11
Syslog via VPN
Hallo zusammen,
danke der Hilfe von sk läuft meine ZyXEL nun eigentlich im Großen und Ganzen, allerdings schaffe ich es nicht trotz der einen oder anderen Anleitung meinen Syslog Server (Splunk) dazu zu motivieren die Logs von der Außenstelle abzuholen. Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Weiters sowohl CEF Sylog als auch VRPT Syslog probiert, falls eines der Protokolle nicht klappt.
Da die lokale ZyXEL (älteres Modell) schon fleißig protokolliert wird, schließe ich Fehler am Syslog Server eher aus.
Danke!
LG mcdy
danke der Hilfe von sk läuft meine ZyXEL nun eigentlich im Großen und Ganzen, allerdings schaffe ich es nicht trotz der einen oder anderen Anleitung meinen Syslog Server (Splunk) dazu zu motivieren die Logs von der Außenstelle abzuholen. Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Weiters sowohl CEF Sylog als auch VRPT Syslog probiert, falls eines der Protokolle nicht klappt.
Da die lokale ZyXEL (älteres Modell) schon fleißig protokolliert wird, schließe ich Fehler am Syslog Server eher aus.
Danke!
LG mcdy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 229076
Url: https://administrator.de/contentid/229076
Printed on: April 16, 2024 at 20:04 o'clock
11 Comments
Latest comment
Hallo,
bei Syslogs eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.
Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.
Gruß
Dobby
danke der Hilfe von sk....
Und warum fragst Du den nicht einfach noch einmal?...läuft meine ZyXEL
Welches Zyxel? Router, Firewall, Switch,.....Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Der Gedanke geht schon in die richtige Richtung nur leider ist esbei Syslogs eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.
Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.
Gruß
Dobby
1
Hallo Dobby
Weil der Fall eigentlich schon abgeschlossen ist und für die bessere Übersicht
Wie konnte ich das nur vergessen
Es handelt sich um ZyXEL ZyWALLs der USG Serie (20, 50, 100, 200)
Da Echtzeit geloggt wird sollte sich der Traffic der Log Files hoffentlich in Grenzen halten.
Danke und LG mcdy
> danke der Hilfe von sk....
Und warum fragst Du den nicht einfach noch einmal?
Und warum fragst Du den nicht einfach noch einmal?
Weil der Fall eigentlich schon abgeschlossen ist und für die bessere Übersicht
> ...läuft meine ZyXEL
Welches Zyxel? Router, Firewall, Switch,.....
Welches Zyxel? Router, Firewall, Switch,.....
Wie konnte ich das nur vergessen
Es handelt sich um ZyXEL ZyWALLs der USG Serie (20, 50, 100, 200)
> Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Der Gedanke geht schon in die richtige Richtung nur leider ist es
bei Syslogsy eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.
Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.
Der Gedanke geht schon in die richtige Richtung nur leider ist es
bei Syslogsy eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.
Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.
Da Echtzeit geloggt wird sollte sich der Traffic der Log Files hoffentlich in Grenzen halten.
Danke und LG mcdy
Syslog Messages werden niemals durch den Server "abgeholt". Das ist im Syslog Protokoll nicht vorgesehen. Wenn, dann senden die Clients Syslog Messages an den Server, niemals aber andersrum !
Hier machst du vermutlich einen Denkfehler. Wenn also der Client der die Syslog Messages an den Server sendet und den Server IP technisch erreichen kann was man per Traceroute und Ping testen kann, dann kommen auch dort die Syslog Messages an. Dabei ist es total unerheblich welche Infrastruktur benutzt wird VPN, LAN. DSL oder feuchter Bindfaden sofern diese TCP/IP spricht.
Wichtig ist freilich noch mit welchem "localx" Level die Message einlaufen um sie ggf. zu akzeptieren und loggen ?! Nicht das du ein lokales Problem am Logging Server hast mit dem Log Level. Am besten hilft da ein Sniffer wie der Wireshark oder sofern dein Splunk auf einem unixoiden OS läuft ganz einfach tcpdump ! Damit kannst du sehen ob dort am Server überhaupt UDP 514 Pakete vom Ziel eintreffen. tcpdump port 514 wäre das Kommando dazu.
Das die lokale Firewall am Server (sofern aktiviert) Syslog Traffic, UDP 514, von Fremnetzen zulassen muss sollte klar sein.
Hier machst du vermutlich einen Denkfehler. Wenn also der Client der die Syslog Messages an den Server sendet und den Server IP technisch erreichen kann was man per Traceroute und Ping testen kann, dann kommen auch dort die Syslog Messages an. Dabei ist es total unerheblich welche Infrastruktur benutzt wird VPN, LAN. DSL oder feuchter Bindfaden sofern diese TCP/IP spricht.
Wichtig ist freilich noch mit welchem "localx" Level die Message einlaufen um sie ggf. zu akzeptieren und loggen ?! Nicht das du ein lokales Problem am Logging Server hast mit dem Log Level. Am besten hilft da ein Sniffer wie der Wireshark oder sofern dein Splunk auf einem unixoiden OS läuft ganz einfach tcpdump ! Damit kannst du sehen ob dort am Server überhaupt UDP 514 Pakete vom Ziel eintreffen. tcpdump port 514 wäre das Kommando dazu.
Das die lokale Firewall am Server (sofern aktiviert) Syslog Traffic, UDP 514, von Fremnetzen zulassen muss sollte klar sein.
2
Hallo,
Beides löschen!
Das Problem ist, dass die loggende Zywall am Remotestandort als Absender-IP ihre WAN-Adresse verwendet. Damit greift für diesen Traffic die IPSec-Policy (Phase2) nicht und der Traffic wird unverschlüsselt ins Internet gesendet und dort vom ersten korrekt konfigurierten Providerrouter ausgefiltert.
Es gibt dafür bei den Linux-basierten ZyWALLs zwei Lösungswege:
1) den Traffic per Policyroute zwangsweise in den Tunnel schieben (da Syslog UDP nutzt und vom Server keine Antwortpakete gesendet werden, genügt es, dies auf der sendenden Box zu konfigurieren)
oder
2) beiderseits die Phase2-Policy so erweitern, dass die WAN-IP der sendenden Zywall erfasst wird
Da dem Ausgangsposting zufolge die lokale Zywall beim Syslog-Server ein älteres Gerät ist (also noch auf ZyNOS basieren dürfte und damit nur policybased arbeiten kann), kommt hier leider nur die Variante 2 in Betracht! Dies setzt leider voraus, dass die protokollierende Zywall USG über eine feste WAN-IP verfügt.
Hier eine Anleitung, wie das zu konfigurieren ist (nicht verunsichern lassen - die Screenshots stammen noch von einer uralten Firmware): http://www.zyxel.ch/de/support/knowledgebase/detail/3130
Gruß
sk
Zitat von @mc-doubleyou:
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Beides löschen!
Das Problem ist, dass die loggende Zywall am Remotestandort als Absender-IP ihre WAN-Adresse verwendet. Damit greift für diesen Traffic die IPSec-Policy (Phase2) nicht und der Traffic wird unverschlüsselt ins Internet gesendet und dort vom ersten korrekt konfigurierten Providerrouter ausgefiltert.
Es gibt dafür bei den Linux-basierten ZyWALLs zwei Lösungswege:
1) den Traffic per Policyroute zwangsweise in den Tunnel schieben (da Syslog UDP nutzt und vom Server keine Antwortpakete gesendet werden, genügt es, dies auf der sendenden Box zu konfigurieren)
oder
2) beiderseits die Phase2-Policy so erweitern, dass die WAN-IP der sendenden Zywall erfasst wird
Da dem Ausgangsposting zufolge die lokale Zywall beim Syslog-Server ein älteres Gerät ist (also noch auf ZyNOS basieren dürfte und damit nur policybased arbeiten kann), kommt hier leider nur die Variante 2 in Betracht! Dies setzt leider voraus, dass die protokollierende Zywall USG über eine feste WAN-IP verfügt.
Hier eine Anleitung, wie das zu konfigurieren ist (nicht verunsichern lassen - die Screenshots stammen noch von einer uralten Firmware): http://www.zyxel.ch/de/support/knowledgebase/detail/3130
Gruß
sk
1
Hallo aqui und sk,
wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.
Danke!
LG mcdy
wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.
Danke!
LG mcdy
Zitat von @mc-doubleyou:
wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
Ja, wenn ein altes ZyNOS-Gerät im Spiel ist, benötigst Du einen zusätzlichen VPN-Tunnel.
Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der
Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.
Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel
In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!
Gruß
sk
1
Hallo sk
ich habe zwar nun denke ich den Tunnel erfolgreich aufgebaut es kommt aber trotzdem nichts bei meinem Syslog Server (Splunk) an.
Ebenso findet Wireshark überhaupt keinen Traffic auf UDP 514, was mich doch sehr wundert.
Müsste ich den Syslog Traffic mit der IP 10.20.40.254 oder der externen IP Adresse sehen? Das ZyNOS Gerät erscheint natürlich als 10.20.20.254.
Alternativ würde ich auch einen anderen Syslog Server verwenden, er sollte jedoch Freeware sein und bevorzugt ein Webinterface bieten.
Danke!
LG mcdy
ich habe zwar nun denke ich den Tunnel erfolgreich aufgebaut es kommt aber trotzdem nichts bei meinem Syslog Server (Splunk) an.
Ebenso findet Wireshark überhaupt keinen Traffic auf UDP 514, was mich doch sehr wundert.
Müsste ich den Syslog Traffic mit der IP 10.20.40.254 oder der externen IP Adresse sehen? Das ZyNOS Gerät erscheint natürlich als 10.20.20.254.
Alternativ würde ich auch einen anderen Syslog Server verwenden, er sollte jedoch Freeware sein und bevorzugt ein Webinterface bieten.
Danke!
LG mcdy
Bitte die VPN-Settings von beiden Seiten posten!
Zitat von @sk:
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel
In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!
Gruß
sk
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel
In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!
Gruß
sk
Genauso habe ich es auch seit langem laufen, ohne Probleme. Manchmal wuenschte ich mir das alle Zywalls mit vordefinierten Regeln und VPN Tunneln ausgeliefert werden
Vielleicht koennte man sich da Zeit sparen.Habe allerdings bei Ziel IP nur die IP des Syslog-Servers eingetragen und als Dienst nur Syslog zugelassen. Ist eher kosmetischer Natur denke ich. Hoffe dass das richtig ist, velleicht kann ..sk.. hierzu noch was schreiben?
Hallo zusammen,
nun läuft in der Zentrale und in einer Außenstelle eine USG und plötzlich funktioniert Syslog wie gewünscht (naja fast, komm gleich darauf zu sprechen).
Allerdings musste ich ein paar meiner schlechten Policy Routen löschen (viele Köche verderben den Brei) hab dann aber nichteinmal eine gesetzt für Syslog und es scheint zu laufen.
Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie verbessern?
Danke!
LG mcdy
nun läuft in der Zentrale und in einer Außenstelle eine USG und plötzlich funktioniert Syslog wie gewünscht (naja fast, komm gleich darauf zu sprechen).
Allerdings musste ich ein paar meiner schlechten Policy Routen löschen (viele Köche verderben den Brei) hab dann aber nichteinmal eine gesetzt für Syslog und es scheint zu laufen.
Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie verbessern?
Danke!
LG mcdy
Zitat von @mc-doubleyou:
Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie
verbessern?
Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie
verbessern?
Ich schrieb ja, dass dies so sein würde. Wenns sehr stôrt, kannst Du versuchen, es per Policyroute zu natten. Wenns auf der sendenden Zywall nicht funktionieren sollte, dann geht dies auf jeden Fall auf der gequerten Zywall am Standort des Syslog-Servers.
Gruß
sk
