Hallo,
wir setzen OpnSense als Edge-Router und Firewall ein. Bislang setzen wir die Intrusion-Detection
ohne IPS ein, möchten das allerdings ändern.
Beim aktivieren des IPS kommt es jedoch zu dem Problem, dass die Docker-basierten Hosts keinerlei Images mehr ziehen können, mit der folgenden Fehlermeldung:
net/http: request canceled (Client.Timeout exceeded while awaiting headers)Im Normalbetrieb funktioniert alles tadellos, bei aktiviertem IPS funktioniert (nur) Docker nicht mehr. Ich hätte erwartet, dass im Falle eines Drops zumindest ein Alert oder Log-Eintrag generiert wird. Leider entsteht keins von beidem, die Firewall meldet auch keine Drops.
Wie lässt sich der Grund für die Blockade herausfinden? Oder habe ich einen grundlegenen Fehler bei der Konfiguration vorgenommen?
Vielen Dank für die investierte Zeit!
Unser derzeitiges Setup sieht wie folgt aus:
WWW
+
|
+-------+--------+
| WAN |
| (LAGG) |
+----------------+ OpnSense
| LAN |
| (LAGG) |
++--------------++
| |
+ +
LAN VIP1
10.0.0.0/24 10.1.0.1/24
- Enabled: True
- IPS mode: True
- Promiscuous mode: True
- Enable syslog alerts: True
- Enable eve syslog output: True
- Pattern matcher: Hyperscan
- Interfaces: LAN, WAN
- Home networks: [Private Netzwerkadressen], [WAN-IP Range]
Wir haben alle freien Regelwerke installiert, enabled und auf Alert gesetzt.
Bitte beschreibe mal bitte genau auf welcher Hardware deine OPNsense läuft.
und ob auf dem Blech oder als VM?
Bitte so viel informationen wie möglich, das macht es uns einfacher zu helfen.