Hi,
ich habe meine OPN u.a. für die Trennung der Server, DMZ und LAN...
nun habe ich in der DMZ einen Server in Proxmox laufen.
Suricata ist in WAN, DMZ und Servernetz aktiv.
Der Server in der DMZ wird regelmäßig wohl durch Suricata blockiert, bekommt keine IP per DHCP usw...
In den Alarmmeldungen oder im Protokoll steht hierüber nichts.
Wenn Suricata auf der OPN deaktiviert wird, funktioniert wieder alles tadellos. So bin ich nach vielen Std auf Suricata gekommen...
Was kann man tun? Im Log finde ich wie gesagt überhaupt nichts, um dieses Problem irgendwie zu greifen.
Das hört sich für mich danach an dass die Karte/Treiber mit netmap (IPS mode) nicht kompatibel ist.
Hi,
Intel e1000 Treiber, wie auf den anderen Interfaces auch
Also es schlagen keine Regeln and und im Log der Console ist auch nichts zu sehen?
Genau, und es gibt keine Verbindung. Sobald der Dienst deaktiviert wird, funktioniert es sofort.
Und im IDS mode geht es auch oder?
Hab ich ehrlich gesagt noch nicht probiert, aber wäre es Mal Wert zu probieren :)
Vielleicht sind es auch nur die Hardware Features die unter Interfaces: Settings abgestellt werden müssen (v.a. CRC).
Grüsse
Franco
Die drei sind auch alle deaktiviert.
Habe es jetzt mal ohne IPS aktiv und gucke mal, was passiert...
EDIT:
Hab noch was gefunden, als ich die Erweiterten Einstellungen öffnete.
HEIMNETZE. Dort fehlt das Netz der DMZ. LAN/VPN/WLAN war eingetragen. Server fehlte jedoch auch.
Was bewirkt diese Einstellung?
Damit die Regeln auch korrekt greifen.
https://www.youtube.com/watch?v=lgL20apoJ2U
Hab die Netze mal zugefügt und bisschen Last erzeugt. Wieder Netzwerkverbindung getrennt.
Suricata deaktivert. Sofort wars wieder da.
Verstehe es echt nicht.
Schau mal auf die Konsole was die sagt.
Ich hatte das mit 20.1 und ner alten X710 Karte, die hat dann einfach dicht gemacht.
Oder wenn du auf einem VLAN parent filterst aber offloading aktiv hast.
Leider ohne Erfolg.
Vor allem verstehe ich nicht:
es sind vier identische NIC, auf drei NIC läuft Suricata. und auf einer wird die Verbindung kommentarlos blockiert.
Hiho,
Suricata ist ein Thema für sich. Ich habe auch schon unterschiedliche Erfahrung damit gemacht. Mir ist aufgefallen, dass manche Update- oder Wiederherstellungs-Prozesse nicht richtig sauber durchlaufen.
Ich hatte zum einem das Problem, dass ich manche Spiele nicht zocken konnte, weil Suricata über den Block jener Dienste geschwiegen hat. Und ich meine mit schweigen tatsächlich, es wurde rein gar nichts geloggt. Ich habe mich dumm und dämlich gesucht. Es gab keine Meldung.
2. Problem war dass Suricata über einen längeren Zeitraum nichts geloggt hat.
Natürlich habe ich mehrfach die rules gecheckt und genau die die eigentlich hätten loggen solle, taten es nicht.
Weil ich Opnsense nicht komplett neuinstallieren wollte, habe ich folgendes probiert:
WAN Kabel zur Sicherheit gezogen, Suricata über das Dashboard disabled und dann über die Opnsense Pakete reinstalliert. Anschließend OPNsense neugestartet. Nachdem hochfahren den Dienst wieder aktiviert und alle Rules neu heruntergeladen.
Ohne Erfolg.
Gleiches prozedere, nur diesmal habe ich über das Terminal "suricata-update" gestartet. LEider auch ohne Erfolg.
Das Einzige das wirklich geholfen hat war, Backup von OPNsense machen und neuinstallieren. Nur so hat Suricata wieder normal funktioniert.
Es ist also nicht unbedingt ein konfigurationsfehler von dir. Es kommt scheinbar durchaus vor, dass Suricata ab einem gewissen Punkt nicht mehr Ordnugnsgemäß funktioniert, obwohl das in den Logs nicht richtig ersichtlich wird. Ob es an den Intel NIC's liegt, weiß ich nicht... ich habe auch welche. Würde mich interessieren, ob die probleme verursachen.
Das halte ich für ein Gerücht .. ansonsten würde das hier keine benutzen wenn das ein generelles Problem ist.
Es muss kein generelles Problem sein. Bei mir lief es vom sprung von 20.1 auf 20.7 nicht mehr richtig. Es kann sich immer um Einzelfälle handeln.
Von 20.1 auf 20.7 gab es ein Problem mit syslog, eventuell lags daran dass nichts geloggt wurde. Ist jetzt aber alles wieder funktional
Das "Neumachen" war wohl ein ganz guter Tipp...
Zumindest funktioniert es bisher seit einem Tag. Ohne Blockierung. Ohne Log.
Mal sehen, wie es sich weiter verhält.