OPNsense Forum

International Forums => German - Deutsch => Topic started by: carepack on December 13, 2016, 10:45:22 am

Title: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: carepack on December 13, 2016, 10:45:22 am
Hallo OPNsense-Gemeinde,

ich freu mich meine Firewall endlich auf OPNsense umgestellt zu haben. Es war mir schon lange ein Anliegen, vor allem seit ich vermehrt die Debatte zwischen PFsense und OPNsense Debatte verfolge (anderes Thema und gehört nicht hier her).

Mit Squid und Suricata hab ich leider ein paar Probleme. Logs kann ich erst später bereitstellen. Hier mal meine Config

Interfaces:
WAN: re0 -> vlan_tag 7 -> pppoe t-online
OPT1: mein wlan
LAN: mein lan

Suricata:
Grundsätzlich funktioniert Suricata, allerdings ist mein Problem, wenn ich Suricata nur das WAN Interface überwachen lasse, dass keine Alerts oder Infos im Log angezeigt werden. Um zu testen ob Suricata grundsätzlich funktioniert, habe ich die Interfaces getauscht, und lasse Suricata auf den Interfaces LAN und OPT1 lauschen und siehe da, es werden Infos und Alerts angezeigt.
Eigentlich wäre der Zustand für mich tragbar, wenn nicht die wlan Schnittstelle OPT1, signifikante Geschwindigkeitseinbußen hätte. Hat jemand eine Idee wie ich Suricata dazu bekomme, dass WAN Interface zu überwachen? Wäre mir die liebste Lösung. Ich könnte auch damit leben wenn die Performance für WLAN / OPT1 passen würde. Ist vielleicht das VLAN Tag7 das Problem? Suricata läuft auf promiscious mode.

Squid:
Der Proxy Server läuft im transparenten Modus. Blacklists sind installiert und aktiviert. SSL ist deaktiviert, es sollen also nur nicht SSL Verbindungen gefiltert werden. Als Interfaces / Netze habe ich OPT1 und LAN angegeben.
Ich habe die Kategorien z.B. gambling, webtv usw in den Blacklists aktiviert, kann jedoch alle Seiten die mir einfallen aufrufen. Es scheint irgendwie, dass der Traffice nicht über Squid läuft, den Squid Server kann ich allerdings gezielt über ip:port aufrufen.
Auch hier würde ich mich freuen wenn jemand eine Idee hätte. Logs kommen später.
Quote
Edit: Ich  muss meine FW-Rules nochmal prüfen.

Ich sag schon mal vielen Dank an die Community.
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: fabian on December 13, 2016, 07:18:10 pm
Was die Firewall-Regeln angeht: einfach mal den Hilfetext anzeigen lassen - dann bekommst du einen Link zur vorkonfigurierten NAT-Regel.

MfG

Fabian
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: carepack on December 13, 2016, 08:27:21 pm
Was die Firewall-Regeln angeht: einfach mal den Hilfetext anzeigen lassen - dann bekommst du einen Link zur vorkonfigurierten NAT-Regel.

MfG

Fabian

Hi fabian,

danke für die antwort. Ja, mein fehler. Hab die firewallregeln hinzugefügt und es funktioniert. Leider habe ich aber noch keine lösung für suricata und das wan interface. Ich versuch mal logs zu ziehen.
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: carepack on December 13, 2016, 11:30:18 pm
ok, es hängt auf jeden fall mit dem vlan tag 7 für die telekom zusammen. hat mir jemand einen tipp wie ich mehr infos aus den logs ziehe? suricata.log und dmesg haben nichts vernünftiges ausgespuckt

dank
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: carepack on December 14, 2016, 07:31:57 pm
Hatte noch niemand probleme mit suricata / vlan an einem telekomanschluss? Wollte gestern schon ne modded firmware auf mein speedlink 1113 laden, damit das modem taggt. Wenn das Vlan Tag fehlt schein suricata zu funktionieren. Soll ich bei github den sachverhalt mal als issue anlegen?
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: franco on December 15, 2016, 08:09:19 am
Hi carepack,

Es gibt vereinzelt Verhalten wo Suricata im IPS Mode die Pakete nicht sieht (in Verbindung mit VLAN oder PPPoE). Bislang wissen wir nicht warum. Ein nachgestelltes Fehlerbild konnten wir sogar mit den Suricata-Enwicklern bislang nicht erzeugen.

Vielleicht liegt es an den Treibern/dem Framework auf das das IPS aufsetzt, also eine FreeBSD-spezifische Angelegenheit. Einen generellen Suricata-Fehler können wir jedoch ausschließen.

Ist Suricata im IPS oder IDS mode?


Grüße
Franco
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: carepack on December 15, 2016, 11:28:28 am
Hi Franco,

danke für deine Rückmeldung. Läuft als IPS. Wenn cih behilflich sein kann, bitte melden. Ich würde euch gern beim debugging helfen. Die suricata logs habe ich mir angeschaut und auch dmesg. Aus meiner sicht nichts relevantes dabei. Welche Informationen braucht Ihr und von wo ziehe ich die?
Weis nicht ob es ein normales Verhalten ist, aber:
Ich habe auf dem Dashboard folgende Widget: Gateways, Interfaces
Gateways zeigt mir die per pppoe zugewiesene Adresse an
Interfaces WAN: zeigt auch ein IP an, die eine komplett andere ist wie die von pppoe

Ein Update auf 16.7.11 mit suricata 3.2 hat leider nicht geholfen.

Viele Grüße und ich hoffe, wir können dem probelm ein wenig auf die spur kommen.

Oder weist du wie ich mit suricata auf dem wlan interface eine performante verbindung hinbekomme? wenn suricata auf lan und wlan zur überwachung geschalten ist, funktioniert lan einwandfrei und performant, wlan leider nicht.


Micha
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: franco on December 15, 2016, 12:04:14 pm
Hi Micha,

Am liebsten wäre es wenn wir einmal auf solch ein System schauen könnten während es in der Konfiguration läuft. Wäre das möglich?


Grüße
Franco
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: carepack on December 15, 2016, 12:18:08 pm
ist überhaupt kein problem, hab leider noch kein vpn am laufen. remote session via teamviewer oder so? wann würde es denn passen? Vielleicht kurz in meiner mittagspause gegen 13:45? evt. heute abend, da erst aber gegen später. Morgen siehts ähnlich aus.
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: franco on December 15, 2016, 12:21:26 pm
Einfaches SSH würde auch reichen. Muss nur der Port freigeschaltet werden auf WAN. Ich melde mich noch mal per Mail.
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: carepack on December 19, 2016, 05:39:29 pm
also, ich habe suricata jetzt zum laufen bekommen auf der wan schnittstelle. allerdings bricht die verbindung von 50Mbit auf 10 ein. Jemand eine Idee? Warum hab ich denn solche probleme. Hatte eine ähnlich config auch als ich noch pfsense benutzt habe, allerdings mit snort.
Title: Re: OPNsense 16.7.10 und Einrichtung mit Squid und Suricata
Post by: Wayne Train on February 13, 2017, 09:19:09 pm
Hi,
hat sich dein Suricata Problem gelöst ?
Ich habe die OpNsense gerade erst eingerichtet und Suricata im IPS-Modus aktiviert, ohne groß was zu konfigurieren.
Leider tue ich mich noch ziemlich schwer damit Suricata richtig einzustellen. Kannst du mir evtll. ein paar Tipps geben, wie du vorgegangen bist ? ich glaube das würde mir helfen.
Ich habe Suricata übrigens auch nur auf dem WAN laufen. Aber ohne WAN seitiges VLAN tagging. Performance-Einbußen hatte ich bisher auch noch keine. Aber bis auf die Feodo und SSL-Blacklists habe ich auch noch nix laufen...
Grüße
CS