Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Syslog via VPN

Frage Netzwerke Monitoring

Mitglied: mc-doubleyou

mc-doubleyou (Level 2) - Jetzt verbinden

07.02.2014 um 17:10 Uhr, 2550 Aufrufe, 11 Kommentare, 2 Danke

Hallo zusammen,

danke der Hilfe von sk läuft meine ZyXEL nun eigentlich im Großen und Ganzen, allerdings schaffe ich es nicht trotz der einen oder anderen Anleitung meinen Syslog Server (Splunk) dazu zu motivieren die Logs von der Außenstelle abzuholen. Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.

Die versuchte Lösung:

eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Weiters sowohl CEF Sylog als auch VRPT Syslog probiert, falls eines der Protokolle nicht klappt.

Da die lokale ZyXEL (älteres Modell) schon fleißig protokolliert wird, schließe ich Fehler am Syslog Server eher aus.

Danke!

LG mcdy
Mitglied: Dobby
07.02.2014, aktualisiert 10.02.2014
Hallo,

danke der Hilfe von sk....
Und warum fragst Du den nicht einfach noch einmal?

...läuft meine ZyXEL
Welches Zyxel? Router, Firewall, Switch,.....

Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Der Gedanke geht schon in die richtige Richtung nur leider ist es
bei Syslogs eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.

Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.

Gruß
Dobby
Bitte warten ..
Mitglied: mc-doubleyou
07.02.2014 um 19:25 Uhr
Hallo Dobby

> danke der Hilfe von sk....
Und warum fragst Du den nicht einfach noch einmal?

Weil der Fall eigentlich schon abgeschlossen ist und für die bessere Übersicht

> ...läuft meine ZyXEL
Welches Zyxel? Router, Firewall, Switch,.....

Wie konnte ich das nur vergessen
Es handelt sich um ZyXEL ZyWALLs der USG Serie (20, 50, 100, 200)

> Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Der Gedanke geht schon in die richtige Richtung nur leider ist es
bei Syslogsy eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.

Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.

Da Echtzeit geloggt wird sollte sich der Traffic der Log Files hoffentlich in Grenzen halten.

Danke und LG mcdy
Bitte warten ..
Mitglied: aqui
07.02.2014, aktualisiert um 19:35 Uhr
Syslog Messages werden niemals durch den Server "abgeholt". Das ist im Syslog Protokoll nicht vorgesehen. Wenn, dann senden die Clients Syslog Messages an den Server, niemals aber andersrum !
Hier machst du vermutlich einen Denkfehler. Wenn also der Client der die Syslog Messages an den Server sendet und den Server IP technisch erreichen kann was man per Traceroute und Ping testen kann, dann kommen auch dort die Syslog Messages an. Dabei ist es total unerheblich welche Infrastruktur benutzt wird VPN, LAN. DSL oder feuchter Bindfaden sofern diese TCP/IP spricht.
Wichtig ist freilich noch mit welchem "localx" Level die Message einlaufen um sie ggf. zu akzeptieren und loggen ?! Nicht das du ein lokales Problem am Logging Server hast mit dem Log Level. Am besten hilft da ein Sniffer wie der Wireshark oder sofern dein Splunk auf einem unixoiden OS läuft ganz einfach tcpdump ! Damit kannst du sehen ob dort am Server überhaupt UDP 514 Pakete vom Ziel eintreffen. tcpdump port 514 wäre das Kommando dazu.
Das die lokale Firewall am Server (sofern aktiviert) Syslog Traffic, UDP 514, von Fremnetzen zulassen muss sollte klar sein.
Bitte warten ..
Mitglied: sk
08.02.2014 um 01:22 Uhr
Hallo,

Zitat von mc-doubleyou:

Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.

Beides löschen!

Das Problem ist, dass die loggende Zywall am Remotestandort als Absender-IP ihre WAN-Adresse verwendet. Damit greift für diesen Traffic die IPSec-Policy (Phase2) nicht und der Traffic wird unverschlüsselt ins Internet gesendet und dort vom ersten korrekt konfigurierten Providerrouter ausgefiltert.

Es gibt dafür bei den Linux-basierten ZyWALLs zwei Lösungswege:
1) den Traffic per Policyroute zwangsweise in den Tunnel schieben (da Syslog UDP nutzt und vom Server keine Antwortpakete gesendet werden, genügt es, dies auf der sendenden Box zu konfigurieren)
oder
2) beiderseits die Phase2-Policy so erweitern, dass die WAN-IP der sendenden Zywall erfasst wird

Da dem Ausgangsposting zufolge die lokale Zywall beim Syslog-Server ein älteres Gerät ist (also noch auf ZyNOS basieren dürfte und damit nur policybased arbeiten kann), kommt hier leider nur die Variante 2 in Betracht! Dies setzt leider voraus, dass die protokollierende Zywall USG über eine feste WAN-IP verfügt.
Hier eine Anleitung, wie das zu konfigurieren ist (nicht verunsichern lassen - die Screenshots stammen noch von einer uralten Firmware): http://www.zyxel.ch/de/support/knowledgebase/detail/3130

Gruß
sk
Bitte warten ..
Mitglied: mc-doubleyou
10.02.2014, aktualisiert um 18:51 Uhr
Hallo aqui und sk,

wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.

Danke!

LG mcdy
Bitte warten ..
Mitglied: sk
10.02.2014, aktualisiert um 23:38 Uhr
Zitat von mc-doubleyou:

wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?

Ja, wenn ein altes ZyNOS-Gerät im Spiel ist, benötigst Du einen zusätzlichen VPN-Tunnel.


Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der
Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.

Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel

In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!

Gruß
sk
Bitte warten ..
Mitglied: mc-doubleyou
11.02.2014 um 17:43 Uhr
Hallo sk

ich habe zwar nun denke ich den Tunnel erfolgreich aufgebaut es kommt aber trotzdem nichts bei meinem Syslog Server (Splunk) an.
Ebenso findet Wireshark überhaupt keinen Traffic auf UDP 514, was mich doch sehr wundert.
Müsste ich den Syslog Traffic mit der IP 10.20.40.254 oder der externen IP Adresse sehen? Das ZyNOS Gerät erscheint natürlich als 10.20.20.254.

Alternativ würde ich auch einen anderen Syslog Server verwenden, er sollte jedoch Freeware sein und bevorzugt ein Webinterface bieten.

Danke!

LG mcdy
Bitte warten ..
Mitglied: sk
11.02.2014 um 19:18 Uhr
Bitte die VPN-Settings von beiden Seiten posten!
Bitte warten ..
Mitglied: frankramos
15.02.2014, aktualisiert um 14:25 Uhr
Zitat von sk:
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel

In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!

Gruß
sk

Genauso habe ich es auch seit langem laufen, ohne Probleme. Manchmal wuenschte ich mir das alle Zywalls mit vordefinierten Regeln und VPN Tunneln ausgeliefert werden Vielleicht koennte man sich da Zeit sparen.
Habe allerdings bei Ziel IP nur die IP des Syslog-Servers eingetragen und als Dienst nur Syslog zugelassen. Ist eher kosmetischer Natur denke ich. Hoffe dass das richtig ist, velleicht kann ..sk.. hierzu noch was schreiben?
Bitte warten ..
Mitglied: mc-doubleyou
20.02.2014 um 19:05 Uhr
Hallo zusammen,

nun läuft in der Zentrale und in einer Außenstelle eine USG und plötzlich funktioniert Syslog wie gewünscht (naja fast, komm gleich darauf zu sprechen).
Allerdings musste ich ein paar meiner schlechten Policy Routen löschen (viele Köche verderben den Brei) hab dann aber nichteinmal eine gesetzt für Syslog und es scheint zu laufen.

Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie verbessern?

Danke!

LG mcdy
Bitte warten ..
Mitglied: sk
20.02.2014, aktualisiert um 22:06 Uhr
Zitat von mc-doubleyou:

Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie
verbessern?

Ich schrieb ja, dass dies so sein würde. Wenns sehr stôrt, kannst Du versuchen, es per Policyroute zu natten. Wenns auf der sendenden Zywall nicht funktionieren sollte, dann geht dies auf jeden Fall auf der gequerten Zywall am Standort des Syslog-Servers.

Gruß
sk
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...