International Forums > Dutch - Nederlands

Activeren IPS mode lukt niet

(1/1)

tomdiks:
Sinds kort overgestapt van pfSense op OPNsense. Bevalt prima, ik krijg alleen IDS met IPS niet aan de praat.
Ik was een webinar aan het volgen en kwam niet verder dan https://youtu.be/_yIq3GM4gjA?t=1150 met het instellen.
Een alert genereren zoals in de video lukt wel (IDS).
Zodra ik IPS mode inschakel, start Suricata niet meer op.
OPNsense draait niet op een VM, maar op een mini PC i5-7200U met Intel I210-AT netwerk interfaces.
Hardware offloading staat allemaal uit.
Interface is LAN.
Logfile geeft aan [ERRCODE: SC_ERR_NETMAP_CREATE(263)] - opening devname netmap:igb1/R failed: Device busy

tomdiks:
Het probleem heb ik kunnen traceren. IDS/IPS en Sensei gaan niet samen. Ze maken op vergelijkbare manier denk ik aanspraak op dezelfde netwerk interfaces. Sensei had die al in gebruik voor packet inspectie.

dinguz:
De gebruikelijke setup is volgens mij om IDS (Suricata) op de WAN interface te draaien, en Sensei op de LAN, dan zit het elkaar niet in de weg.

tomdiks:
Dat heb ik overwogen, maar de documentatie geeft aan dat het meestal geen zin heeft om IPS te activeren op de WAN interface
https://docs.opnsense.org/manual/ips.html#choosing-an-interface

dinguz:
Ik draai OpnSense thuis, daarbij gebruik ik Sensei voor het 'interne netwerk' (gebruikers, dus pc's en telefoons en dergelijke), en Suricata voor diensten die op de FW zelf draaien en vanaf internet toegankelijk zijn. Sensei draait op de LAN interface, dus die beschermt de rest niet.
Maar goed, in de tijd dat het draait heb ik nog nooit 1 hit gehad, dus misschien heb ik het niet helemaal begrepen en/of correct ingesteld ;-)

Navigation

[0] Message Index