Nach Update 23.1.1 Fehler netmap mit Suricata

[RES217AIII]

Hallo Forum,
nach upgrade auf 23.1.1 arbeitet meine OPNsense nicht mehr. In der Konsole finde ich unten stehende Fehlermeldungen.

=
ffload
782.651133 [4026] netmap_transmit igb2 drop mbuf that needs checksum 0
ffload
783.213514 (4026] netmap_transmit igb2 drop mbuf that needs checksum 0
ffload
784.702972 [4026) netmap_transmit igb2 drop mbuf that needs checksum 0
ffload
785.024571 (4026] netmap_transmit igb2 drop mbuf that needs checksum 0
ffload
786 . 594761 [4026] netmap_transmit igb2 drop mbuf that needs checksum 0
ffload
787.524335 [4026] netmop_transmit igb2 drop mbuf that needs checksum 0
=

Suricata lauscht nur auf das interne Netz. Dort habe ich kein VLAN konfiguriert.
Einzig über WAN (PPPoE mit einem Glasfaseranschluß der Telekom) ist ein VLAN konfiguriert, das aber nicht von Suricata abgehört wird.
Ich benutze Hyperscan, aber auch eine Umstellung des Musterprüfers auf Aho-Corsiak führte zu keiner Behebung des Fehlers.

Im Forum habe ich folgende Posts gefunden.

https://forum.opnsense.org/index.php?topic=32114.0

https://forum.opnsense.org/index.php?topic=32167.0

https://forum.opnsense.org/index.php?topic=32002.0

Danach scheint dies ein Problem des Kernel unter der aktuellen Version von FreeBSD zu sein wonach die Prüfsumme nicht ,,0" sein darf.  Habe ich das richtig verstanden?

Nur wenn ich Suricata deaktiviere arbeitet OPNsense. Unter 22.7 lief alles problemlos und sehr perfomant.
Gibt es eine Lösung?
Ist eine Lösung in den nächsten Updates zu erwarten?

Ich bedanke mich im voraus für Rückmeldungen

[RES217AIII]

Hat jemand eine Idee?
Ich habe keine Veränderung in der Konfiguration vorgenommen. Unter 22.7 lief alles völlig problemlos.
Allein nach dem Update auf 23.1 kann ich suricata nicht mehr nutzen mit den oben genannten Fehlermeldungen. So gehe ich davon aus, dass es ein durch das Update verursachtes Problem ist.
Wenn ich warten muss bis das vermeintliche Problem in neuen Versionen behoben ist, ist dies kein Problem. Muss ich aber Veränderungen in meinen Konfiguration(Treiber etc.) vornehmen so wäre ich über Ratschläge dankbar.
Beigefügt habe ich die Ausgabe des Systemnachrichtenpuffers:

Code Select Expand


CPU: AMD EPYC 3151 4-Core Processor                  (2700.13-MHz K8-class CPU)
  Origin="AuthenticAMD"  Id=0x800f12  Family=0x17  Model=0x1  Stepping=2
  Features=0x178bfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLUSH,MMX,FXSR,SSE,SSE2,HTT>
  Features2=0x7ed8320b<SSE3,PCLMULQDQ,MON,SSSE3,FMA,CX16,SSE4.1,SSE4.2,MOVBE,POPCNT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND>
  AMD Features=0x2e500800<SYSCALL,NX,MMX+,FFXSR,Page1GB,RDTSCP,LM>
  AMD Features2=0x35c233ff<LAHF,CMP,SVM,ExtAPIC,CR8,ABM,SSE4A,MAS,Prefetch,OSVW,SKINIT,WDT,TCE,Topology,PCXC,PNXC,DBE,PL2I,MWAITX>
  Structured Extended Features=0x209c01a9<FSGSBASE,BMI1,AVX2,SMEP,BMI2,RDSEED,ADX,SMAP,CLFLUSHOPT,SHA>
  XSAVE Features=0xf<XSAVEOPT,XSAVEC,XINUSE,XSAVES>
  AMD Extended Feature Extensions ID EBX=0x1007<CLZERO,IRPerf,XSaveErPtr,IBPB>
  SVM: NP,NRIP,VClean,AFlush,DAssist,NAsids=32768
  TSC: P-state invariant, performance statistics
real memory  = 17179869184 (16384 MB)
avail memory = 16519421952 (15754 MB)
Event timer "LAPIC" quality 600
ACPI APIC Table: < >
FreeBSD/SMP: Multiprocessor System Detected: 8 CPUs
FreeBSD/SMP: 1 package(s) x 2 cache groups x 2 core(s) x 2 hardware threads
random: registering fast source Intel Secure Key RNG
random: fast provider: "Intel Secure Key RNG"
random: unblocking device.
ioapic0 <Version 2.1> irqs 0-23
ioapic1 <Version 2.1> irqs 24-55
Launching APs: 4 6 2 1 3 7 5
wlan: mac acl policy registered
random: entropy device external interface
kbd1 at kbdmux0
WARNING: Device "spkr" is Giant locked and may be deleted before FreeBSD 14.0.
vtvga0: <VT VGA driver>
smbios0: <System Management BIOS> at iomem 0xf05e0-0xf05fe
smbios0: Version: 2.8, BCD Revision: 2.8
aesni0: <AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS,SHA1,SHA256>
acpi0: <SUPERM SUPERM>
acpi0: Power Button (fixed)
cpu0: <ACPI CPU> on acpi0
attimer0: <AT timer> port 0x40-0x43 irq 0 on acpi0
Timecounter "i8254" frequency 1193182 Hz quality 0
Event timer "i8254" frequency 1193182 Hz quality 100
atrtc0: <AT realtime clock> port 0x70-0x71 on acpi0
atrtc0: registered as a time-of-day clock, resolution 1.000000s
Event timer "RTC" frequency 32768 Hz quality 0
apei0: <ACPI Platform Error Interface> on acpi0
hpet0: <High Precision Event Timer> iomem 0xfed00000-0xfed003ff on acpi0
Timecounter "HPET" frequency 14318180 Hz quality 950
Event timer "HPET" frequency 14318180 Hz quality 350
Event timer "HPET1" frequency 14318180 Hz quality 350
Event timer "HPET2" frequency 14318180 Hz quality 350
Timecounter "ACPI-fast" frequency 3579545 Hz quality 900
acpi_timer0: <32-bit timer at 3.579545MHz> port 0x808-0x80b on acpi0
pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
pci0: <ACPI PCI bus> on pcib0
pcib1: <ACPI PCI-PCI bridge> at device 1.1 on pci0
pci1: <ACPI PCI bus> on pcib1
nvme0: <Generic NVMe Device> mem 0xef800000-0xef803fff irq 24 at device 0.0 on pci1
pcib2: <ACPI PCI-PCI bridge> at device 1.3 on pci0
pci2: <ACPI PCI bus> on pcib2
pcib3: <ACPI PCI-PCI bridge> irq 32 at device 0.0 on pci2
pci3: <ACPI PCI bus> on pcib3
vgapci0: <VGA-compatible display> port 0x6000-0x607f mem 0xee000000-0xeeffffff,0xef000000-0xef01ffff irq 32 at device 0.0 on pci3
vgapci0: Boot video device
pcib4: <ACPI PCI-PCI bridge> at device 1.5 on pci0
pci4: <ACPI PCI bus> on pcib4
igb0: <Intel(R) I350 (Copper)> port 0x5060-0x507f mem 0xef760000-0xef77ffff,0xef78c000-0xef78ffff irq 40 at device 0.0 on pci4
igb0: EEPROM V1.59-0 eTrack 0x800008f8
igb0: Using 1024 TX descriptors and 1024 RX descriptors
igb0: Using 4 RX queues 4 TX queues
igb0: Using MSI-X interrupts with 5 vectors
igb0: Ethernet address: 3c:ec:ef:7a:d4:40
igb0: netmap queues/slots: TX 4/1024, RX 4/1024
igb1: <Intel(R) I350 (Copper)> port 0x5040-0x505f mem 0xef740000-0xef75ffff,0xef788000-0xef78bfff irq 41 at device 0.1 on pci4
igb1: EEPROM V1.59-0 eTrack 0x800008f8
igb1: Using 1024 TX descriptors and 1024 RX descriptors
igb1: Using 4 RX queues 4 TX queues
igb1: Using MSI-X interrupts with 5 vectors
igb1: Ethernet address: 3c:ec:ef:7a:d4:41
igb1: netmap queues/slots: TX 4/1024, RX 4/1024
igb2: <Intel(R) I350 (Copper)> port 0x5020-0x503f mem 0xef720000-0xef73ffff,0xef784000-0xef787fff irq 42 at device 0.2 on pci4
igb2: EEPROM V1.59-0 eTrack 0x800008f8
igb2: Using 1024 TX descriptors and 1024 RX descriptors
igb2: Using 4 RX queues 4 TX queues
igb2: Using MSI-X interrupts with 5 vectors
igb2: Ethernet address: 3c:ec:ef:7a:d4:42
igb2: netmap queues/slots: TX 4/1024, RX 4/1024
igb3: <Intel(R) I350 (Copper)> port 0x5000-0x501f mem 0xef700000-0xef71ffff,0xef780000-0xef783fff irq 43 at device 0.3 on pci4
igb3: EEPROM V1.59-0 eTrack 0x800008f8
igb3: Using 1024 TX descriptors and 1024 RX descriptors
igb3: Using 4 RX queues 4 TX queues
igb3: Using MSI-X interrupts with 5 vectors
igb3: Ethernet address: 3c:ec:ef:7a:d4:43
igb3: netmap queues/slots: TX 4/1024, RX 4/1024
pcib5: <ACPI PCI-PCI bridge> at device 7.1 on pci0
pci5: <ACPI PCI bus> on pcib5
pci5: <unknown> at device 0.0 (no driver attached)
pci5: <encrypt/decrypt> at device 0.2 (no driver attached)
xhci0: <XHCI (generic) USB 3.0 controller> mem 0xef200000-0xef2fffff irq 37 at device 0.3 on pci5
xhci0: 64 bytes context size, 64-bit DMA
usbus0 on xhci0
usbus0: 5.0Gbps Super Speed USB v3.0
pcib6: <ACPI PCI-PCI bridge> at device 8.1 on pci0
pci6: <ACPI PCI bus> on pcib6
pci6: <unknown> at device 0.0 (no driver attached)
pci6: <encrypt/decrypt> at device 0.1 (no driver attached)
ahci0: <AMD KERNCZ AHCI SATA controller> mem 0xef602000-0xef602fff irq 42 at device 0.2 on pci6
ahci0: AHCI v1.31 with 8 6Gbps ports, Port Multiplier supported with FBS
ahcich0: <AHCI channel> at channel 0 on ahci0
ahcich1: <AHCI channel> at channel 1 on ahci0
ahcich2: <AHCI channel> at channel 2 on ahci0
ahcich3: <AHCI channel> at channel 3 on ahci0
ahcich4: <AHCI channel> at channel 4 on ahci0
ahcich5: <AHCI channel> at channel 5 on ahci0
ahcich6: <AHCI channel> at channel 6 on ahci0
ahcich7: <AHCI channel> at channel 7 on ahci0
ahciem0: <AHCI enclosure management bridge> on ahci0
isab0: <PCI-ISA bridge> at device 20.3 on pci0
isa0: <ISA bus> on isab0
acpi_button0: <Power Button> on acpi0
uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
uart1: <16550 or compatible> port 0x2f8-0x2ff irq 3 on acpi0
orm0: <ISA Option ROM> at iomem 0xc0000-0xc7fff pnpid ORM0000 on isa0
hwpstate0: <Cool`n'Quiet 2.0> on cpu0
Timecounter "TSC-low" frequency 1349999321 Hz quality 1000
Timecounters tick every 1.000 msec
ugen0.1: <AMD XHCI root HUB> at usbus0
nvd0: <Samsung SSD 970 EVO Plus 250GB> NVMe namespace
nvd0: 238475MB (488397168 512 byte sectors)
ahciem0: Unsupported enclosure interface
(aprobe0:ahciem0:0:0:0): SEP_ATTN IDENTIFY. ACB: 67 ec 02 00 00 40 00 00 00 00 80 00
(aprobe0:ahciem0:0:0:0): CAM status: CCB request was invalid
(aprobe0:ahciem0:0:0:0): Error 22, Unretryable error
Trying to mount root from ufs:/dev/gpt/rootfs [rw]...
uhub0 on usbus0
uhub0: <AMD XHCI root HUB, class 9/0, rev 3.00/1.00, addr 1> on usbus0
uhub0: 8 ports with 8 removable, self powered
ugen0.2: <vendor 0x05e3 USB2.0 Hub> at usbus0
uhub1 on uhub0
uhub1: <vendor 0x05e3 USB2.0 Hub, class 9/0, rev 2.00/32.98, addr 1> on usbus0
uhub1: MTT enabled
uhub1: 4 ports with 4 removable, self powered
ugen0.3: <vendor 0x05e3 USB2.0 Hub> at usbus0
uhub2 on uhub0
uhub2: <vendor 0x05e3 USB2.0 Hub, class 9/0, rev 2.00/32.98, addr 2> on usbus0
uhub2: MTT enabled
uhub2: 4 ports with 4 removable, self powered
ugen0.4: <vendor 0x0557 product 0x7000> at usbus0
uhub3 on uhub2
uhub3: <vendor 0x0557 product 0x7000, class 9/0, rev 2.00/0.00, addr 3> on usbus0
uhub3: 4 ports with 3 removable, self powered
ugen0.5: <vendor 0x0557 product 0x2419> at usbus0
ukbd0 on uhub3
ukbd0: <vendor 0x0557 product 0x2419, class 0/0, rev 1.10/1.00, addr 4> on usbus0
kbd2 at ukbd0
ugen0.6: <LITE-ON Technology USB NetVista Full Width Keyboard.> at usbus0
ukbd1 on uhub0
ukbd1: <EP1 Interrupt> on usbus0
kbd3 at ukbd1
igb0: link state changed to UP
igb1: link state changed to UP
igb2: link state changed to UP
igb3: link state changed to UP
intsmb0: <AMD FCH SMBus Controller> at device 20.0 on pci0
smbus0: <System Management Bus> on intsmb0
ums0 on uhub3
ums0: <vendor 0x0557 product 0x2419, class 0/0, rev 1.10/1.00, addr 4> on usbus0
ums0: 3 buttons and [Z] coordinates ID=0
lo0: link state changed to UP
pflog0: permanently promiscuous mode enabled
igb1: link state changed to DOWN
vlan0: changing name to 'vlan01'
igb0: link state changed to DOWN
igb3: link state changed to DOWN
igb2: link state changed to DOWN
WARNING: attempt to domain_add(netgraph) after domainfinalize()
ng0: changing name to 'pppoe0'
tun1: changing name to 'ovpns1'
tun2: changing name to 'ovpns2'
igb1: link state changed to UP
vlan01: link state changed to UP
igb0: link state changed to UP
igb3: link state changed to UP
igb2: link state changed to UP
ovpns1: link state changed to UP
ovpns2: link state changed to UP
ovpns1: link state changed to DOWN
ovpns1: link state changed to UP
ovpns2: link state changed to DOWN
ovpns2: link state changed to UP
387.239591 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
igb0: link state changed to DOWN
387.424703 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
387.667629 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
387.900586 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
igb3: link state changed to DOWN
388.026108 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
388.266768 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
388.529712 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
igb2: link state changed to DOWN
388.649155 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
388.888676 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
389.125966 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
igb1: link state changed to DOWN
vlan01: link state changed to DOWN
389.245581 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
389.518694 [ 851] iflib_netmap_config       txr 4 rxr 4 txd 1024 rxd 1024 rbufsz 2048
igb0: link state changed to UP
igb0: link state changed to DOWN
igb3: link state changed to UP
igb2: link state changed to UP
igb1: link state changed to UP
vlan01: link state changed to UP
igb3: link state changed to DOWN
igb0: link state changed to UP
igb2: link state changed to DOWN
igb3: link state changed to UP
igb2: link state changed to UP
igb1: link state changed to DOWN
vlan01: link state changed to DOWN
igb0: link state changed to DOWN
igb3: link state changed to DOWN
igb2: link state changed to DOWN
igb3: link state changed to UP
igb2: link state changed to UP
igb1: link state changed to UP
vlan01: link state changed to UP
igb0: link state changed to UP
ovpns1: link state changed to DOWN
ovpns1: link state changed to UP
ovpns2: link state changed to DOWN
ovpns2: link state changed to UP



[Nambis]

Das einzige, was mir spontan einfällt, ist, dass du suricata noch mal Neuinstallieren könntest. Ansonsten sichere die Konfiguration und ziehe eine Neuinstallation in Erwägung, falls sich das Problem nicht lösen lässt. Frag auch mal im englischen Forum nach, evtl. ergibt sich dort eine Lösung...

[RES217AIII]

Vielen Dank für die Antwort.
Ich hatte mein Problem auch im englischen Forum geschildert. Leider haben wir auch dort noch keine Lösung finden können.

[Nambis]

Vielen Dank für die Antwort.
Ich hatte mein Problem auch im englischen Forum geschildert. Leider haben wir auch dort noch keine Lösung finden können.

Was passiert, wenn du Suricata auf WAN lauschen lässt? Ich ging immer davon aus, dass dies auch mit VLAN's funktionieren sollte.

Hast du den Promiscuos Modus aktiviert? Mir fällt nichts Schlaues dazu ein, aktiviere mal die HW Offloads wieder, vorerst und schaue was passiert.

https://forum.opnsense.org/index.php?topic=13933.0

[RES217AIII]

Wie so häufig sitzt das Problem vor dem Bildschirm!!

Nach dem Update auf 23.1.1 waren die HW offloads aktiviert. Das setzen der Häkchen löste mein Problem.
Trotz mehrerer Hinweise aus dem Forum, dass dies das Problem sein könnte, habe ich dies als letztes geprüft, da ich mir sicher war, dass dort alles korrekt konfiguriert war.
Nochmals vielen Dank