2021年2月17日,Netgate宣布发布pfSense®Plus21.02版和pfSense社区版(CE)2.5.0版。这是pfSense Plus第一个版本,以前称为Factory Edition,只能在Netgate官方硬件上安装,pfSense Plus和pfSense CE之间的区别点击这里。这次发布的版本解决了550多个问题,包括错误修复、新功能和其他重大更改。

pfSense Plus 21.02-RELEASE的安装映像,请联系Netgate TAC。pfSense社区版2.5.0-的安装映像点击这里下载。

需要强调的事项

新版本包括很多重大更改。值得注意的是,pfSense Plus添加了:

  • 支持英特尔®QuickAssist技术,也称为QAT
  1. QAT可以加速支持的硬件上的加密和哈希操作,并且可以用来加速IPsec,Open***和其他支持OpenCrypto Framework的软件。
  2. 受支持的硬件包括Netgate出售的C3000和C2000系统,以及其他一些类型的内置QAT支持和附加卡。

改进了对Netgate SG-2100和Netgate SG-1100的SafeXcel加密加速器支持,可以提高IPsec性能。更新了IPsec配置文件导出

  1. 导出与当前iOS和OS X版本兼容的Apple配置文件
  2. Windows客户端的新导出功能可使用PowerShell配置隧道

pfSense Plus和pfSense CE都包括:

  • 基本操作系统已升级到FreeBSD 12.2-STABLE
  • OpenSSL升级到1.1.1
  • 性能提升

IPsec增强

  1. StrongSwan IPsec后端的配置已从不推荐使用的ipsec.conf / stroke格式更改为新的swanctl / VICI格式
  2. 隧道配置的各种改进,包括更好的生存期和密钥选择,以避免重复的安全关联

Open***升级到2.5.0

  1. Open*** 2.5.0现在要求进行数据密码协商,但也兼容较旧的客户端
  2. 现在支持ChaCha20-Poly1305,它与WireGuard使用的加密相同,在某些平台上可能会提高速度
  3. 默认情况下,Open***现在默认禁用压缩,因为它是不安全的,但它仍可以解压缩从客户端收到的流量,而不传输压缩数据包

证书管理器更新

  1. GUI现在支持续订证书管理器条目(证书颁发机构和证书)
  2. 生成证书条目过期的通知
  3. 证书密钥和PKCS#12存档现在可以使用密码保护导出
  4. 支持添加了椭圆曲线(ECDSA)证书
  5. 可以将内部和导入的CA条目添加到系统范围的信任库中

强制门户网站后端和HA行为的重大变化

更多详细信息,请参见发行说明

注意事项

注意,如2019年3月所述,pfSense2.5.0不再需要AES-NI , pfSense Plus 21.02也相同。

新版本中一些值得注意的事项:

  • 内置的负载均衡器已被弃用,用户可以迁移到HAProxy
  • 已删除了一些废弃和弃用的软件包,包括:
    • OpenBGPD(改为使用FRR)
    • Quagga OSPF(改为使用FRR)
    • routed
    • blinkled
    • gwled
升级说明

由于此升级中更改的重要性质,因此在升级过程中可能会出现警告和错误消息。特别是,在控制台和日志中可能会观察到来自PHP和软件包更新的错误。在几乎所有情况下,这些错误都是从操作系统、库和PHP版本的更改升级期间系统状态不一致造成的,不影响升级。在升级之前,请先备份防火墙配置。

升级前请勿更新软件包!在运行升级之前,请删除所有软件包或不更新的软件包。

升级将需要一些时间才能完成。在升级过程中请耐心等待,并让防火墙有足够的时间完成整个过程。更新包下载完成后,可能需要10到20分钟或更长时间,直到升级过程结束。在升级过程中,防火墙会重新引导几次。可以从防火墙控制台监视升级,以获取准确的信息。

如果更新检查失败,或者更新未完成,请运行pkg install -y pfSense-upgrade确保pfSense-upgrade存在该更新。有关执行pfSense软件升级的更多信息,请查阅《升级指南》