2021年2月17日,Netgate 宣布发布 pfSense® Plus 21.02 版和 pfSense 社区版 (CE) 2.5.0 版。这是 pfSense Plus 的第一个版本(以前称为 Factory Edition,仅可安装在 Netgate 官方硬件上)。关于 pfSense Plus 与 pfSense CE 的区别可参阅 官方说明。此次发布共解决了 550 多个问题,涵盖错误修复、新功能以及其他重大更改。
pfSense Plus 21.02‑RELEASE 的安装映像请联系 Netgate TAC。pfSense 社区版 2.5.0 的安装映像可在此下载:pfSense CE 2.5.0 安装映像。
需要强调的事项
新版本包含许多重大变更。值得关注的是,pfSense Plus 增加了以下功能:
支持英特尔® QuickAssist 技术(QAT)。
- QAT 可在受支持的硬件上加速加密与哈希运算,并能用于 IPsec、OpenVPN 等基于 OpenCrypto Framework 的软件。
- 受支持的硬件包括 Netgate 出售的 C3000、C2000 系统,以及部分内置 QAT 支持的附加卡。
- 改进了对 Netgate SG‑2100 与 Netgate SG‑1100 的 SafeXcel 加密加速器支持,可提升 IPsec 性能。
更新了 IPsec 配置文件导出。
- 导出与当前 iOS 和 OS X 版本兼容的 Apple 配置文件。
- 新增适用于 Windows 客户端的导出功能,可使用 PowerShell 配置隧道。
pfSense Plus 与 pfSense CE 共同包含以下更新:
- 基础操作系统升级至 FreeBSD 12.2‑STABLE。
- OpenSSL 升级至 1.1.1。
- 整体性能提升。
按照此前的 WireGuard 博客文章所述,加入了内核 WireGuard 支持。
- WireGuard 是一种新的 Layer 3 VPN 协议,在设计上追求速度与简洁。
- pfSense 文档站点提供了 WireGuard 配置说明及示例。
IPsec 增强。
- StrongSwan IPsec 后端的配置格式已从被弃用的 ipsec.conf / stroke 改为新的 swanctl / VICI 格式。
- 隧道配置的多项改进,包括更完善的生存时间与密钥选择,以避免重复的安全关联。
OpenVPN 升级至 2.5.0。
- OpenVPN 2.5.0 要求进行数据密码协商,但同时兼容旧版客户端。
- 新增对 ChaCha20‑Poly1305 的支持(与 WireGuard 相同),在某些平台上可能提升速度。
- 默认情况下,OpenVPN 不再启用压缩(因其不安全),但仍可将客户端发来的流量解压缩而不传输压缩包。
证书管理器更新。
- 界面支持续订证书实体(CA 和证书)。
- 生成证书过期通知。
- 证书私钥与 PKCS#12 存档现可使用密码保护导出。
- 支持添加椭圆曲线(ECDSA)证书。
- 可将内部或导入的 CA 条目添加至系统信任库。
- 强制门户后台与高可用性行为发生重大改变。
更多详情请参阅发行说明。
注意事项
自 2019 年 3 月公告以来,pfSense 2.5.0 及 pfSense Plus 21.02 不再强制要求 AES‑NI。
新版本中需留意的其他事项:
- 内置的负载均衡器已被弃用,推荐迁移至 HAProxy。
一些废弃或已弃用的软件包被移除,包括:
- OpenBGPD(改用 FRR)
- Quagga OSPF(改用 FRR)
- routed
- blinkled
- gwled
升级说明
由于本次升级涉及大量重要变更,升级过程中可能出现警告或错误信息。尤其是在控制台与日志中,可能观察到来自 PHP 及软件包更新的错误。这些几乎都是因为操作系统、库及 PHP 版本变化而导致的临时状态不一致,不会影响升级。升级前请务必备份防火墙配置。
切勿在升级前更新软件包!运行升级之前,应移除所有软件包或不要对其进行更新。
整个升级过程需要一些时间,请耐心等待。更新包下载完成后,可能需要 10 至 20 分钟甚至更久才能完全结束。防火墙会在过程中多次重启,可通过控制台监控准确进度。
如果更新检查失败或更新未完成,请运行 pkg install -y pfSense-upgrade 以确保存在 pfSense-upgrade 工具。有关执行 pfSense 软件升级的更多信息,请查阅《升级指南》。
觉得内容不错?我要
