Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Promiscuous Mode bei vSphere
« previous
next »
Print
Pages: [
1
]
Author
Topic: Promiscuous Mode bei vSphere (Read 1335 times)
TheCritter
Newbie
Posts: 7
Karma: 0
Promiscuous Mode bei vSphere
«
on:
January 17, 2023, 10:01:00 am »
Hallo,
ich habe einen OPNsense Cluster. Eine der FWs soll als VM auf einem vSphere Cluster laufen. Hier
https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten
ist auch beschrieben wie das funktionieren sollte. Da ist aber der Promiscuous Mode deaktiviert. Ich kann aber nur dann auf die virtuelle IP zugreifen wenn ich auch den Promiscuous Mode aktiviere. Leider flutet mir das aber mein Log mit unnützen Zeug.
Auf einer anderen VM die auf Proxmox/Qemu läuft habe ich das aber nicht.
Frage daher ist das irgendwie möglich auf vSphere CARP zum laufen zu bekommen ohne das mein Log geflutet wird?
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: Promiscuous Mode bei vSphere
«
Reply #1 on:
January 17, 2023, 10:28:59 am »
Welches Log wird geflutet? Auf dem ESXi oder auf der OPNsense?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
TheCritter
Newbie
Posts: 7
Karma: 0
Re: Promiscuous Mode bei vSphere
«
Reply #2 on:
January 17, 2023, 11:10:31 am »
Das von OPNsense. Vor Allem matcht die "Default deny / state violation rule" und die "let out anything from firewall host itself" Rule, auch wenn der Traffic überhaupt nicht durch die Firewall durch geht wie bspw LAN zu LAN.
Natürlich kann ich das Log für diese beiden Rules deaktivieren, aber sehe ich praktisch nichts mehr.
Logged
TheCritter
Newbie
Posts: 7
Karma: 0
Re: Promiscuous Mode bei vSphere
«
Reply #3 on:
January 18, 2023, 07:35:52 am »
Ich habe auch schon probiert eine LAN zu LAN Rule zu erstellen die vorher matcht und nicht loggt, aber aus irgendeinem Grund wird die wie übersprungen. Echt seltsam
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: Promiscuous Mode bei vSphere
«
Reply #4 on:
January 18, 2023, 07:47:09 am »
Also die deny all würde ich nicht loggen. Wen interessiert jedes einzelne geblockte Paket? Jede Firewall wird 24x7 bombardiert ...
Ich finde da z.B Suricata im IDS Mode wesentlich spannender.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
TheCritter
Newbie
Posts: 7
Karma: 0
Re: Promiscuous Mode bei vSphere
«
Reply #5 on:
January 18, 2023, 08:50:04 am »
Ja danke. Dies ist aber nur unserer innere Firewall zwischen DMZ und LAN. Daher ist hier IPS nicht interessant. Manchmal benötige ich aber trotzdem einen Hinweis warum etwas von hier nach da nicht durch kommt. Selbst mit Filter bei "List View" tauchet das Ergebnis nur 1sek auf und ist dann wieder weg weil der mit der Menge nicht klar kommt. Das sind vor allem Ceph und iSCSI Pakete die das fluten.
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: Promiscuous Mode bei vSphere
«
Reply #6 on:
January 18, 2023, 09:28:08 am »
Ich schrieb IDS, nicht IPS. Aber ja, verstehe den Einsatz nun besser. Keine Idee, sorry.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Promiscuous Mode bei vSphere