pfSense Plus  22.05的开发快照现在已进入最后的测试阶段,其中包含一些非常重大的改进。包括OpenVPN数据通道卸载、ZFS引导环境以及将强制门户从IPFW移动到 PF。

运行pfSense Plus早期版本的用户可以自动升级到pfSense Plus 22.05 的测试版。由于该版本还在测试阶段,可能存在一些未知的问题。

​OpenVPN数据通道卸载

OpenVPN数据通道卸载(DCO) 通过减少每个数据包发生的上下文切换量,在处理加密的OpenVPN数据时实现了巨大的性能提升。DCO 通过将大部分数据处理任务保留在内核中而不是在内核和用户空间之间反复切换以进行加密和数据包处理来实现这一点。这使得每个数据包的整体处理更加高效,同时还可能利用内核中的硬件加密卸载支持。DCO增加了对多线程加密的支持,从而获得更多的性能提升。

DCO 不是对协议的更改,它是端点处理加密数据的方式的更改。因此,即使只有一个端点能够进行DCO也是有益的。当然,在所有端点上使用DCO的隧道将受益最大。

pfSense Plus上的DCO实施有一些限制,包括:

  • 当前加密仅限于AES-256-GCM。
  • DCO支持需要基于 TLS 的隧道,例如 SSL/TLS、SSL/TLS+User Auth 或 User Auth。
  • DCO仅支持还未发布的OpenVPN 2.6.0 。
  • 不要使用/30隧道网络。
  • 某些功能与DCO不兼容或与DCO无关。这些选项包括显式退出通知、不活动超时、UDP 快速 I/O 和发送/接收缓冲区大小等。

OpenVPN DCO 将仅在pfSense Plus软件上提供。

ZFS 引导环境

ZFS 引导环境,在用户遇到配置更改、升级、或其他潜在问题情况时,通过记录关键文件系统区域的快照将确保重大更改和升级更安全。

升级过程会自动创建新快照,也可以手动创建它们。然后,可以使用GUI甚至引导加载程序菜单恢复以前的引导环境快照,方便管理员从不可预见的问题中快速恢复防火墙的各项功能。

ZFS 引导环境将仅在pfSense Plus软件上提供。

强制门户从IPFW迁移到PF

在过去的版本中,强制门户需要 IPFW,因为PF缺乏完全实现强制门户功能所需的能力。然而,使用IPFW的代价是会造成性能损失,因为加载了两个数据包过滤器并通过这两个过滤器运行流量。防火墙还使用IPFW通过 DUMMYNET 管理限制器的流量整形。

Netgate在PF中开发了新功能,包括执行第2层过滤的能力,现在PF完全能满足处理强制门户的所有要求。类似的开发还允许在不使用IPFW的情况下管理限制器管道。

有了这些改进,就不需要由多个数据包过滤器处理流量,让使用强制门户和进行流量控制时提高性能。

其他改进

  • 修复了 UPnP 和多个游戏系统
  • 新的网关状态终止选项可实现更加顺畅的故障转移
  • 防火墙/NAT规则可用性的改进,例如切换多个规则和将规则复制到其他接口的按钮。

有关详细信息,请参阅pfSense Plus的发行说明