Un buen motivo para no actualizar pfSense a la versión 2.3

El último 12 de abril llegó una noticia muy esperada: pfSense 2.3-RELEASE Now Available! La novedad principal: Una nueva interfaz web reescrita en Bootstrap. Un cambio que tengo que decir la verdad, no lo desprecio en absoluto. La comodidad de poder realizar configuraciones con una interfaz de diseño adaptable.. no está tan mal, nada mal. Pero la verdad, en todo lo que hace pfSense por mi, el valor de una interfaz amigable pierde muchísimo interés si por otro lado tengo que pagarla con la pérdida de una cantidad industrial de paquetes.

The list of available packages in pfSense 2.3.x has been significantly trimmed. We have removed packages that have been deprecated upstream, no longer have an active maintainer, or were never stable. A few have yet to be converted for Bootstrap and may return if converted.

Entre la lista de paquetes difuntos se encuentra la que para mi es la mejor herramienta para monitorear tráfico en pfSense: ntopng, un gran aporte con el sello made in italy. Aunque el hecho de que ntopng no esté disponible en la última versión de pfSense no es en realidad por motivos de la propia distribución si no de que la disponibilidad pasa por la versión de FreeBSD que trae la versión 2.3 (que es la 10.3-RELEASE base).

ntopng package was removed from FreeBSD ports because it no longer compiled. That issue has recently been fixed, and the package will return soon.

Otro cambio importante es el que imbolucra la configuración de OpenVPN

OpenVPN topology change – configuration upgrade code was intended to set upgraded OpenVPN servers to topology net30, rather than the new default of topology subnet. This is not working as intended in some cases, but has been fixed for 2.3.1. In the mean time, editing your OpenVPN server instance and setting the topology to “net30” there will accomplish the same thing and fix it.

Que hace algo de ruido con lo que encontramos en la wifi de openvpn cuando habla de las posibles topologías:

  • subnet The recommended topology for modern servers. Note that this is not the current default. Addressing is done by IP & netmask.
  • net30 This is the old topology for support with Windows clients running 2.0.9 or older clients. This is the default as of OpenVPN 2.3, but not recommended for current use. Each client is allocated a virtual /30, taking 4 IPs per client, plus 4 for the server.

Bueno, creo que estos son los aspectos más importantes que hay que tener en cuenta antes de enfrentar una actualización en un ambiente productivo desde una versión 2.2 a la nueva 2.3. Los cambios realizados son seguramente fundamentales para el futuro creciemiento de esta distribución, tal vez la mejor en materia. Pero en algunos casos, tal vez sea una buena idea hacer esperar la implementación un tiempo de maduración. Solo en algunos mirrors, es posible descargar las versiones anteriores.

Es notable como un proyecto open source de seguridad como pfSense haga frente a soluciones de empresas con más de 4000 empleados, como Fortinet. La popularidad y el prestigio ganados por pfSense no se basan en grandes campañas de marketing ni mucho menos. Sin lugar a dudas todo ha sido ganado por haber hecho desde el principio un excelente trabajo.