In diesem Artikel wird ein häufig auftretendes Problem bei der Nutzung von OPNsense mit Broadcom Netzwerkkarten und aktiviertem Intrusion Prevention System (IPS) behandelt. Viele Nutzer berichten, dass nach Aktivierung des IPS das Interface einfriert oder der Netzwerkverkehr einbricht. Ursache hierfür ist die fehlende native Unterstützung von netmap durch Broadcom Netzwerkkarten, was zu spezifischen Fehlermeldungen und Netzwerkstörungen führt. Dieser Artikel erläutert die Problematik und zeigt einen Workaround auf, um das IPS dennoch nutzen zu können.
Beim Aktivieren des IPS auf OPNsense-Systemen mit Broadcom-Netzwerkkarten kommt es häufig zu folgenden Symptomen:
Die zugrunde liegende Ursache ist die fehlende Unterstützung von netmap durch Broadcom-Netzwerkkarten. Dies führt zu einer Reihe von Fehlermeldungen wie:
bnxt1: promiscuous mode disabled bnxt1: promiscuous mode disabled 788.968001 [ 850] iflib_netmap_config txr 4 rxr 4 txd 256 rxd 256 rbufsz 2048 788.976137 [ 850] iflib_netmap_config txr 4 rxr 4 txd 256 rxd 256 rbufsz 2048 788.984423 [ 850] iflib_netmap_config txr 4 rxr 4 txd 256 rxd 256 rbufsz 2048 bnxt1: permanently promiscuous mode enabled 789.036601 [ 850] iflib_netmap_config txr 4 rxr 4 txd 256 rxd 256 rbufsz 2048 bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. 789.516407 [ 850] iflib_netmap_config txr 4 rxr 4 txd 256 rxd 256 rbufsz 2048 789.524530 [ 850] iflib_netmap_config txr 4 rxr 4 txd 256 rxd 256 rbufsz 2048 789.532813 [ 850] iflib_netmap_config txr 4 rxr 4 txd 256 rxd 256 rbufsz 2048 bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error. bnxt1: HWRM_CFA_L2_FILTER_ALLOC command returned INVALID_PARAMS error.
Um das IPS trotz der Einschränkungen nutzen zu können, kann der emulierte netmap-Modus in den OPNsense Tunables konfiguriert werden. Hierbei wird der Wert von dev.netmap.admode auf 2 gesetzt. Diese Einstellung ist unter System ‣ Settings ‣ Tunables konfigurierbar.
Hinweis: Beachten Sie, dass die Performance bei der Aktivierung des emulierten netmap-Modus schlechter wird. Dies bedeutet, dass die Netzwerkdurchsatzrate sinken kann und die Verarbeitung von Netzwerkpaketen länger dauern könnte.
Sollte der Eintrag nicht vorhanden sein, kann er ganz einfach über das + Symbol hinzugefügt werden.
 |
Autor: Thomas-Krenn.AG Bei der Thomas-Krenn.AG achten wir auf den bestmöglichen Service. Um dem gerecht zu werden, haben wir unser Thomas-Krenn Wiki ins Leben gerufen. Hier teilen wir unser Wissen mit Ihnen und informieren Sie über Grundlagen und Aktuelles aus der IT-Welt. Ihnen gefällt unsere Wissenskultur und Sie wollen Teil des Teams werden? Besuchen Sie unsere Stellenangebote.
|
wiki
