RC si nemohu dovolit zkoušet, ale do ostré verze bych rád pár informací:
Jak se kompletně zbavit Majordoma (jeho výstup mi nevyhovuje a jak to vypadá, PaKon ho plně nahradí), včetně dále nepotřebných služeb shromažďujících pro Majordomo data (jestli takové jsou).
Kde přesně má PaKon uloženou databázi (abych ji mohl zálohovat) nebo přímo jak umístění db změnit na externí úložiště?
Potěšila by i možnost ( /mac_replace/ ?) definovat překlad src MAC->jméno, aby se v tom výpisu člověk vyznal, které zařízení je které.
V instalaci se píše “starting Suricata (on local and guest network)”, předpokládám, že si to poradí (nebo půjde nastavit) i pro prostředí s vícero VLAN jinými než standard.
“records are kept for 4 weeks” - rovnou se přimlouvám pro volbu neomezené historie, na externím úložišti (snad to půjde přehodit) mi na velikosti db nezáleží.
Jak to bude u agregovaného výpisu s domains_ignore, mohlo by to být ve výpisu jako “other”? Pokud toho bude hodně, např. CDN, tak to dost ovlivní celkový přenesený objem a –no-filter by z toho zase udělalo dlouhý nepřehledný výpis.
Bude k tomu nějaké API, abych si mohl dělat vlastní web reporty? (mohl bych jít přímo do db, ale jak jsem pochopil, budou tam záznamy až po 24h a mě by spíš zajímalo to aktuální).
Odskrtnout Majordomo software list v zalozce updateru
/srv/pakon, zive zaznamy v tmpfs, zalohovat chcete /srv
Da se nastavit v suricata.suricata.interface
Je v planu.
API aktualne je, jen jelikoz se jedna o ranne technologicke demo, tak API je velmi nestabilni (cti velmi pravdepodobne se bude menit), takze bych doporucoval pockat.
a po rebootu Omnie nema zadny klient IPv6 adresu (proste neco s RA).
Zfunkcnil jsem to rollbackem z doby kdy jsem jeste pakone nemel nainstalovanyho (jen jsem si to jeste jednou zopakoval nez jsem sel psat tenhle post a je to tak - “opkg install pakon” a IPv6 je minulost).
Mám úplně ten samý problém.
Již 21.12. jsem to pod IdTicketu 1251 hlásil na support … zatím bez jakékoliv odezvy (což Vás nemusí znepokojovat, je to častý stav)
Tak tady si dovolím nesouhlasit. Naprostá většina ticketů je zodpovězena do druhého dne (pokud počítáme pouze pracovní dny)
Ve Vašem případě se jednalo o ojedinělý problém, který se nám nedaří zreprodukovat. Problému se věnujeme a @mpetracek o tom ví. Bohužel jsme zatím nepřišli na příčinu a co jsem se dozvěděl, tak, že Suricata by to neměla způsobovat.
Na fóru už jsme alespoň tři co to se nám to stalo, což s ohledem na to kolik lidí zkusí pakoně a kolik lidí má IPv6 asi nebude úplně zanedbatelná část lidí co je to mohlo potkat ;-).
Druhá věc je, že si toho člověk nějakou dobu vůbec nemusí všimnout (mě to trvalo odhadem tak týden)…
OK, @Pepe, rozumím, ale jak na to mám přijít, že je můj požadavek rozpracován?
Bohužel nemám křišťálovou kouli (a Ty jsi jí myslím také neměl, dokud jsi nebyl v Turris teamu ) a tak nepoznám, že na požadavku, který mám stále ve stejném stavu, jak jsem ho do support systému 21.12. zadal, se již pracuje.
Bývá dobrým zvykem, že se požadavek nachází ve třech (čtyřech) stavech: ZADÁN -> ROZPRACOVÁN -> DODÁN (ZRUŠEN) … nebo se tam případně napíše poznámka či další krok, že si ho někdo převzal k řešení.
Koukali jsme na ten ticket naposledy v pátek, probírali jsme to s dalšími kolegy s IPv6 a nenapadá nás proč by se to mělo stávat.
Třeba já jsem teď taky připojen přes Omnii s běžící suricatou a IPv6 mi funguje. Otázka je nakolik může být konfigurace IPv6 odlišná no. Zrovna to zkoumám.
V mém případě se nejedná o nativní IPv6.
Jsem připojen přes UPC (od něj mám přidělenu IPv4 adresu) a IPv6 mám tunelovanou přes Hurricane Electric.
IPv4 i IPv6 na routeru je v pořádku, ale s nainstalovanou Surricatou se IPv6 již dále nepřidělí zařízením v LAN.
Aktuálně mám Surricatu i Pakone odinstalovány a IPv6 se do LAN normálně přiděluje.
Ja mam IPv6 nativne (resp. dualstack, ctyrku i sestku). Po instalaci pakone (+ vse co si zada) a pripadnem rebootu ma router jako takovy porad IPv6, ale uz nikdo na LAN (neprijde potrebne RA).
Samotnou surikatu bych mohl zkusit, ale protoze jde o jediny muj router, pres ktery vsechno bezi, tak se mi do toho nechce.
Tak jsem teda nakonec prubnul nainstalovat suricatu (bez pakone, tedy nainstaluji se balicky: suricata, libyaml, jansson, kmod-nfnetlink-queue, kmod-ipt-nfqueue, iptables-mod-nfqueue, libiconv-full, libhtp, libnet-1.2.x , python3-base, python3-light, python3-logging).
Tak pokud:
a) Suricata bezi (/etc/init.d/suricata start), pak LAN nedostava RA
b) Suricata nebezi (/etc/init.d/suricata stop), pak LAN dostava RA
NFQUEUE fakt nedavam, jen se dopracovavam k tomu ze pokud suricata bezi a smazu z “output_rule” skok do “suricata”: ip6tables -D output_rule -j suricata
pak IPv6 na LANce dostavam (RA je posilano).
Každopádně je to přínos pro reprodukovatelnost problému u kolegů v Turris teamu, kde se jim to (podle jejich vyjádření) doposud reprodukovat nepodařilo.
Díky za info, to je konečně něco z čeho se dá při hledání vycházet. Bohužel pořád platí že nám se tady ten problém neprojevuje, IPv6 za turrisem normálně chodí, klienti dostávají RA jak mají.
No, u mě to funguje, RA i DHCPv6 chodí mezi routerem a klienty bez ohledu na to jestli je Suricata zapnutá nebo vypnutá.
Ještě mě napadá - zkuste prosím jestli se to chová stejně po aktualizaci na 3.9.2 - ve 3.9.2 byly mj. i změny ve firewallu pro Suricatu. I když ty změny nebyly kvůli IPv6, je možné že by to mohly také ovlivnit - to by alespoň vysvětlovalo proč mě se to tady neděje - zkoušel jsem už verzi z 3.9.2.
Jinak mi pořád není moc jasné proč by se to mělo dít…
Tak 3.9.2 a… je to stejny
Jakmile je je nainstalovana suricata (nijak ji nenastavuju, proste jen opkg install suricata) a, a to hlavne, v sestce je v output_rule skok do suricata, pak router proste neposila RA.
Mam maly rozsireni popisu: Router nejenze neposila RA, ale ani neodpovida na multicast adresy (konkretne ping6 na ff02::1 a ff02::2).
Edit: Nejsem si uplne jisty, ale mam dojem ze kdyz v sestkovy chaine suricata smazu: -m mark --mark 0x2/0x2 -j RETURN
tak to pak jede (jak to pingani, tak RA).
Díky za debug! Tohle pravidlo je tam ale zase dost podstatné z jiných důvodů…
Můžete mi poslat výstup z ip6tables -L -nvx (ve chvíli kdy suricata běží, se všemi pravidly prosím)?
Nejlíp mi to pošlete jako soukromou zprávu tady na fóru.
Díky!
Asi se ty MARK pravidla poperou s jinými pravidly, potřebuju zjistit jak přesně.
) a tak nepoznám, že na požadavku, který mám stále ve stejném stavu, jak jsem ho do support systému 21.12. zadal, se již pracuje.
