需要强调的事项

新版本包括很多重大更改。值得注意的是，pfSense Plus添加了：

• 支持英特尔®QuickAssist技术，也称为QAT。
  1. QAT可以加速支持的硬件上的加密和哈希操作，并且可以用来加速IPsec，OpenVPN和其他支持OpenCrypto Framework的软件。
  2. 受支持的硬件包括Netgate出售的C3000和C2000系统，以及其他一些类型的内置QAT支持和附加卡。
• 改进了对Netgate SG-2100和Netgate SG-1100的SafeXcel加密加速器支持，可以提高IPsec性能。
• 更新了IPsec配置文件导出
  1. 导出与当前iOS和OS X版本兼容的Apple配置文件
  2. Windows客户端的新导出功能可使用PowerShell配置隧道

pfSense Plus和pfSense CE都包括：

• 基本操作系统已升级到FreeBSD 12.2-STABLE
• OpenSSL升级到1.1.1
• 性能提升
• 如先前WireGuard博客文章所述，增加了内核WireGuard
  1. WireGuard是一种新的VPN第3层协议，旨在实现速度的提升和操作的简便性
  2. pfSense文档站点包含了有关如何配置WireGuard的信息以及示例配置
• IPsec增强
  1. StrongSwan IPsec后端的配置已从不推荐使用的ipsec.conf / stroke格式更改为新的swanctl / VICI格式
  2. 隧道配置的各种改进，包括更好的生存期和密钥选择，以避免重复的安全关联
• OpenVPN升级到2.5.0
  1. OpenVPN 2.5.0现在要求进行数据密码协商，但也兼容较旧的客户端
  2. 现在支持ChaCha20-Poly1305，它与WireGuard使用的加密相同，在某些平台上可能会提高速度
  3. 默认情况下，OpenVPN现在默认禁用压缩，因为它是不安全的，但它仍可以解压缩从客户端收到的流量，而不传输压缩数据包
• 证书管理器更新
  1. GUI现在支持续订证书管理器条目（证书颁发机构和证书）
  2. 生成证书条目过期的通知
  3. 证书密钥和PKCS＃12存档现在可以使用密码保护导出
  4. 支持添加了椭圆曲线（ECDSA）证书
  5. 可以将内部和导入的CA条目添加到系统范围的信任库中
• 强制门户网站后端和HA行为的重大变化

更多详细信息，请参见发行说明。

注意事项

注意，如2019年3月所述，pfSense2.5.0不再需要AES-NI ， pfSense Plus 21.02也相同。

新版本中一些值得注意的事项：

• 内置的负载均衡器已被弃用，用户可以迁移到HAProxy
• 已删除了一些废弃和弃用的软件包，包括：
  • OpenBGPD（改为使用FRR）
  • Quagga OSPF（改为使用FRR）
  • routed
  • blinkled
  • gwled

升级说明

由于此升级中更改的重要性质，因此在升级过程中可能会出现警告和错误消息。特别是，在控制台和日志中可能会观察到来自PHP和软件包更新的错误。在几乎所有情况下，这些错误都是从操作系统、库和PHP版本的更改升级期间系统状态不一致造成的，不影响升级。在升级之前，请先备份防火墙配置。

升级前请勿更新软件包！在运行升级之前，请删除所有软件包或不更新的软件包。

升级将需要一些时间才能完成。在升级过程中请耐心等待，并让防火墙有足够的时间完成整个过程。更新包下载完成后，可能需要10到20分钟或更长时间，直到升级过程结束。在升级过程中，防火墙会重新引导几次。可以从防火墙控制台监视升级，以获取准确的信息。

如果更新检查失败，或者更新未完成，请运行pkg install -y pfSense-upgrade确保pfSense-upgrade存在该更新。有关执行pfSense软件升级的更多信息，请查阅《升级指南》。