Intrusion Detection stört das Netzwerk ?!

[Bytechanger]

Hallo,

ich habe OPNSense auf einer ZBOX von ZOTAC CI329 nano laufen.
Sie hat 2 LAN Adapter.

1 LAN für WAN
1 LAN für LAN, und 2 VLANs.

Wenn ich nun die Intrusion Detection einschalte,

Enabled CHECK
IPS mode CHECK
Promiscous mode mal CHECK mal OHNE (eigentlich möchte ich nur LAN und nicht die VLANs überwachen)
Pattern matcher Hyperscan
Interfaces LAN

spinnt das Netzwerk. Clients bekommen keine IP adresse mehr zugewiesen, Verbindungen funktionieren nicht mehr. Einmal konnte ich sogar beobachten, das Clients aus einem VLAN eine IP-Adresse aus dem LAN bekamen, crazy.

Und nein, es werden keine Alerts angezeigt, es greift also keine Regel, die irgend etwas blockt. Es scheint alleine der Betrieb von Intrusion Detection zu sein.

Nun habe ich irgendwo gelesen, das manche Netzwerk-Chips Probleme machen. Leider weiß ich nicht:
1. ob das tatsächlich noch so stimmt
2. welche Chips die Box hat (googeln half nicht)
3. ob es damit zusammen hängt?!

Wenn es so wäre, hätte ich mit Zitronen gehandelt, ich habe mir extra so eine etwas leistungsstärkere Box geholt, da ich Intrusion Detection mit 300 MBit durchsatz am WAN haben wollte.

Wenn alle Stricke reißen, welche Hardware, die nicht Strom ohne Ende zieht, wäre sonst dafür empfehlenswert?
(Ich möchte keinen PC oder Server hier hinstellen, der 30W oder mehr zieht, nur um einen stärkeren Router zu haben).

Greets

Byte
OK, Netzwerkkarten über SSH :

Code Select Expand


$ pciconf -lv re1
re1@pci0:2:0:0: class=0x020000 card=0x012310ec chip=0x816810ec rev=0x0c hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet
$ pciconf -lv re0
re0@pci0:1:0:0: class=0x020000 card=0x012310ec chip=0x816810ec rev=0x0c hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet


[hopper]

Hallo,

also den Typ des Netzwerkchopis siehst Du in Deinem eigenen Screenshot: Realtek RTL8111/8168/8411.
Auf welchem Interface hast Du denn Intrusion Detection an?

[Bytechanger]

Ja genau, den Befehl zum Erkennen des Typs habe ich nachräglich gesehen.

Der LAN, VLAN Verkehr findet auf "re1" statt.

    class=0x020000 card=0x012310ec chip=0x816810ec rev=0x0c hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet



Greets

Byte

[hopper]

Ist re1 intern? Intrusion kommt doch eher von aussen - also re0

[hopper]

Ich habe folgendes gefunden:

https://homenetworkguy.com/how-to/configure-intrusion-detection-opnsense/

Sektion "Update (9/14/2019)" etwas weiter unten.

[Bytechanger]

Hi,

genau, innen macht durchaus Sinn und im FAll von PPOE geht WAN auch gar nicht!
Intern macht durchaus sinn, da es verdächtiges Verhalten von internen Geräten erkennt.
Also von LAN zu WAN (ansonsten käme es ja gar nicht am Router an).


Im Artikel steht auch:
"I have read that Intel network adapters typically have the best support while Realtek is lacking (but may be getting better)"

und

"I also read that it is a good idea to enable intrusion detection on the LAN when NAT (Network Address Translation) is used (which is in use by nearly all home networks) since it helps to troubleshoot issues on the local network more than just enabling it on the WAN interface."


Greets

Byte