Externes Logging mit m0n0wall
Hallo Leute,
ich könnte ein wenig Hilfe bei Firewall-Rules gebrauchen.
Ich möchte den "syslog'ing to remote syslog server" - Dienst von m0n0wall nutzen und zwar auf einem
Windows-PC mit dem Programm "Kiwi Syslog Server".
Innerhalb meines eigenen Netzwerks klappt das auch ganz hervorragend.
Mein Ziel ist es jedoch die Syslog-Daten von einer entfernten m0n0wall über das Internet zu empfangen.
Lokal ist meinem Netzwerk auch eine m0n0wall vorgeschaltet.
Also ist der Weg wie folgt: m0n0wall(entfernt) -> Internet -> m0n0wall(lokal) -> PC mit Kiwi-Syslog-Server.
Ich habe bei m0n0wall(entfernt) / Logs / Settings die öffentliche IP von m0n0wall(lokal) eingetragen.
Bei m0n0wall(lokal) habe ich bei NAT / Inbound folgendes eingetragen:
IF: WAN | External Adr.: Interface Adress | Prot.: UDP | External Port: (other) 514 | NAT IP: 192.168.1.10 | Local Port: (other)514.
Ferner habe ich >Auto-add a firewall rule< aktiviert.
Trotz dieser Einträge kann ich keine Syslog-Daten empfangen. Was habe ich falsch gemacht ?
Muss ich noch Einträge bei der m0n0wall(entfernt) machen ?
Ich habe auch schon gegoogelt, aber es hat mir nichts geholfen.
Vielen Dank im Voraus.
mideastd
ich könnte ein wenig Hilfe bei Firewall-Rules gebrauchen.
Ich möchte den "syslog'ing to remote syslog server" - Dienst von m0n0wall nutzen und zwar auf einem
Windows-PC mit dem Programm "Kiwi Syslog Server".
Innerhalb meines eigenen Netzwerks klappt das auch ganz hervorragend.
Mein Ziel ist es jedoch die Syslog-Daten von einer entfernten m0n0wall über das Internet zu empfangen.
Lokal ist meinem Netzwerk auch eine m0n0wall vorgeschaltet.
Also ist der Weg wie folgt: m0n0wall(entfernt) -> Internet -> m0n0wall(lokal) -> PC mit Kiwi-Syslog-Server.
Ich habe bei m0n0wall(entfernt) / Logs / Settings die öffentliche IP von m0n0wall(lokal) eingetragen.
Bei m0n0wall(lokal) habe ich bei NAT / Inbound folgendes eingetragen:
IF: WAN | External Adr.: Interface Adress | Prot.: UDP | External Port: (other) 514 | NAT IP: 192.168.1.10 | Local Port: (other)514.
Ferner habe ich >Auto-add a firewall rule< aktiviert.
Trotz dieser Einträge kann ich keine Syslog-Daten empfangen. Was habe ich falsch gemacht ?
Muss ich noch Einträge bei der m0n0wall(entfernt) machen ?
Ich habe auch schon gegoogelt, aber es hat mir nichts geholfen.
Vielen Dank im Voraus.
mideastd
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 134807
Url: https://administrator.de/contentid/134807
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Bei einem Windows Syslog Server ist ferner wichtig das du in der Windows Firewall eine Ausnahme für externe IP Netze für den Syslog Dienst aktivierst. Als Default lässt der immer nur lokale IPs zu. Also hier den "Bereich" zum Syslog Programm auf alle Rechner oder gesamtes Internet einstellen !
Syslog kann TCP oder UDP nutzen. In der Regel ist es UDP. Besser du siehst mit einem Sniffer wie dem Wireshark nach um sicher zu gehen oder gibst in der Inbound NAT Regel TCP und UDP an.
Die Inbound Regel sieht dann so aus:
Interface: WAN, External adress: Interface address, Protocol: TCP/UDP , Port 514 in from to, NAT IP: Lokale IP des Syslog Servers und dann...
Unbedingt unten den Haken bei "Auto-add a firewall rule to permit traffic through this NAT rule" setzen, damit diese Inbound Regel auch gleich eine Firewall Regel dazu erstellt !! Ansonsten werden deine 514er Pakete an der WAN Firewall geblockt. Das kannst du dann aber im Firewall Log sofort sehen !
Alles andere ist soweit korrekt. Als Alternative zum Kiwi kannst du auch den Microtik Syslog nehmen der etwas ausführlicher ist:
http://www.mikrotik.com/archive.php
Generell solltest du aber überdenken ob du mit Port Forwarding ein Loch in deine FW bohren willst. Warum machst du nicht einfach ein VPN auf zwischen beiden Monowalls und schickst die Syslogs problemlos übers VPN ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Syslog kann TCP oder UDP nutzen. In der Regel ist es UDP. Besser du siehst mit einem Sniffer wie dem Wireshark nach um sicher zu gehen oder gibst in der Inbound NAT Regel TCP und UDP an.
Die Inbound Regel sieht dann so aus:
Interface: WAN, External adress: Interface address, Protocol: TCP/UDP , Port 514 in from to, NAT IP: Lokale IP des Syslog Servers und dann...
Unbedingt unten den Haken bei "Auto-add a firewall rule to permit traffic through this NAT rule" setzen, damit diese Inbound Regel auch gleich eine Firewall Regel dazu erstellt !! Ansonsten werden deine 514er Pakete an der WAN Firewall geblockt. Das kannst du dann aber im Firewall Log sofort sehen !
Alles andere ist soweit korrekt. Als Alternative zum Kiwi kannst du auch den Microtik Syslog nehmen der etwas ausführlicher ist:
http://www.mikrotik.com/archive.php
Generell solltest du aber überdenken ob du mit Port Forwarding ein Loch in deine FW bohren willst. Warum machst du nicht einfach ein VPN auf zwischen beiden Monowalls und schickst die Syslogs problemlos übers VPN ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das ist klar wenn die FB auch noch ein Netzwerk abtrennt macht die natürlich auch NAT sofern sie nicht als dummer Accesspoint rennt wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Wenn die FB NAT macht musst du logischerweise auch hier ein Port Frowarding einrichten vom WAN auf den LAN Port damit die Syslog Daten die NAT Firewall überwinden können.
Das ist vermutlich dein Problem, denn ein kurzer Testaufbau hier zeigt das das Logging problemlos ankommt auf dem Syslog Server mit einem simplen Port Forwarding !
Kopplung von 2 Routern am DSL Port
Wenn die FB NAT macht musst du logischerweise auch hier ein Port Frowarding einrichten vom WAN auf den LAN Port damit die Syslog Daten die NAT Firewall überwinden können.
Das ist vermutlich dein Problem, denn ein kurzer Testaufbau hier zeigt das das Logging problemlos ankommt auf dem Syslog Server mit einem simplen Port Forwarding !
Das einzige was du eintragen musst ist die externe IP Adresse für den Syslog Server...mehr nicht !
Damit forwardet die Monowall / pfSense alle Logging Pakete auch an diesen Server.
Natürlich muss diese IP Adresse erreichbar sein, entweder direkt oder über das VPN. Ein Ping zeigt dir das an ob das so ist.
Für das banale Einstellen einer simplen IP Adresse muss man in der Regel kein Tutorial oder Anleitung haben, oder ?!
Damit forwardet die Monowall / pfSense alle Logging Pakete auch an diesen Server.
Natürlich muss diese IP Adresse erreichbar sein, entweder direkt oder über das VPN. Ein Ping zeigt dir das an ob das so ist.
Für das banale Einstellen einer simplen IP Adresse muss man in der Regel kein Tutorial oder Anleitung haben, oder ?!
Es ist nicht klar ersichtlich was du vorhast
Was meinst du genau mit "der entfernten monowall" ?? Willst du mehrere MonoWalls auf einen Syslog Server monitoren ??
Warum machst du dir es nicht einfach und baust von jeder Monowall die du loggen willst einen VPN zu deinem Syslog Server auf ?
Trägst in allen "entfernten monowalls" diese IP des Syslog Servers ein...fertich ist der Lack.
Wie gesagt: Es ist nicht klar was genau du erreichen willst mit dem Syslog, deshalb ist eine sinnvolle Antwort schwierig ?!
Was meinst du genau mit "der entfernten monowall" ?? Willst du mehrere MonoWalls auf einen Syslog Server monitoren ??
Warum machst du dir es nicht einfach und baust von jeder Monowall die du loggen willst einen VPN zu deinem Syslog Server auf ?
Trägst in allen "entfernten monowalls" diese IP des Syslog Servers ein...fertich ist der Lack.
Wie gesagt: Es ist nicht klar was genau du erreichen willst mit dem Syslog, deshalb ist eine sinnvolle Antwort schwierig ?!