Promiscuous Mode bei vSphere

[TheCritter]

Hallo,

ich habe einen OPNsense Cluster. Eine der FWs soll als VM auf einem vSphere Cluster laufen. Hier https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten ist auch beschrieben wie das funktionieren sollte. Da ist aber der Promiscuous Mode deaktiviert. Ich kann aber nur dann auf die virtuelle IP zugreifen wenn ich auch den Promiscuous Mode aktiviere. Leider flutet mir das aber mein Log mit unnützen Zeug.
Auf einer anderen VM die auf Proxmox/Qemu läuft habe ich das aber nicht.

Frage daher ist das irgendwie möglich auf vSphere CARP zum laufen zu bekommen ohne das mein Log geflutet wird?

[Patrick M. Hausen]

Welches Log wird geflutet? Auf dem ESXi oder auf der OPNsense?

[TheCritter]

Das von OPNsense. Vor Allem matcht die "Default deny / state violation rule" und die "let out anything from firewall host itself" Rule, auch wenn der Traffic überhaupt nicht durch die Firewall durch geht wie bspw LAN zu LAN.

Natürlich kann ich das Log für diese beiden Rules deaktivieren, aber sehe ich praktisch nichts mehr.

[TheCritter]

Ich habe auch schon probiert eine LAN zu LAN Rule zu erstellen die vorher matcht und nicht loggt, aber aus irgendeinem Grund wird die wie übersprungen. Echt seltsam

[Patrick M. Hausen]

Also die deny all würde ich nicht loggen. Wen interessiert jedes einzelne geblockte Paket? Jede Firewall wird 24x7 bombardiert ...

Ich finde da z.B Suricata im IDS Mode wesentlich spannender.

[TheCritter]

Ja danke. Dies ist aber nur unserer innere Firewall zwischen DMZ und LAN. Daher ist hier IPS nicht interessant. Manchmal benötige ich aber trotzdem einen Hinweis warum etwas von hier nach da nicht durch kommt. Selbst mit Filter bei "List View" tauchet das Ergebnis nur 1sek auf und ist dann wieder weg weil der mit der Menge nicht klar kommt. Das sind vor allem Ceph und iSCSI Pakete die das fluten.

[Patrick M. Hausen]

Ich schrieb IDS, nicht IPS. Aber ja, verstehe den Einsatz nun besser. Keine Idee, sorry.