¿Por qué puede dar problemas Suricata en modo IPS en OPNsense?

Porque en modo IPS Suricata inspecciona tráfico en línea y puede descartar paquetes. Si hay PPPoE, VLAN de operador, MTU incorrecta, router en pseudo-bridge, hardware insuficiente o demasiadas reglas activas, pueden aparecer cortes, lentitud o falsos positivos.

¿Es recomendable activar IPS directamente en producción?

No suele ser recomendable. Lo más prudente es empezar en modo IDS, revisar alertas, ajustar reglas, crear excepciones y pasar a IPS solo cuando el comportamiento esté validado.

¿Una fibra de 1 Gb garantiza 1 Gb con IPS activo?

No. El rendimiento con IPS depende del hardware, CPU, NICs, drivers, reglas activadas, tipo de tráfico, PPPoE, VLANs, VPNs y configuración del firewall.

¿Qué revisar si OPNsense con Suricata IPS provoca cortes?

Conviene revisar logs de Suricata, reglas en drop, interfaces seleccionadas, PPPoE, VLAN, MTU/MSS, offloading, CPU, RAM, NICs, router del operador, doble NAT, CG-NAT y rendimiento real con IPS activado y desactivado.

OPNsense Suricata IDS/IPS FTTH · PPPoE · VLAN · MTU Blog técnico

Suricata en OPNsense con IPS: problemas habituales con conexiones de operador

Activar IPS puede mejorar la protección de una red, pero en conexiones FTTH, PPPoE, VLANs de operador o routers en modo bridge puede provocar cortes, pérdida de rendimiento y bloqueos inesperados si no se diseña correctamente.

Mensaje principal: el modo IPS no es un simple checkbox. Antes de activarlo en producción hay que revisar conectividad, interfaces, hardware, reglas, MTU, rendimiento y plan de pruebas.

Suricata es una de las piezas más potentes que podemos activar en OPNsense para añadir capacidades de detección y prevención de intrusiones. Sin embargo, en entornos reales de empresa, especialmente con conexiones de operador tipo FTTH, PPPoE, VLANs o routers en bridge, activar el modo IPS sin análisis previo puede provocar problemas difíciles de diagnosticar.

El error habitual es pensar que IPS equivale a “más seguridad” sin coste operativo. En realidad, el modo IPS cambia el comportamiento del firewall: el tráfico pasa a inspeccionarse en línea y determinadas reglas pueden bloquear paquetes antes de que lleguen a destino.

La cuestión no es si Suricata es bueno o malo

Suricata es una herramienta muy potente. El problema aparece cuando se activa en modo bloqueo sin revisar la conectividad real del cliente, el tipo de interfaz WAN, el hardware, las reglas activadas, los falsos positivos y la capacidad de operar el sistema.

IDS frente a IPS: una diferencia crítica

En modo IDS, Suricata analiza tráfico y genera alertas cuando detecta patrones sospechosos. En modo IPS, además de detectar, puede bloquear tráfico en línea cuando una regla está configurada para descartar paquetes.

Esta diferencia es fundamental. En IDS, un falso positivo genera ruido. En IPS, un falso positivo puede cortar una aplicación, una VPN, una llamada VoIP, una integración con un proveedor o el acceso a un servicio SaaS.

Modo	Qué hace	Riesgo principal	Uso recomendado
IDS	Detecta y registra alertas.	Exceso de ruido o alertas poco útiles.	Fase inicial, validación, aprendizaje y tuning.
IPS	Detecta y puede bloquear tráfico.	Cortes, falsos positivos y pérdida de rendimiento.	Producción solo tras pruebas, ajustes y excepciones.

Problemas habituales con conexiones de operador

En muchos proyectos, el firewall no está conectado a una WAN “limpia”. Lo normal es encontrar routers de operador, ONT integradas, configuraciones de bridge parcial, VLANs de Internet, PPPoE, CG-NAT o incluso doble NAT.

Estas condiciones pueden funcionar aceptablemente con reglas de firewall tradicionales, pero complicarse cuando se introduce inspección en línea con IPS.

↯

Router en pseudo-bridge

El cliente cree que el router está en bridge, pero en realidad sigue haciendo NAT, filtrado, DMZ o gestión parcial de la sesión.

≋

PPPoE en el firewall

La sesión PPPoE añade carga y puede afectar al rendimiento, especialmente si también se activan IPS, VPNs y muchas reglas.

▤

VLAN de operador

En FTTH es habitual que Internet viaje sobre una VLAN específica. La combinación interfaz física, VLAN y PPPoE puede complicar la inspección.

MTU y MSS

Una MTU mal ajustada puede provocar síntomas intermitentes: webs que cargan a medias, problemas TLS, VoIP inestable o VPNs lentas.

PPPoE, VLAN y MTU: el origen de muchos síntomas raros

En conexiones Ethernet estándar, la MTU habitual suele ser 1500 bytes. Pero en escenarios con PPPoE, VLANs, túneles o encapsulaciones adicionales, la MTU efectiva puede reducirse. Si el firewall, el router del operador, la ONT, la VPN o el IPS no manejan correctamente esa situación, aparecen problemas difíciles de asociar a simple vista.

Algunos síntomas típicos son:

Páginas web que cargan parcialmente o fallan solo a veces.
Aplicaciones SaaS que se desconectan sin patrón claro.
VPNs site-to-site o road warrior inestables.
Problemas con tráfico VoIP o videoconferencia.
Speedtests con resultados muy inferiores al ancho de banda contratado.
Bloqueos que desaparecen al desactivar IPS.

No todo problema de conectividad es culpa de Suricata

Suricata puede hacer visible un problema que ya existía: MTU incorrecta, doble NAT, router de operador limitado, CG-NAT, NIC poco adecuada, offloading mal configurado o una arquitectura WAN demasiado condicionada por el operador.

Rendimiento: una fibra de 1 Gb no garantiza 1 Gb con IPS activo

Una conexión de 1 Gb contratada al operador no significa que el firewall vaya a inspeccionar 1 Gb real con IPS activo. El rendimiento depende del procesador, las interfaces de red, los drivers, el tipo de tráfico, el número de reglas, el patrón matcher, las VPNs, las VLANs y el modo de conexión WAN.

En empresas, esto es especialmente importante porque el firewall suele concentrar varias funciones: routing, NAT, VPN, filtrado, VLANs, DNS, proxy, monitorización y, además, IDS/IPS.

Factor	Impacto en IPS	Recomendación
CPU	Suricata inspecciona paquetes y compara tráfico contra firmas.	Dimensionar por tráfico real, no solo por ancho de banda contratado.
NICs	Drivers y compatibilidad influyen en estabilidad y rendimiento.	Priorizar interfaces fiables y bien soportadas.
PPPoE	Puede aumentar carga y reducir throughput disponible.	Probar rendimiento con y sin IPS antes de producción.
VLANs	La inspección puede ser más delicada con etiquetas y offloading.	Revisar configuración de interfaces y offloading.
Reglas	Más reglas no siempre significa más seguridad útil.	Activar categorías con criterio y ajustar falsos positivos.

Reglas, falsos positivos y el peligro de “activarlo todo”

Otro problema habitual es activar demasiadas categorías de reglas sin saber qué tráfico se quiere proteger. En Suricata, la calidad de la selección de reglas importa más que la cantidad.

Un entorno con usuarios navegando, VPNs, VoIP, correo, aplicaciones SaaS y servicios publicados no necesita necesariamente las mismas reglas que un servidor expuesto en una DMZ. Si se activan reglas demasiado amplias en modo drop, pueden aparecer falsos positivos y bloqueos legítimos.

Buenas prácticas antes de pasar a IPS

Empezar en modo IDS y observar alertas durante un periodo prudente.
Revisar qué reglas generan más eventos y si son realmente relevantes.
Activar en drop solo categorías críticas y bien entendidas.
Crear excepciones documentadas para tráfico legítimo.
Probar cambios fuera de horas críticas.
Revisar rendimiento antes y después de activar IPS.
Documentar la configuración y el motivo de cada ajuste.

¿IPS en WAN, LAN o VLANs internas?

Muchos administradores activan IPS en WAN porque parece lo más lógico: inspeccionar lo que entra desde Internet. Sin embargo, el mejor punto de inspección depende del objetivo.

Si se quieren proteger servicios publicados, tiene sentido revisar el tráfico hacia esos servicios. Si se quiere detectar malware, C2 o tráfico sospechoso saliente, puede ser más útil inspeccionar LAN, DMZ o VLANs concretas. Si existen VLANs críticas, puede tener sentido un enfoque selectivo por segmentos.

Interfaz	Cuándo puede tener sentido	Precaución
WAN	Servicios publicados, tráfico entrante, exposición directa.	Puede complicarse con PPPoE, VLANs o router de operador.
LAN	Tráfico saliente de usuarios, malware, conexiones sospechosas.	Puede generar muchos eventos y falsos positivos.
DMZ	Servidores publicados o segmentos críticos.	Requiere reglas ajustadas al servicio real.
VLANs concretas	Segmentos de usuarios, IoT, invitados, producción o administración.	Conviene evitar inspección indiscriminada sin objetivo claro.

Checklist de diagnóstico si IPS da problemas

Cuando aparecen cortes o lentitud tras activar IPS, lo peor es cambiar parámetros al azar. Conviene seguir un diagnóstico ordenado.

Comparar con IPS activado y desactivado

Medir conectividad, latencia, throughput y comportamiento de aplicaciones para confirmar si el problema está relacionado con IPS.

Revisar alertas y reglas en drop

Identificar qué reglas están bloqueando tráfico, a qué IPs afecta y si se trata de tráfico legítimo.

Comprobar WAN real

Verificar si existe PPPoE, VLAN de operador, router en bridge real, doble NAT, DMZ, CG-NAT o restricciones del operador.

Validar MTU y MSS

Revisar encapsulaciones, VPNs, túneles y síntomas de fragmentación o paquetes demasiado grandes.

Revisar hardware e interfaces

Analizar CPU, RAM, NICs, drivers, offloading y carga real del firewall durante tráfico productivo.

Reducir alcance

Probar con menos reglas, menos interfaces o solo modo IDS hasta estabilizar el entorno.

Cuándo no activar IPS todavía

Hay escenarios en los que es más prudente mantener Suricata en modo IDS, al menos inicialmente:

Cuando no se conoce bien la conectividad del operador.
Cuando hay PPPoE, VLANs o MTU sin validar.
Cuando el hardware va justo de CPU o interfaces.
Cuando no existe personal para revisar alertas y falsos positivos.
Cuando se han activado reglas sin criterio ni documentación.
Cuando no hay ventana de pruebas ni plan de reversión.

Conclusión

Suricata en OPNsense puede aportar una capa de seguridad muy valiosa, pero el modo IPS debe tratarse como un componente crítico de la arquitectura, no como una opción que se activa sin impacto.

En conexiones de operador con FTTH, PPPoE, VLANs, routers en bridge o MTU sensibles, el diseño previo es especialmente importante. La mejor práctica suele ser empezar en IDS, observar, ajustar y pasar a IPS de forma progresiva y controlada.

Preguntas frecuentes sobre Suricata IPS en OPNsense

¿Por qué Suricata IPS puede causar cortes en OPNsense?

Porque en modo IPS puede descartar paquetes en línea. Si una regla genera un falso positivo o si hay problemas de interfaz, MTU, PPPoE, VLAN u offloading, el resultado puede ser pérdida de conectividad o fallos intermitentes.

¿Conviene activar IPS directamente en producción?

Normalmente no. Es preferible empezar en IDS, analizar alertas, ajustar reglas y pasar a IPS solo tras validar el comportamiento del tráfico real.

¿Una conexión FTTH de 1 Gb funcionará a 1 Gb con IPS?

No necesariamente. El rendimiento dependerá del hardware, NICs, drivers, reglas activadas, PPPoE, VLANs, VPNs y tipo de tráfico.

¿Qué es mejor, inspeccionar WAN o LAN?

Depende del objetivo. WAN puede ser útil para servicios publicados, mientras que LAN, DMZ o VLANs concretas pueden ser más útiles para detectar tráfico saliente malicioso o proteger segmentos internos.

¿Quieres activar IDS/IPS en OPNsense sin comprometer la estabilidad?

En evertik podemos ayudarte a revisar tu conectividad, dimensionar el hardware, definir una política de reglas, ajustar Suricata y desplegar IDS/IPS en OPNsense de forma controlada y documentada.

Solicitar asesoramiento OPNsense →