Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Watchguard XTM 505 Gesammten Traffic loggen

Frage Netzwerke Router & Routing

Mitglied: Arsimael.Inshan

Arsimael.Inshan (Level 1) - Jetzt verbinden

02.02.2011, aktualisiert 14:36 Uhr, 8323 Aufrufe, 9 Kommentare

Gesammten Traffic über alle TCP/UDP Ports loggen

Hallo,

Ich habe ein kleines Problem.
Zuerst mal die Gegebenheiten:

In unserem Betrieb haben wir eine 20 Mbit sync Leitung, die wir bezahlen aber neben uns noch eine andere Firma mit nutzt. Da unser Traffic in letzter Zeit hochgeschnellt ist (von 40 GB/Monat auf knapp 100 haben wir uns entschlossen mitzuloggen woher der Traffic kommt. Dafür haben wir uns eine Watchguard XTM 505 (v11.3.2) als Testgerät schicken lassen.

Ziel ist es den gesamten Internet-traffic mitzuloggen und erst mal herauszufinden welcher PC/ welche PCs den Traffic verursachen, und vor allem wie viel % davon auf die andere Firma entfällt. Das brauchen wir um dieser Firma eine anteilige Rechnung für den verursachten Traffic zu stellen.

Im Moment läuft die Watchguard in einem Getrennten Netz. die Watchguard hat einen Separaten Anschluss an das Internet, getrennt vom Restlichen Netzwerk. An dem Watchguard-Netzwerk hängt nun ein normaler PC, auf dem die Server (Logserver, Webblocker usw.) installiert ist. Als weiteren Rechner habe ich meinen Laptop angeschlossen und unser Gäste-Wlan (Das später auch über die Watchguard getrennt vom Firmenetz laufen soll.

Soweit so gut. Ich habe die Watchguard konfiguriert (auch mit HTTP-Proxy, Webblocker usw.) und habe eine weitere "Policy" erstellt. diese Policy ist ebenfalls ein Proxy und soll aber nicht nur Port 80, sondern Alle TCP und UDP Ports überwachen. Alles soll ungehindert durchgehen und eben nur geloggt werden welche IP wie viele Daten nach draußen schickt / empfängt.

Das mit dem HTTP klappt schon ganz gut. Ich habe mit meinem Laptop ein paar kleinere HTTP-Downloads gemacht und die werden auch geloggt. Aber alles andere (FTP, sFTP. Radiostream über port 13030 VPN-Datenübertragungen) werden eben nicht mitgerechnet. Ich habe gestern knapp 2GB und heute knapp 500MB an Traffic verursacht über die verschiedensten Ports - nichts. Er loggt mir nur den HTTP Traffic mit.

Mittlerweile habe ich mich durch sie KB von Watchguard gebissen, diverse Konfigurationen ausprobiert und bin immer noch keinen Schritt weiter. Am 16.2 müssen wir das Ding zurückgeben und wenn wir es nicht schaffen das so einzurichten wie wir das wollen, dann geht das Ding eben zurück und wir sehen uns nach einer anderen Lösung um.

Any Ideas?


*Edit 14:36Uhr: Schreibfehler
Mitglied: Neomatic
02.02.2011 um 15:33 Uhr
Hallo,

ruf doch beim Support an und lass dir die Schritte erklären. Die sind wirklich hilfsbereit und gehen das mit dir telefonisch durch.

Gruß

Neomatic
Bitte warten ..
Mitglied: Tommy70
02.02.2011 um 15:46 Uhr
Hallo,

hast du denn bei der Policy das Logging aktiviert. Denn soweit ich weiss werden bei neuen Regeln standardmäßig nur die Deny-Pakete geloggt.
Bitte warten ..
Mitglied: Tommy70
02.02.2011 um 15:53 Uhr
Hallo,

noch was. Solltest du als neue Policy den Standard TCP-UDP-proxy verwendet haben dann wäre diese Info aus der Watchguard Hilfe eventuell die Erklärung dafür.
The TCP-UDP-proxy can pass HTTP, HTTPS, SIP, and FTP traffic to proxy policies that you have already created when this traffic is sent over non-standard ports.
Das könnte heißen, dass du für die anderen Protokolle ebenfalls Regeln erstellen musst.
Habe mich aber noch nie weiter damit beschäftigt, da wir für alle bei uns verwendeten Protokolle Regeln erstellt haben und der Rest gesperrt ist.
Daher wird auch alles geloggt was über die Firewall läuft.
Bitte warten ..
Mitglied: Deepsys
02.02.2011 um 16:06 Uhr
Hi,

wenn ich mich nicht irre, dann loggt die WG nur den Verkehr der durch den Proxy geht.
Alles andere sind nur normale Filter.

Das würde ja auch zu deinen Aussagen passen ....

Da ich selber zwar WG habe, aber kein Traffic-Logging laufen lasse, kann ich dir dazu nicht mehr sagen.

VG
Deepsys
Bitte warten ..
Mitglied: Deepsys
02.02.2011 um 16:12 Uhr
Hi,

Update:
Gerade mal in die Regeln geguckt:

Nur in den Proxies gibt es den Punkt "Enable logging for reports" und der ist laut Hilfe für:

"To create a log message for each transaction, select the Enable logging for reports check box.
You must select this option to get detailed information on FTP traffic. "

In den normalen hast du den Punkt gar nicht, sondern nur den Log für Allowed Pakete; Denied werden immer gelogt.

So, damit das geht bleibt dir nur der "TCP-UDP-Proxy" übrig, den auf Any stellen, das "Enable logging for reports" an, und dann sollte (!!) das gehen.

Ohne Gewähr

VG
Deepsys

Edit 1: Hmm das gleiche hat doch eben schon einer gesagt, mist zu spät t
Bitte warten ..
Mitglied: Arsimael.Inshan
02.02.2011 um 18:45 Uhr
Genau das habe ich ja gemacht. Ich habe jetzt alle Proxy einstellungen gelöscht (Sicherheitskopie der Einstellungen) und einen neuen TCP/UDP Proxy erstellt der alles durchlässt und eben ALLES Loggen soll. bei HTTP usw kann ich ja trozdem die Webfblocker einstellungen usw machen.Aber: Fehlanzeige. Und der ganze Datenverkehr MUSS durch die Watchguard. Einen Anderen weg gibt es einfach nicht.
Bitte warten ..
Mitglied: Deepsys
03.02.2011 um 08:13 Uhr
Guten morgen,

>.Aber: Fehlanzeige. Und der ganze Datenverkehr MUSS durch die Watchguard. Einen Anderen weg
gibt es einfach nicht.

Was meinst du damit, das der ganze Datenverkehr durch die Watchguard muss?
Verstehe ich nicht .....

Klar, muss das alles da durch, wie soll die sonst loggen.

Und vom log bekommst du keine Daten?
Bitte warten ..
Mitglied: Arsimael.Inshan
03.02.2011 um 09:01 Uhr
Das meine Ich so:

Der Internetgateway hat die IP 192.168.1.254. Der geht in die Watchguard auf den "External" Port. Auf Port "Internal 1" Der WG läuft mein Testnetz. Im Testnetz ist die Watchguard als Gateway (192.168.2.241) angegeben. Ergo muss der gesammte verkehr über die Watchguard laufen.

Und scheinbar habe ich es jetzt geschafft das ich jetzt den Traffic geloggt bekomme. Jetzt muss ich nur noch an die auswertung
Bitte warten ..
Mitglied: Deepsys
03.02.2011 um 09:06 Uhr
Ah OK,

Und scheinbar habe ich es jetzt geschafft das ich jetzt den Traffic geloggt bekomme. Jetzt muss ich nur noch an die auswertung

Das schaffst du auch noch, leider kann ich dir da nicht helfen, ich habe den Server gar nicht installiert
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Telekom Digitalisierungsbox mit WatchGuard Firewall (12)

Frage von demetz zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Firewall
Pfsense traffic überwachen (5)

Frage von thomasreischer zum Thema Firewall ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...