OPNsense als KVM -> wenn IPS aktiv funktionieren Interfaces nicht

[Fabio83]

Hallo zusammen.

Eines vornweg: Ich bin mit OPNsense sehr zufrieden und habe bisher einige Firewall Installationen erfolgreich in Betrieb genommen.

Aber bei einem Thema beiße ich mir nun schon seit Tagen die Zähne aus. :( 
Wenn ich die OPNsense Installation als KVM betreibe habe ich enorme Probleme mit IPS. Hier die Eckdaten zu meiner KVM Umgebung:
- 4 virtual Cores (Host oder Haswell)
- 4-8GB RAM
- wahlweise E1000-, VirtIO- oder VMXNET3- Interfaces
- OPNsense 17.7.7_1
- alle Hardware Offloads deaktiviert
- IDS/IPS (Hyperscan oder wahlweise Aho-Corasick) aktiviert - ohne zusätzliche Rulesets

Folgendes passiert:
Sobald ich ein zu überwachendes Interface (z.B.: WAN) im IDS angebe und habe gleichzeitig IPS aktiviert, ist diese Schnittstelle nicht mehr funktionsfähig. Dieses Verhalten tritt auf, wenn ich die Interfaces auf Basis E1000 oder VirtIO betreibe.
Konfiguriere ich die Interfaces mit VMXNET3, funktioniert alles rund um IDS/IPS problemlos. Mit VMXNET3 verliere ich aber ca. 75% der zur Verfügung stehenden Netzwerkperformance (ca. 60% Verlust, wenn ich IDS/IPS vollständig deaktiviere).

Interessant an dieser Stelle:
Konfiguriere ich die Interfaces über VirtIO und deaktiviere IPS, erhalte ich ca. 90% der zur Verfügung stehenden Netzwerkperformance.

Vielleicht hat jemand eine Idee wie ich entweder VirtIO, bzw. E1000 mit OPNsense und IDS/IPS richtig zum Laufen bekomme oder ich die Performance mit VMXNET3 signifikant verbessern kann.

Über Eure Hilfe würde ich mich sehr freuen.


Gruß,
Fabio

[mimugmail]

Hi,

ist ein bekanntes Problem, leider ...


https://github.com/opnsense/core/issues/1913

[Fabio83]

Ich habe es befürchtet - Dank Dir!

Ich betreibe die Firewall erst einmal weiter auf VMXNET3. Vielleicht tut sich was und ich kann irgendwann auf VirtIO umstellen...


Gruß,
Fabio