Messages

1

German - Deutsch / OPNsense + IPv6 Setup Verständnissfrage

« on: December 09, 2020, 03:22:29 pm »

Hallo zusammen

Aktuell habe ich meine OPNsense in Verison 20.7.6 und IPv4 only im Einsatz.
Die aktuelle Config hat ein WAN Interface, ein LAN Interface sowie diverse VLANs welche auf das LAN interface assigned sind.

Vom ISP erhalte ich ein fix zugeweisenenes IPv6 /48 Segment welches via DHCPv6-Prefex-Delegation zugewiesen wird.
Nun würde ich gerne in meinem internen Netzwerk IPv6 aktivieren, beginnend mit dem Gäste Netz.

Geplantes Vorgehen:

• Firewall > Settings > Advanced > Allow IPv6 aktivieren
• Auf dem WAN Interface DHCPv6 mit der Prefix Delegation Size 48 aktivieren
• Auf dem GUEST Interface für IPv6 das Track Interface mi "WAN" konfigurieren.
• Anschliessend die FW Rules entsprechend anpassen (IPv4 + IPv6 selektieren wo nötig & separate Rules für IPv6 bauen wo nötig)

Nun zu meinen Fragen / Verständnisproblemen

• Spricht generell etwas gegen dieses Setup bzw. Vorgehen oder kann ich da was von Anfang an besser machen?
• Wenn ich einem Geräte eine statische IPv6 Addresse via DHCPv6 zuweisen will, kann ich das über "Allow Manual Adjustments for DHCPv6" auf den entsprechenden Interfaces umsetzen oder spricht da was dagegen?
• Einige interne Devices haben eine fixe IPv4 Addresse welche via Alias in den FW Rules als Destination verwendet wird.
  Damit diese nun auch via IPv6 erreichbar sind kann ich den Alias mit der zugewiesenen IPv6 Addresse erweitern - korrekt?

Bitte entschuldigt meine Laienhaften Fragen, möchte jedoch gerne verhindern dass ich das Setup mehrfach umbauen muss.

Vielen Dank bereits im Voraus für eure Hilfe

Beste Grüsse

2

German - Deutsch / Re: Netzwerkprobleme mit aktivem Suricata IPS

« on: December 04, 2020, 08:45:59 pm »

Nun bin ich endlich dazu gekommen hier weiter zu testen. Habe mir den Output von dmesg angesehen, das Problem reproduziert und nochmals ins dmesg geschaut - dort konnte ich keinen neuen Eintrag feststellen.

Jedoch sind diverse ältere Einträge aufgefallen, die immer wieder ersichtlich sind:

Code: [Select]

generic_netmap_attach     Emulated adapter for igb1_vlan50 created (prev was NULL)
generic_netmap_dtor       Emulated netmap adapter for igb1_vlan50 destroyed
generic_netmap_attach     Emulated adapter for igb1_vlan50 created (prev was NULL)
generic_netmap_register   Emulated adapter for igb1_vlan50 activated


Code: [Select]

pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled
pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled

Da beim Reproduzieren des Problems keine neuen Meldungen im system.log wie auch in dmesg aufgetaucht sind, kann ich diese nicht genau zuordnen - hab ich hier irgend was falsch gemacht?

3

German - Deutsch / Re: Netzwerkprobleme mit aktivem Suricata IPS

« on: November 30, 2020, 10:13:17 am »

Ja, HW Offloading und VLAN Filtering ist aus

- Hardware CRC: Disable hardware checksum offload selektiert
- Hardware TSO: Disable hardware TCP segmentation offload selektiert
- Hardware LRO: Disable hardware large receive offload selektiert
- VLAN Hardware Filtering: Disable VLAN Hardware Filtering selektiert

Müsste meines Erachtens so korrekt sein.

4

German - Deutsch / Re: Netzwerkprobleme mit aktivem Suricata IPS

« on: November 29, 2020, 05:35:00 pm »

Sorry für die verspätete Antwort, im Anhang noch der Screenshot von Suricata komplett

Habe noch ein paar Tests durchgeführt:
- mit Suricata ohne IPS Mode läuft einwandfrei
- sobald IPS Mode Mode aktiv, habe ich Netzwerkprobleme
- Clients in den VLANs erhalten eine IP via DHCP, jedoch funktioniert der Zugriff z.B. ins Internet nicht.
- Clients in den VLANs mit fixer IP haben ebenfalls keinen Internetzugriff
- von den VLANs komme ich auch nicht mehr auf die OPNsense
- Client direkt via RJ45 an LAN Port angeschlossen hat Zugriff auf die OPNsense

Folgende Meldungen sehe ich im Suricata Log:

Code: [Select]

suricata[96235] [100187] <Notice> -- all 2 packet processing threads, 4 management threads initialized, engine started.
suricata[96235] [100457] <Notice> -- opened netmap:igb1/T from igb1: 0x543035fc300
suricata[96235] [100457] <Notice> -- opened netmap:igb1^ from igb1^: 0x543035fc000
suricata[96235] [100448] <Notice> -- opened netmap:igb1^ from igb1^: 0x542c2674300
suricata[96235] [100448] <Notice> -- opened netmap:igb1/R from igb1: 0x542c2674000
suricata[83500] [100090] <Notice> -- This is Suricata version 5.0.4 RELEASE running in SYSTEM mode

Leider habe ich keinen Monitor zur Hand den ich anschliessen kann während das Problem auftritt.
Kann jedoch via LAN Port & SSH auf die OPNsense zugreiffen, wenn ich hier irgendwelche Screenshots oder Logs ziehen soll.

5

German - Deutsch / Re: Netzwerkprobleme mit aktivem Suricata IPS

« on: November 27, 2020, 12:55:50 pm »

Screenshots noch attached.

6

German - Deutsch / Re: Netzwerkprobleme mit aktivem Suricata IPS

« on: November 27, 2020, 12:52:50 pm »

Hallo zusammen

Danke für eure Rückmeldungen.
Die OPNsense läuft auf Hardware
CPU: Intel Core i5-7200U
Memory: 16 GB
SSD: 120 GB
NIC: Intel i211AT

Auf dem LAN Interface (igb1) sind aktuell 6 VLANs definiert und in den Suricata Settings Promiscuous Mode aktiviert.

7

German - Deutsch / Netzwerkprobleme mit aktivem Suricata IPS

« on: November 26, 2020, 09:02:14 pm »

Hallo zusammen,

Habe schon verschiedene Beiträge in dem Forum und dazu gefunden, jedoch konnte ich mein Problem bisher nicht lösen und hoffe auf eure Hilfe.

Habe die OPNsense in der Version 20.7.5 im Einsatz mit einem WAN Interface und einem LAN Interface konfiguriert. Auf dem LAN Interface habe ich diverse Subnets konfiguriert und soweit funktioniert alles.
Sobald ich bei Suricata jedoch die Option "IPS Mode" aktiviere, erhalte ich bei sämtlichen VLANs keine Netzwerkverbindung mehr.

Suricata läuft nur auf dem LAN Interface und Promiscuous Mode ist aktiviert.

In den Interface Settings sind die Optionen "Disable hardware checksum offload", "Disable hardware TCP segmentation offload" und "Disable hardware large receive offload" selektiert sowie "VLAN Hardware Filtering" auf "Disable VLAN Hardware Filtering" gestellt.

Konfiguration meines Erachtens nach somit gemäss https://docs.opnsense.org/manual/ips.html?highlight=intrusion%20detection

Habe ich hier ein Setting übersehen? Wie kann ich dieses Problem sinnvoll weiter analysieren?

Danke euch :-)

8

General Discussion / Re: OPNsense and Ubiquiti VLAN connectivity issues

« on: June 22, 2020, 11:10:56 pm »

Thanks a lot for your reply! Somehow it seems to be that the interface wasn't working as expected and I therefore moved all the VLANs to a new interface that was not in use before - now everything is working perfectly fine.

9

General Discussion / OPNsense and Ubiquiti VLAN connectivity issues

« on: June 22, 2020, 02:48:02 pm »

Dear all,

I recently installed an OPNsense Firewall and I'm pretty happy with it.
However, I'm facing an issue with the VLAN configuration and my Ubiquiti Access Points and Switches.
While searching through the Internet I was able to find many potential solutions, but none of them seems to fix my issue.
The problem is that clients connected to a VLAN are not receiving an IP address from my DHCP and are therefore unable to connect to the network.
Even if I configure the clients with a static IP address the network connection is not possible.

Connections from the LAN network (through Switch or Access Point) are working fine. It seems to me that the VLAN tagging isn't working..

FW Setup:

Firewall has the following Interfaces configured:

• WAN - DHCP
• LAN - 192.168.1.1/24

The different VLANs are configured on the LAN interface of the FW.

• VLAN10 - 192.168.10.1/24
• VLAN20 - 192.168.20.1/24
• VLAN30 - 192.168.30.1/24
• VLAN40 - 192.168.40.1/24

My DHCP is configured to serve all the VLANs above with the corresponding IP addresses.
No blocked traffic visible on the FW and I also created an "allow any" rule for testing purposes without any improvement.

Cloud Key, Switch, Access Points are all in the LAN network with a static IP.

Ubiquiti Setup:

• the VLANs are configured as "VLAN only" Network
• on the Switch port for the FW <-> Switch connection the Switch Profile "All" is selected
• on the Switch port for the FW <-> Access Point connection the Switch Profile "All" is selected
• on the Switch ports where a device is connected directly, the corresponding Switch Profile for the VLAN is selected
• the WiFi networks are tagged wit hthe corresponding VLAN ID
• DHCP Snooping and DHCP Guarding is disabled on Ubiquiti

Has anyone a similar setup or did face such issues in the past? Any hints / suggestions regarding this issue?
OPNsense and all Ubiquiti devices are updated to the latest version.


Thanks a lot for your assistance!

Best regards