Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface
« previous
next »
Print
Pages: [
1
]
Author
Topic: hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface (Read 1031 times)
NikoDo
Newbie
Posts: 8
Karma: 0
hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface
«
on:
February 26, 2023, 12:07:07 pm »
Hallo zusammen,
in einem Cron-Job habe ich über „Periodic interface reset“ einen reconnect für die DSL-Verbindung konfiguriert.
Der Reset wird ausgeführt, allerdings ist im Anschluss daran die CPU-Auslastung bei 3 von 4 Kernen auf 100%. In der
Prozessliste sind ntopng und suricata als Auslöser zu sehen.
Nach einem Neustart der beiden Dienste ist alles wieder normal.
Sobald einer der beiden Dienste während des Resets aktiv ist, geht die CPU-Auslastung für den Prozess auf 100%
und bleibt auch dort. Sind beide Dienste aktiv und ich trenne das DSL-Modem vom Anschluss, um einen Reconnect
zu erzwingen läuft es einwandfrei.
Hat jemand ein ähnliches Verhalten oder eine Lösung dafür?
Logged
mr44er
Newbie
Posts: 9
Karma: 0
Re: hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface
«
Reply #1 on:
February 26, 2023, 05:54:56 pm »
Mein nicht ganz taufrischer Stand ist, dass suricata auf pppoe generell nicht empfohlen wird, weil das genau solche Probleme macht.
Edit:
Lief es denn vorher sauber durch den reset vom ISP, also ohne deinen cronjob? Ist ja auch wieder was anderes, als das modem zu zupfen, bzw. je nachdem, was du zupfst. Zupfst du das RJ-45, geht die NIC an der sense down, zupfst du das Kabel (TAE? Glasfaser? etc.) vom ISP, geht die NIC nicht down.
Idee dazu, wenn ja: via cronjob suricata stoppen, dann interface resetten, wieder starten und vielleicht dazwischen 10-20 Sekunden delay setzen, damit sich das alles berappeln kann.
«
Last Edit: February 26, 2023, 06:03:46 pm by mr44er
»
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface
«
Reply #2 on:
February 26, 2023, 06:15:43 pm »
Wenn ich das so lese stelle ich mir die Frage: wozu suricata an einer pppoe Leitung?
Gesendet von iPhone mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
NikoDo
Newbie
Posts: 8
Karma: 0
Re: hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface
«
Reply #3 on:
February 26, 2023, 07:12:10 pm »
Wenn ich das Kabel direkt aus der opnsense ziehe, gibt es das Problem auch nicht. Die opnsense ist erst seit gestern „aktiv“,
daher gibt es noch keine Erfahrung zum Reset vom ISP. Bislang war sie für die Einrichtung und zum testen hinter einem
Unifi-Router der sich um die „Einwahl“ gekümmert hat und jetzt in den Ruhestand gegangen ist.
Ich habe es mal in einer VM mit identischer Konfiguration getestet, gleiches Ergebnis.
Quote from: micneu on February 26, 2023, 06:15:43 pm
Wenn ich das so lese stelle ich mir die Frage: wozu suricata an einer pppoe Leitung?
Die Frage verstehe ich nicht und es betrifft ja auch ntopng.
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface
«
Reply #4 on:
February 26, 2023, 08:18:03 pm »
Ich vermute, was @micneu meint, ist, dass ein IDS/IPS auf dem WAN-Interface nicht so viel Sinn ergibt wie es scheint.
Du hast auf WAN normalerweise eine "deny all" policy bis auf wenige ausgewählte Services. Ich weiß, dass da da die ganze Welt 24x7 drauf rum trommelt, ich brauche kein IDS, das mir das erzählt. Das ist einfach nur Rauschen.
Interessant ist, wenn in den erlaubten eingehenden Verbindungen in Richtung Server-, IoT-, ... Netz Angriffsmuster gegen bekannte Schwachstellen drin stecken. Die kannst du aber problemlos auf LAN, OPT1, OPT2, ... abgreifen, wenn der ganze Dreck schon mal weg ist.
Nochmal zum Verständnis: 2^32 ist nicht so wahnsinnig viel. Das gesamte Legacy-Internet (IPv4) wird rund um die Uhr gescannt. Und zwar alles. Niemand muss gezielt hinter dir her sein.
Vorteil IPv6. Jedes einzelne LAN ist ein /64. Und die besetzt man "sparse", d.h. man würfelt die Server-Adressen darin zufällig aus - wozu gibt's DNS? Niemand muss die Adressen tippen. Und IPv6 scannen ist eben nicht mehr möglich, weil jedes einzelne LAN schon so groß ist wie das gesamte Legacy-Internet im Quadrat.
Hoffe, das ist hilfreich, ich jedenfalls scanne nicht auf WAN. Da kommt Dreck. Ja. Isso ...
Gruß
Patrick
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
NikoDo
Newbie
Posts: 8
Karma: 0
Re: hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface
«
Reply #5 on:
February 26, 2023, 08:51:16 pm »
Danke Patrick für die ausführliche Erklärung, das hilft mir schon mal weiter.
Ich habe IDS/IPS auf der WAN Schnittstelle aktiviert weil es für mich erst mal logisch erschien
und in sämtlichen Tutorials so gezeigt wird bzw. geschrieben steht. In erster Linie geht es darum
den Weg in mein SmartHome sicherer zu machen und ggf. die Lücken zu schließen die man nicht
kennt bzw. von denen man (ich) keine Ahnung habe.
Tatsächlich hat sich in der vergangen Jahren keiner ungefragt in meinem SmartHome „verlaufen“. Dann
werde ich das jetzt mal mit der Config ändern und sehen was passiert.
Gruß
Niko
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
hohe CPU-Auslastung nach "Periodic interface reset" auf dem WAN Interface