Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Externes Logging mit m0n0wall

Frage Sicherheit Firewall

Mitglied: mideastd

mideastd (Level 1) - Jetzt verbinden

31.01.2010, aktualisiert 18.10.2012, 8693 Aufrufe, 9 Kommentare, 1 Danke

Hallo Leute,

ich könnte ein wenig Hilfe bei Firewall-Rules gebrauchen.

Ich möchte den "syslog'ing to remote syslog server" - Dienst von m0n0wall nutzen und zwar auf einem
Windows-PC mit dem Programm "Kiwi Syslog Server".
Innerhalb meines eigenen Netzwerks klappt das auch ganz hervorragend.
Mein Ziel ist es jedoch die Syslog-Daten von einer entfernten m0n0wall über das Internet zu empfangen.
Lokal ist meinem Netzwerk auch eine m0n0wall vorgeschaltet.
Also ist der Weg wie folgt: m0n0wall(entfernt) -> Internet -> m0n0wall(lokal) -> PC mit Kiwi-Syslog-Server.

Ich habe bei m0n0wall(entfernt) / Logs / Settings die öffentliche IP von m0n0wall(lokal) eingetragen.
Bei m0n0wall(lokal) habe ich bei NAT / Inbound folgendes eingetragen:

IF: WAN | External Adr.: Interface Adress | Prot.: UDP | External Port: (other) 514 | NAT IP: 192.168.1.10 | Local Port: (other)514.
Ferner habe ich >Auto-add a firewall rule< aktiviert.

Trotz dieser Einträge kann ich keine Syslog-Daten empfangen. Was habe ich falsch gemacht ?
Muss ich noch Einträge bei der m0n0wall(entfernt) machen ?

Ich habe auch schon gegoogelt, aber es hat mir nichts geholfen.

Vielen Dank im Voraus.

mideastd
Mitglied: aqui
01.02.2010, aktualisiert 18.10.2012
Bei einem Windows Syslog Server ist ferner wichtig das du in der Windows Firewall eine Ausnahme für externe IP Netze für den Syslog Dienst aktivierst. Als Default lässt der immer nur lokale IPs zu. Also hier den "Bereich" zum Syslog Programm auf alle Rechner oder gesamtes Internet einstellen !

Syslog kann TCP oder UDP nutzen. In der Regel ist es UDP. Besser du siehst mit einem Sniffer wie dem Wireshark nach um sicher zu gehen oder gibst in der Inbound NAT Regel TCP und UDP an.
Die Inbound Regel sieht dann so aus:
Interface: WAN, External adress: Interface address, Protocol: TCP/UDP , Port 514 in from to, NAT IP: Lokale IP des Syslog Servers und dann...
Unbedingt unten den Haken bei "Auto-add a firewall rule to permit traffic through this NAT rule" setzen, damit diese Inbound Regel auch gleich eine Firewall Regel dazu erstellt !! Ansonsten werden deine 514er Pakete an der WAN Firewall geblockt. Das kannst du dann aber im Firewall Log sofort sehen !

Alles andere ist soweit korrekt. Als Alternative zum Kiwi kannst du auch den Microtik Syslog nehmen der etwas ausführlicher ist:
http://www.mikrotik.com/archive.php

Generell solltest du aber überdenken ob du mit Port Forwarding ein Loch in deine FW bohren willst. Warum machst du nicht einfach ein VPN auf zwischen beiden Monowalls und schickst die Syslogs problemlos übers VPN ??
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Bitte warten ..
Mitglied: mideastd
06.02.2010 um 10:57 Uhr
@aqui
Vielen Dank für Deine Unterstützung.
Obwohl ich die Windows-FW sogar deaktiviert habe, klappt die Geschichte mit NAT und FW-Rule nicht. Aber vielleicht liegt es daran, dass ich hinter der m0n0wall eine Fritz!Box 7170 (ohne DHCP) als WLAN-AP und Router für den dort per Kabel angeschlossenen Syslog-Server-PC habe. Wenn ich mich an einem anderen Netzwerk anmelde, dass noch nie eine m0n0 gesehen hat, dann klappt es sehr gut. -Übrigens: der microtik Syslogd gefällt mir gut -.
Das mit IPSEC hat bei mir auch noch nicht funktioniert, aber vielleicht muss ich mir die Anleitung auch noch einmal (oder dreimal) genauer durchlesen.
Ich möchte zunächst als Test meine eigenen Syslog_daten über das Internet an meine eigene öffentliche IP senden. Ich versuche es einfach weiter. Irgendwann klappt es.

mideastd
Bitte warten ..
Mitglied: aqui
08.02.2010, aktualisiert 18.10.2012
Das ist klar wenn die FB auch noch ein Netzwerk abtrennt macht die natürlich auch NAT sofern sie nicht als dummer Accesspoint rennt wie hier beschrieben:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Wenn die FB NAT macht musst du logischerweise auch hier ein Port Frowarding einrichten vom WAN auf den LAN Port damit die Syslog Daten die NAT Firewall überwinden können.
Das ist vermutlich dein Problem, denn ein kurzer Testaufbau hier zeigt das das Logging problemlos ankommt auf dem Syslog Server mit einem simplen Port Forwarding !
Bitte warten ..
Mitglied: mideastd
09.02.2010 um 09:36 Uhr
Hallo aqui,
ich danke dir für deine Tipps. Ich habe die Fritz!Box jedoch als AP laufen, das Portforwarding ist noch aus vor-m0n0-Zeiten aktiv. Da lief alles bestens.
Da ich auf die schnelle nichts gefunden habe, wie ich hier Bilder einstellen kann, habe ich mal einen Link angefügt, in dem man die Einstellungen der m0n0wall für NAT und FW und der Fritz!Box für Internetzugang und Portforwarding sehen kann.

http://www.midea.de/m0n0/m0n0-bilder.htm

Vielleich siehst du da ja meinen Fehler.

mideastd
Bitte warten ..
Mitglied: mideastd
05.04.2011 um 19:31 Uhr
Das mit VPN für das externe Syslog scheint mir eine tolle Lösung zu sein.
Allerdings bekomme ich das nicht hin. Ich begreife einfach nicht, was ich bei den beiden m0n0walls eintragen muss.
Gibt es irgendwo eine Schritt-für-Schritt - Anleitung dafür ?
Vielleicht hat ja jemand einen guten Tipp.

mideastd
Bitte warten ..
Mitglied: aqui
06.04.2011 um 16:38 Uhr
Das einzige was du eintragen musst ist die externe IP Adresse für den Syslog Server...mehr nicht !
Damit forwardet die Monowall / pfSense alle Logging Pakete auch an diesen Server.
Natürlich muss diese IP Adresse erreichbar sein, entweder direkt oder über das VPN. Ein Ping zeigt dir das an ob das so ist.
Für das banale Einstellen einer simplen IP Adresse muss man in der Regel kein Tutorial oder Anleitung haben, oder ?!
Bitte warten ..
Mitglied: mideastd
07.04.2011 um 00:17 Uhr
Hallo aqui,
ich denke mal mit dem Eintragen der externen IP Adresse für den Syslog Server meinst Du das Feld bei "Diagnostics -> Logs -> Settings".
Das klappt natürlich gut und ohne Anleitung. Nur muss ich eben immer darauf achten, dass auch meine derzeit aktuelle öffentliche IP in der entfernten monowall eingetragen ist. Da wo ich nicht weiß, was ich eintragen muss -sowohl bei der entfernten wie auch bei der lokalen monowall- sind die Bereiche VPN. IPsec oder PPTP, was kann ich nehmen und was muss ich dann in den Bereichen eintragen. Dafür hoffte ich irgendwo eine Anleitung zu finden. Denn ich gehe einmal davon aus, dass ich über diesen Weg das ewige Kontrollieren und Ändern der Einstellungen meiner öffentlichen IP sein lassen kann.

mideastd
Bitte warten ..
Mitglied: aqui
07.04.2011 um 11:23 Uhr
Es ist nicht klar ersichtlich was du vorhast
Was meinst du genau mit "der entfernten monowall" ?? Willst du mehrere MonoWalls auf einen Syslog Server monitoren ??
Warum machst du dir es nicht einfach und baust von jeder Monowall die du loggen willst einen VPN zu deinem Syslog Server auf ?
Trägst in allen "entfernten monowalls" diese IP des Syslog Servers ein...fertich ist der Lack.
Wie gesagt: Es ist nicht klar was genau du erreichen willst mit dem Syslog, deshalb ist eine sinnvolle Antwort schwierig ?!
Bitte warten ..
Mitglied: mideastd
07.04.2011 um 12:11 Uhr
Hallo aqui,
entschuldige bitte, dass ich mich so unklar ausgedrückt habe. Ich muss wohl doch etwas genauer werden.
Ich beziehe mich auf Deinen Beitrag vom 01.02.2010, in dem Du vorschlägst, das Syslog üver VPN zu senden.
Ich möchte in der Tat mehrere MonoWalls auf einen Syslog Server monitoren. Diese meine ich mit "der entfernten monowall".
Mein Syslog Server liegt ebenfalls hinter einer MonoWall, diese meinte ich mit "lokaler monowall".

Warum machst du dir es nicht einfach und baust von jeder Monowall die du loggen willst einen VPN zu deinem Syslog Server auf ? <

Genau das habe ich vor. Ich weiß nur eben nicht, was ich bei den Menüs für VPN eintragen muss. Muss ich nur in der "lokalen monowall" im Bereich VPN Eintragungen machen oder auch bei den "entfernten monowalls" und wenn ja, welche.

Bisher habe ich bei den "entfernten monowalls" unter Syslog Settings meine lokale öffentliche IP eingetragen und bei meiner "lokalen monowall" eine Port-Weiterleitung auf meinen Syslog-Server eingerichtet. Damit funktioniert das externe Syslogging natürlich gut, aber eben ohne VPN.

Ich hoffe, ich habe mich nun klarer ausgedrückt und strapaziere Dich nicht über alle Maßen.

mideastd
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
WLAN Hotspot mit Ticketsystem, Abrechnung und Logging (6)

Frage von detmold79 zum Thema LAN, WAN, Wireless ...

Batch & Shell
gelöst SAP Externes Programm Parameterübergabe an Skript in Variable (2)

Frage von Erik72 zum Thema Batch & Shell ...

Windows Server
gelöst MS-SQL Server lokale Authentifizierung - Logging (5)

Frage von ThomasAnderson zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...