Netgate发布pfSense Plus 21.02和pfSense CE 2.5.0

pfSense Plus 21.02-RELEASE的安装映像,请联系Netgate TAC。pfSense社区版2.5.0-的安装映像点击这里下载。

需要强调的事项

新版本包括很多重大更改。值得注意的是,pfSense Plus添加了:

  • 支持英特尔®QuickAssist技术,也称为QAT
    1. QAT可以加速支持的硬件上的加密和哈希操作,并且可以用来加速IPsec,OpenVPN和其他支持OpenCrypto Framework的软件。
    2. 受支持的硬件包括Netgate出售的C3000和C2000系统,以及其他一些类型的内置QAT支持和附加卡。
  • 改进了对Netgate SG-2100和Netgate SG-1100的SafeXcel加密加速器支持,可以提高IPsec性能。
  • 更新了IPsec配置文件导出
    1. 导出与当前iOS和OS X版本兼容的Apple配置文件
    2. Windows客户端的新导出功能可使用PowerShell配置隧道

pfSense Plus和pfSense CE都包括:

  • 基本操作系统已升级到FreeBSD 12.2-STABLE
  • OpenSSL升级到1.1.1
  • 性能提升
  • 先前WireGuard博客文章所述,增加了内核WireGuard
    1. WireGuard是一种新的VPN第3层协议,旨在实现速度的提升和操作的简便性
    2. pfSense文档站点包含了有关如何配置WireGuard的信息以及示例配置
  • IPsec增强
    1. StrongSwan IPsec后端的配置已从不推荐使用的ipsec.conf / stroke格式更改为新的swanctl / VICI格式
    2. 隧道配置的各种改进,包括更好的生存期和密钥选择,以避免重复的安全关联
  • OpenVPN升级到2.5.0
    1. OpenVPN 2.5.0现在要求进行数据密码协商,但也兼容较旧的客户端
    2. 现在支持ChaCha20-Poly1305,它与WireGuard使用的加密相同,在某些平台上可能会提高速度
    3. 默认情况下,OpenVPN现在默认禁用压缩,因为它是不安全的,但它仍可以解压缩从客户端收到的流量,而不传输压缩数据包
  • 证书管理器更新
    1. GUI现在支持续订证书管理器条目(证书颁发机构和证书)
    2. 生成证书条目过期的通知
    3. 证书密钥和PKCS#12存档现在可以使用密码保护导出
    4. 支持添加了椭圆曲线(ECDSA)证书
    5. 可以将内部和导入的CA条目添加到系统范围的信任库中
  • 强制门户网站后端和HA行为的重大变化

更多详细信息,请参见发行说明

注意事项

注意,如2019年3月所述,pfSense2.5.0不再需要AES-NI , pfSense Plus 21.02也相同。

新版本中一些值得注意的事项:

  • 内置的负载均衡器已被弃用,用户可以迁移到HAProxy
  • 已删除了一些废弃和弃用的软件包,包括:
    • OpenBGPD(改为使用FRR)
    • Quagga OSPF(改为使用FRR)
    • routed
    • blinkled
    • gwled

升级说明

由于此升级中更改的重要性质,因此在升级过程中可能会出现警告和错误消息。特别是,在控制台和日志中可能会观察到来自PHP和软件包更新的错误。在几乎所有情况下,这些错误都是从操作系统、库和PHP版本的更改升级期间系统状态不一致造成的,不影响升级。在升级之前,请先备份防火墙配置。

升级前请勿更新软件包!在运行升级之前,请删除所有软件包或不更新的软件包。

升级将需要一些时间才能完成。在升级过程中请耐心等待,并让防火墙有足够的时间完成整个过程。更新包下载完成后,可能需要10到20分钟或更长时间,直到升级过程结束。在升级过程中,防火墙会重新引导几次。可以从防火墙控制台监视升级,以获取准确的信息。

如果更新检查失败,或者更新未完成,请运行pkg install -y pfSense-upgrade确保pfSense-upgrade存在该更新。有关执行pfSense软件升级的更多信息,请查阅《升级指南》