type Ipsec (dont NAT-T), OpenVpn, L2TP en roadwarrior ou en net-2-net,
- pfSense utilise des alias (port, host ou lan) pour construire des règles interfaces par interfaces ou en NAT,
- pfSense sait gérer les bridges, les gateways multiples, ...
- pfSense gère du trafic-shaping (QOS),
- pfSense comporte une gestion de certificats (pour OpenVPN),
- pfSense sait gérer un portail captif (captive portal),
- pfSense dispose de packages supplémentaires (attention à l'intérêt relatif ou à un positionnement non optimal sur firewall),
- ...

Pour plus d'infos, les infos de release sont à http://doc.pfsense.org/index.php/2.0_Ne ... nd_Changes

Bons tests !
NB : Bien vérifier les conditions de migration depuis 1.2.3 !

[Titofe]

Merci pour l'info.

NB : Bien vérifier les conditions de migration depuis 1.2.3 !

A tu eu l'occasion de faire une migration de pFsense 1.2.3 vers pFsense 2 ?

[jdh]

@Titofe : bonne question !

Je n'ai pas réalisé de migration 1.2.3 vers 2.0 : je ne suis pas sûr de l'intérêt de cela !

En effet, quelle est la justification de la migration ?
Si mon firewall fonctionne bien, pourquoi prendre le risque de migrer ? (Car il y a risque !)

Le progrès essentiel, AMHA est la capacité à filtrer dans les VPN (OpenVPN ou PPTP) qui n'existait pas.

En fait, je pense que ce serait plutôt l'occasion de "refaire" le firewall, et donc, je préfèrerai partir sur une install "fraiche".
J'utilise force alias et, par conséquent, je n'ai guère plus de 30 règles sur les (petits) firewall que j'ai installé.
Je peux imaginer qu'il est facile de sauvegarder la config au format xml et de réintroduire des bouts dans une sauvegarde format v2.0 (par exemple pour les comptes VPN).

Mais c'est à tester ...

[ccnet]

De mon point de vue un autre intérêt de la version 2 concerne la gestion intégrée des certificats (surtout couplé avec le petit addon Client Export Utility) et un ensemble d'amélioration concernant les vpn.

En production si j'ai un firewall opérationnel et une couverture complète de mes besoins fonctionnels, je ne migre pas. En tout cas pas avant plusieurs mois.
Si je dois envisager une évolution fonctionnelle je privilégie une solution de réinstallation neuve a priori.

[jdh]

En effet, la gestion intégrée des certificats est une nouveauté.
Néanmoins, je ne l'ai que parcouru de très haut : je ne sais pas s'il est possible de créer des certificats pour, par exemple, des serveurs web en intranet, voire s'il est possible de partir d'un certificat acheté et reconnu par les navigateurs.
Je reste sur une petite gestion interne via phPKI (on pourrait regarder XCA ou la gestion de certificats inclus dans les domaines windows).

Il est notable que la configuration du serveur OpenVPN a changé (plus de DH ?).

Je plussoie la réinstallation : c'est l'occasion de refaire le tour sur des règles ... parfois oubliées et trop permissives.
Reprogrammer le firewall ne prend pas trop de temps.

[Titofe]

Pour ma part, le filtrage de OpenVPN est un plus, mais qui peut attendre.

En fait, je pense que ce serait plutôt l'occasion de "refaire" le firewall, et donc, je préfèrerai partir sur une install "fraiche".

Si je dois envisager une évolution fonctionnelle je privilégie une solution de réinstallation neuve a priori.

Idem, je préfère une installation toute fraîche, qui comme le dit jdh, me permettras de revoir mes règles entre autre.

Merci pour vos retours.