9
Watchguard XTM 505 Gesammten Traffic loggen
Gesammten Traffic über alle TCP/UDP Ports loggen
Hallo,
Ich habe ein kleines Problem.
Zuerst mal die Gegebenheiten:
In unserem Betrieb haben wir eine 20 Mbit sync Leitung, die wir bezahlen aber neben uns noch eine andere Firma mit nutzt. Da unser Traffic in letzter Zeit hochgeschnellt ist (von 40 GB/Monat auf knapp 100 haben wir uns entschlossen mitzuloggen woher der Traffic kommt. Dafür haben wir uns eine Watchguard XTM 505 (v11.3.2) als Testgerät schicken lassen.
Ziel ist es den gesamten Internet-traffic mitzuloggen und erst mal herauszufinden welcher PC/ welche PCs den Traffic verursachen, und vor allem wie viel % davon auf die andere Firma entfällt. Das brauchen wir um dieser Firma eine anteilige Rechnung für den verursachten Traffic zu stellen.
Im Moment läuft die Watchguard in einem Getrennten Netz. die Watchguard hat einen Separaten Anschluss an das Internet, getrennt vom Restlichen Netzwerk. An dem Watchguard-Netzwerk hängt nun ein normaler PC, auf dem die Server (Logserver, Webblocker usw.) installiert ist. Als weiteren Rechner habe ich meinen Laptop angeschlossen und unser Gäste-Wlan (Das später auch über die Watchguard getrennt vom Firmenetz laufen soll.
Soweit so gut. Ich habe die Watchguard konfiguriert (auch mit HTTP-Proxy, Webblocker usw.) und habe eine weitere "Policy" erstellt. diese Policy ist ebenfalls ein Proxy und soll aber nicht nur Port 80, sondern Alle TCP und UDP Ports überwachen. Alles soll ungehindert durchgehen und eben nur geloggt werden welche IP wie viele Daten nach draußen schickt / empfängt.
Das mit dem HTTP klappt schon ganz gut. Ich habe mit meinem Laptop ein paar kleinere HTTP-Downloads gemacht und die werden auch geloggt. Aber alles andere (FTP, sFTP. Radiostream über port 13030 VPN-Datenübertragungen) werden eben nicht mitgerechnet. Ich habe gestern knapp 2GB und heute knapp 500MB an Traffic verursacht über die verschiedensten Ports - nichts. Er loggt mir nur den HTTP Traffic mit.
Mittlerweile habe ich mich durch sie KB von Watchguard gebissen, diverse Konfigurationen ausprobiert und bin immer noch keinen Schritt weiter. Am 16.2 müssen wir das Ding zurückgeben und wenn wir es nicht schaffen das so einzurichten wie wir das wollen, dann geht das Ding eben zurück und wir sehen uns nach einer anderen Lösung um.
Any Ideas?
*Edit 14:36Uhr: Schreibfehler
Ich habe ein kleines Problem.
Zuerst mal die Gegebenheiten:
In unserem Betrieb haben wir eine 20 Mbit sync Leitung, die wir bezahlen aber neben uns noch eine andere Firma mit nutzt. Da unser Traffic in letzter Zeit hochgeschnellt ist (von 40 GB/Monat auf knapp 100 haben wir uns entschlossen mitzuloggen woher der Traffic kommt. Dafür haben wir uns eine Watchguard XTM 505 (v11.3.2) als Testgerät schicken lassen.
Ziel ist es den gesamten Internet-traffic mitzuloggen und erst mal herauszufinden welcher PC/ welche PCs den Traffic verursachen, und vor allem wie viel % davon auf die andere Firma entfällt. Das brauchen wir um dieser Firma eine anteilige Rechnung für den verursachten Traffic zu stellen.
Im Moment läuft die Watchguard in einem Getrennten Netz. die Watchguard hat einen Separaten Anschluss an das Internet, getrennt vom Restlichen Netzwerk. An dem Watchguard-Netzwerk hängt nun ein normaler PC, auf dem die Server (Logserver, Webblocker usw.) installiert ist. Als weiteren Rechner habe ich meinen Laptop angeschlossen und unser Gäste-Wlan (Das später auch über die Watchguard getrennt vom Firmenetz laufen soll.
Soweit so gut. Ich habe die Watchguard konfiguriert (auch mit HTTP-Proxy, Webblocker usw.) und habe eine weitere "Policy" erstellt. diese Policy ist ebenfalls ein Proxy und soll aber nicht nur Port 80, sondern Alle TCP und UDP Ports überwachen. Alles soll ungehindert durchgehen und eben nur geloggt werden welche IP wie viele Daten nach draußen schickt / empfängt.
Das mit dem HTTP klappt schon ganz gut. Ich habe mit meinem Laptop ein paar kleinere HTTP-Downloads gemacht und die werden auch geloggt. Aber alles andere (FTP, sFTP. Radiostream über port 13030 VPN-Datenübertragungen) werden eben nicht mitgerechnet. Ich habe gestern knapp 2GB und heute knapp 500MB an Traffic verursacht über die verschiedensten Ports - nichts. Er loggt mir nur den HTTP Traffic mit.
Mittlerweile habe ich mich durch sie KB von Watchguard gebissen, diverse Konfigurationen ausprobiert und bin immer noch keinen Schritt weiter. Am 16.2 müssen wir das Ding zurückgeben und wenn wir es nicht schaffen das so einzurichten wie wir das wollen, dann geht das Ding eben zurück und wir sehen uns nach einer anderen Lösung um.
Any Ideas?
*Edit 14:36Uhr: Schreibfehler
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 159968
Url: https://administrator.de/contentid/159968
Printed on: April 19, 2024 at 14:04 o'clock
9 Comments
Latest comment
Hallo,
ruf doch beim Support an und lass dir die Schritte erklären. Die sind wirklich hilfsbereit und gehen das mit dir telefonisch durch.
Gruß
Neomatic
ruf doch beim Support an und lass dir die Schritte erklären. Die sind wirklich hilfsbereit und gehen das mit dir telefonisch durch.
Gruß
Neomatic
Hallo,
hast du denn bei der Policy das Logging aktiviert. Denn soweit ich weiss werden bei neuen Regeln standardmäßig nur die Deny-Pakete geloggt.
hast du denn bei der Policy das Logging aktiviert. Denn soweit ich weiss werden bei neuen Regeln standardmäßig nur die Deny-Pakete geloggt.
Hallo,
noch was. Solltest du als neue Policy den Standard TCP-UDP-proxy verwendet haben dann wäre diese Info aus der Watchguard Hilfe eventuell die Erklärung dafür.
The TCP-UDP-proxy can pass HTTP, HTTPS, SIP, and FTP traffic to proxy policies that you have already created when this traffic is sent over non-standard ports.
Das könnte heißen, dass du für die anderen Protokolle ebenfalls Regeln erstellen musst.
Habe mich aber noch nie weiter damit beschäftigt, da wir für alle bei uns verwendeten Protokolle Regeln erstellt haben und der Rest gesperrt ist.
Daher wird auch alles geloggt was über die Firewall läuft.
noch was. Solltest du als neue Policy den Standard TCP-UDP-proxy verwendet haben dann wäre diese Info aus der Watchguard Hilfe eventuell die Erklärung dafür.
The TCP-UDP-proxy can pass HTTP, HTTPS, SIP, and FTP traffic to proxy policies that you have already created when this traffic is sent over non-standard ports.
Das könnte heißen, dass du für die anderen Protokolle ebenfalls Regeln erstellen musst.
Habe mich aber noch nie weiter damit beschäftigt, da wir für alle bei uns verwendeten Protokolle Regeln erstellt haben und der Rest gesperrt ist.
Daher wird auch alles geloggt was über die Firewall läuft.
Hi,
wenn ich mich nicht irre, dann loggt die WG nur den Verkehr der durch den Proxy geht.
Alles andere sind nur normale Filter.
Das würde ja auch zu deinen Aussagen passen ....
Da ich selber zwar WG habe, aber kein Traffic-Logging laufen lasse, kann ich dir dazu nicht mehr sagen.
VG
Deepsys
wenn ich mich nicht irre, dann loggt die WG nur den Verkehr der durch den Proxy geht.
Alles andere sind nur normale Filter.
Das würde ja auch zu deinen Aussagen passen ....
Da ich selber zwar WG habe, aber kein Traffic-Logging laufen lasse, kann ich dir dazu nicht mehr sagen.
VG
Deepsys
Hi,
Update:
Gerade mal in die Regeln geguckt:
Nur in den Proxies gibt es den Punkt "Enable logging for reports" und der ist laut Hilfe für:
"To create a log message for each transaction, select the Enable logging for reports check box.
You must select this option to get detailed information on FTP traffic. "
In den normalen hast du den Punkt gar nicht, sondern nur den Log für Allowed Pakete; Denied werden immer gelogt.
So, damit das geht bleibt dir nur der "TCP-UDP-Proxy" übrig, den auf Any stellen, das "Enable logging for reports" an, und dann sollte (!!) das gehen.
Ohne Gewähr
VG
Deepsys
Edit 1: Hmm das gleiche hat doch eben schon einer gesagt, mist zu spät t
Update:
Gerade mal in die Regeln geguckt:
Nur in den Proxies gibt es den Punkt "Enable logging for reports" und der ist laut Hilfe für:
"To create a log message for each transaction, select the Enable logging for reports check box.
You must select this option to get detailed information on FTP traffic. "
In den normalen hast du den Punkt gar nicht, sondern nur den Log für Allowed Pakete; Denied werden immer gelogt.
So, damit das geht bleibt dir nur der "TCP-UDP-Proxy" übrig, den auf Any stellen, das "Enable logging for reports" an, und dann sollte (!!) das gehen.
Ohne Gewähr
VG
Deepsys
Edit 1: Hmm das gleiche hat doch eben schon einer gesagt, mist zu spät t
Genau das habe ich ja gemacht. Ich habe jetzt alle Proxy einstellungen gelöscht (Sicherheitskopie der Einstellungen) und einen neuen TCP/UDP Proxy erstellt der alles durchlässt und eben ALLES Loggen soll. bei HTTP usw kann ich ja trozdem die Webfblocker einstellungen usw machen.Aber: Fehlanzeige. Und der ganze Datenverkehr MUSS durch die Watchguard. Einen Anderen weg gibt es einfach nicht.
Guten morgen,
Was meinst du damit, das der ganze Datenverkehr durch die Watchguard muss?
Verstehe ich nicht .....
Klar, muss das alles da durch, wie soll die sonst loggen.
Und vom log bekommst du keine Daten?
.Aber: Fehlanzeige. Und der ganze Datenverkehr MUSS durch die Watchguard. Einen Anderen weg
gibt es einfach nicht.
gibt es einfach nicht.
Was meinst du damit, das der ganze Datenverkehr durch die Watchguard muss?
Verstehe ich nicht .....
Klar, muss das alles da durch, wie soll die sonst loggen.
Und vom log bekommst du keine Daten?
Das meine Ich so:
Der Internetgateway hat die IP 192.168.1.254. Der geht in die Watchguard auf den "External" Port. Auf Port "Internal 1" Der WG läuft mein Testnetz. Im Testnetz ist die Watchguard als Gateway (192.168.2.241) angegeben. Ergo muss der gesammte verkehr über die Watchguard laufen.
Und scheinbar habe ich es jetzt geschafft das ich jetzt den Traffic geloggt bekomme. Jetzt muss ich nur noch an die auswertung
Der Internetgateway hat die IP 192.168.1.254. Der geht in die Watchguard auf den "External" Port. Auf Port "Internal 1" Der WG läuft mein Testnetz. Im Testnetz ist die Watchguard als Gateway (192.168.2.241) angegeben. Ergo muss der gesammte verkehr über die Watchguard laufen.
Und scheinbar habe ich es jetzt geschafft das ich jetzt den Traffic geloggt bekomme. Jetzt muss ich nur noch an die auswertung
Ah OK,
Das schaffst du auch noch, leider kann ich dir da nicht helfen, ich habe den Server gar nicht installiert
Und scheinbar habe ich es jetzt geschafft das ich jetzt den Traffic geloggt bekomme. Jetzt muss ich nur noch an die auswertung
Das schaffst du auch noch, leider kann ich dir da nicht helfen, ich habe den Server gar nicht installiert
