Messages

1

17.7 Legacy Series / Re: [SOLVED] [Suricata] Suricata dropping traffic with IPS.

« on: November 09, 2017, 04:18:00 pm »

Hi Fabio,
I am on a hardware with
i5 CPU / 8GB Memory / 64 SSD GB HDD/ Intel 82574L Gigabit Ethernet

So, if you are running your OPNsense on Hardware directly -> check out your current Pattern matcher (under Services/IntrusionDetection). For better Performance you could try "Hyperscan" instead of "Aho-Corasick".

Fabio

2

17.7 Legacy Series / Re: [SOLVED] [Suricata] Suricata dropping traffic with IPS.

« on: November 09, 2017, 11:14:25 am »

Thank you Fabio,
the connections works only its dropped significly down.
i tried everything but nothing helped.

Hello Julien.

What for an Virtualization Host and qemu-Version you are using?

3

17.7 Legacy Series / Re: [SOLVED] [Suricata] Suricata dropping traffic with IPS.

« on: November 09, 2017, 09:38:01 am »

Hello Julien,

Is the difficulty being shown at any speed? Or is only felt when you reach 200mbps?

Thanks!

In my environment I tested it via iperf to a System in another Subnet or over WAN:
Virtio and IPS disabled: ~900Mbit/s
E1000 and IPS disabled: ~200-250Mbit/s
VMXNET3 and IPS disabled: ~500Mbit/s
VMXNET3 and IPS enabled: ~300-400Mbit/s

Grretings,
Fabio

Hello again.

My problem was not the same as yours. My connections simply dropped dead. No even ping would pass.
It appears that is issue on your case is the vCPU of the opnsense appliance is not strong enough to handle all the traffic and IPS at the same time.
Can you add other vCPU's to your vm, and pin them with exclusivity to a physical CPU on the host and re-check?

Thanks

Yes, I have the same issue with E1000 and VirtIO, if IPS is enable -> nothing works!
And of course - I still played with the amount of vCores and with the emulated CPU Type. But it is always the same with E1000 and VirtIO.
I am running my Installation currently with VMXNET3, because I don't want to give up IPS...

4

17.7 Legacy Series / Re: [SOLVED] [Suricata] Suricata dropping traffic with IPS.

« on: November 09, 2017, 09:28:06 am »

Hello Julien,

Is the difficulty being shown at any speed? Or is only felt when you reach 200mbps?

Thanks!

In my environment I tested it via iperf to a System in another Subnet or over WAN:
Virtio and IPS disabled: ~900Mbit/s
E1000 and IPS disabled: ~200-250Mbit/s
VMXNET3 and IPS disabled: ~500Mbit/s
VMXNET3 and IPS enabled: ~300-400Mbit/s

Grretings,
Fabio

5

17.7 Legacy Series / Re: [SOLVED] [Suricata] Suricata dropping traffic with IPS.

« on: November 09, 2017, 07:32:33 am »

Hello Nuno.

Thank you for this information.

I am currently running pve-qemu-kvm: 2.9.0-pve4 @ my PROXMOX PVE Host.


Fabio

6

German - Deutsch / Re: OPNsense als KVM -> wenn IPS aktiv funktionieren Interfaces nicht

« on: November 08, 2017, 03:00:26 pm »

Ich habe es befürchtet - Dank Dir!

Ich betreibe die Firewall erst einmal weiter auf VMXNET3. Vielleicht tut sich was und ich kann irgendwann auf VirtIO umstellen...


Gruß,
Fabio

7

German - Deutsch / Re: Mails bleiben in Queue hängen

« on: November 08, 2017, 10:46:22 am »

Schließe mich NilsS an. Wenn IPS aktiv sein sollte - welche Rulesets wurden aktiviert? Vielleicht siehst Du Einträge, wenn Du in der Intrusion Detection unter Alerts nach der IP Adresse deines Servers im Datacenter suchst.

Gruß,
Fabio

8

German - Deutsch / OPNsense als KVM -> wenn IPS aktiv funktionieren Interfaces nicht

« on: November 08, 2017, 10:15:53 am »

Hallo zusammen.

Eines vornweg: Ich bin mit OPNsense sehr zufrieden und habe bisher einige Firewall Installationen erfolgreich in Betrieb genommen.

Aber bei einem Thema beiße ich mir nun schon seit Tagen die Zähne aus.  
Wenn ich die OPNsense Installation als KVM betreibe habe ich enorme Probleme mit IPS. Hier die Eckdaten zu meiner KVM Umgebung:
- 4 virtual Cores (Host oder Haswell)
- 4-8GB RAM
- wahlweise E1000-, VirtIO- oder VMXNET3- Interfaces
- OPNsense 17.7.7_1
- alle Hardware Offloads deaktiviert
- IDS/IPS (Hyperscan oder wahlweise Aho-Corasick) aktiviert - ohne zusätzliche Rulesets

Folgendes passiert:
Sobald ich ein zu überwachendes Interface (z.B.: WAN) im IDS angebe und habe gleichzeitig IPS aktiviert, ist diese Schnittstelle nicht mehr funktionsfähig. Dieses Verhalten tritt auf, wenn ich die Interfaces auf Basis E1000 oder VirtIO betreibe.
Konfiguriere ich die Interfaces mit VMXNET3, funktioniert alles rund um IDS/IPS problemlos. Mit VMXNET3 verliere ich aber ca. 75% der zur Verfügung stehenden Netzwerkperformance (ca. 60% Verlust, wenn ich IDS/IPS vollständig deaktiviere).

Interessant an dieser Stelle:
Konfiguriere ich die Interfaces über VirtIO und deaktiviere IPS, erhalte ich ca. 90% der zur Verfügung stehenden Netzwerkperformance.

Vielleicht hat jemand eine Idee wie ich entweder VirtIO, bzw. E1000 mit OPNsense und IDS/IPS richtig zum Laufen bekomme oder ich die Performance mit VMXNET3 signifikant verbessern kann.

Über Eure Hilfe würde ich mich sehr freuen.


Gruß,
Fabio

9

17.7 Legacy Series / Re: [SOLVED] [Suricata] Suricata dropping traffic with IPS.

« on: November 07, 2017, 02:41:43 pm »

Hello.

I have exactly the same issue with my virtual OPNsense, even if I switch to E1000. All of the activated Interfaces (inside IDS configuration) won't work if I enable IPS.

This behaviour I have with VIRTIO & E1000. Just with VMXNET3 it seems to works. But here I loose ~70% of the physical Bandwidth after activating IDS/IPS. (even if I have increased CPU Cores & Memory from this Virtual Machine)

It would be great if you have any Idea how to realize OPNsense inside a virtual Machine with a good performance and activated IPS.


Thanks,
Fabio