mideastd
Goto Top

Externes Logging mit m0n0wall

Hallo Leute,

ich könnte ein wenig Hilfe bei Firewall-Rules gebrauchen.

Ich möchte den "syslog'ing to remote syslog server" - Dienst von m0n0wall nutzen und zwar auf einem
Windows-PC mit dem Programm "Kiwi Syslog Server".
Innerhalb meines eigenen Netzwerks klappt das auch ganz hervorragend.
Mein Ziel ist es jedoch die Syslog-Daten von einer entfernten m0n0wall über das Internet zu empfangen.
Lokal ist meinem Netzwerk auch eine m0n0wall vorgeschaltet.
Also ist der Weg wie folgt: m0n0wall(entfernt) -> Internet -> m0n0wall(lokal) -> PC mit Kiwi-Syslog-Server.

Ich habe bei m0n0wall(entfernt) / Logs / Settings die öffentliche IP von m0n0wall(lokal) eingetragen.
Bei m0n0wall(lokal) habe ich bei NAT / Inbound folgendes eingetragen:

IF: WAN | External Adr.: Interface Adress | Prot.: UDP | External Port: (other) 514 | NAT IP: 192.168.1.10 | Local Port: (other)514.
Ferner habe ich >Auto-add a firewall rule< aktiviert.

Trotz dieser Einträge kann ich keine Syslog-Daten empfangen. Was habe ich falsch gemacht ?
Muss ich noch Einträge bei der m0n0wall(entfernt) machen ?

Ich habe auch schon gegoogelt, aber es hat mir nichts geholfen.

Vielen Dank im Voraus.

mideastd

Content-ID: 134807

Url: https://administrator.de/contentid/134807

Ausgedruckt am: 13.11.2024 um 07:11 Uhr

aqui
aqui 01.02.2010, aktualisiert am 18.10.2012 um 18:41:01 Uhr
Goto Top
Bei einem Windows Syslog Server ist ferner wichtig das du in der Windows Firewall eine Ausnahme für externe IP Netze für den Syslog Dienst aktivierst. Als Default lässt der immer nur lokale IPs zu. Also hier den "Bereich" zum Syslog Programm auf alle Rechner oder gesamtes Internet einstellen !

Syslog kann TCP oder UDP nutzen. In der Regel ist es UDP. Besser du siehst mit einem Sniffer wie dem Wireshark nach um sicher zu gehen oder gibst in der Inbound NAT Regel TCP und UDP an.
Die Inbound Regel sieht dann so aus:
Interface: WAN, External adress: Interface address, Protocol: TCP/UDP , Port 514 in from to, NAT IP: Lokale IP des Syslog Servers und dann...
Unbedingt unten den Haken bei "Auto-add a firewall rule to permit traffic through this NAT rule" setzen, damit diese Inbound Regel auch gleich eine Firewall Regel dazu erstellt !! Ansonsten werden deine 514er Pakete an der WAN Firewall geblockt. Das kannst du dann aber im Firewall Log sofort sehen !

Alles andere ist soweit korrekt. Als Alternative zum Kiwi kannst du auch den Microtik Syslog nehmen der etwas ausführlicher ist:
http://www.mikrotik.com/archive.php

Generell solltest du aber überdenken ob du mit Port Forwarding ein Loch in deine FW bohren willst. Warum machst du nicht einfach ein VPN auf zwischen beiden Monowalls und schickst die Syslogs problemlos übers VPN ??
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
mideastd
mideastd 06.02.2010 um 10:57:28 Uhr
Goto Top
@aqui
Vielen Dank für Deine Unterstützung.
Obwohl ich die Windows-FW sogar deaktiviert habe, klappt die Geschichte mit NAT und FW-Rule nicht. Aber vielleicht liegt es daran, dass ich hinter der m0n0wall eine Fritz!Box 7170 (ohne DHCP) als WLAN-AP und Router für den dort per Kabel angeschlossenen Syslog-Server-PC habe. Wenn ich mich an einem anderen Netzwerk anmelde, dass noch nie eine m0n0 gesehen hat, dann klappt es sehr gut. -Übrigens: der microtik Syslogd gefällt mir gut -.
Das mit IPSEC hat bei mir auch noch nicht funktioniert, aber vielleicht muss ich mir die Anleitung auch noch einmal (oder dreimal) genauer durchlesen.
Ich möchte zunächst als Test meine eigenen Syslog_daten über das Internet an meine eigene öffentliche IP senden. Ich versuche es einfach weiter. Irgendwann klappt es.

mideastd
aqui
aqui 08.02.2010, aktualisiert am 18.10.2012 um 18:41:04 Uhr
Goto Top
Das ist klar wenn die FB auch noch ein Netzwerk abtrennt macht die natürlich auch NAT sofern sie nicht als dummer Accesspoint rennt wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Wenn die FB NAT macht musst du logischerweise auch hier ein Port Frowarding einrichten vom WAN auf den LAN Port damit die Syslog Daten die NAT Firewall überwinden können.
Das ist vermutlich dein Problem, denn ein kurzer Testaufbau hier zeigt das das Logging problemlos ankommt auf dem Syslog Server mit einem simplen Port Forwarding !
mideastd
mideastd 09.02.2010 um 09:36:00 Uhr
Goto Top
Hallo aqui,
ich danke dir für deine Tipps. Ich habe die Fritz!Box jedoch als AP laufen, das Portforwarding ist noch aus vor-m0n0-Zeiten aktiv. Da lief alles bestens.
Da ich auf die schnelle nichts gefunden habe, wie ich hier Bilder einstellen kann, habe ich mal einen Link angefügt, in dem man die Einstellungen der m0n0wall für NAT und FW und der Fritz!Box für Internetzugang und Portforwarding sehen kann.

http://www.midea.de/m0n0/m0n0-bilder.htm

Vielleich siehst du da ja meinen Fehler.

mideastd
mideastd
mideastd 05.04.2011 um 19:31:55 Uhr
Goto Top
Das mit VPN für das externe Syslog scheint mir eine tolle Lösung zu sein.
Allerdings bekomme ich das nicht hin. Ich begreife einfach nicht, was ich bei den beiden m0n0walls eintragen muss.
Gibt es irgendwo eine Schritt-für-Schritt - Anleitung dafür ?
Vielleicht hat ja jemand einen guten Tipp.

mideastd
aqui
aqui 06.04.2011 um 16:38:12 Uhr
Goto Top
Das einzige was du eintragen musst ist die externe IP Adresse für den Syslog Server...mehr nicht !
Damit forwardet die Monowall / pfSense alle Logging Pakete auch an diesen Server.
Natürlich muss diese IP Adresse erreichbar sein, entweder direkt oder über das VPN. Ein Ping zeigt dir das an ob das so ist.
Für das banale Einstellen einer simplen IP Adresse muss man in der Regel kein Tutorial oder Anleitung haben, oder ?!
mideastd
mideastd 07.04.2011 um 00:17:12 Uhr
Goto Top
Hallo aqui,
ich denke mal mit dem Eintragen der externen IP Adresse für den Syslog Server meinst Du das Feld bei "Diagnostics -> Logs -> Settings".
Das klappt natürlich gut und ohne Anleitung. Nur muss ich eben immer darauf achten, dass auch meine derzeit aktuelle öffentliche IP in der entfernten monowall eingetragen ist. Da wo ich nicht weiß, was ich eintragen muss -sowohl bei der entfernten wie auch bei der lokalen monowall- sind die Bereiche VPN. IPsec oder PPTP, was kann ich nehmen und was muss ich dann in den Bereichen eintragen. Dafür hoffte ich irgendwo eine Anleitung zu finden. Denn ich gehe einmal davon aus, dass ich über diesen Weg das ewige Kontrollieren und Ändern der Einstellungen meiner öffentlichen IP sein lassen kann.

mideastd
aqui
aqui 07.04.2011 um 11:23:25 Uhr
Goto Top
Es ist nicht klar ersichtlich was du vorhast face-sad
Was meinst du genau mit "der entfernten monowall" ?? Willst du mehrere MonoWalls auf einen Syslog Server monitoren ??
Warum machst du dir es nicht einfach und baust von jeder Monowall die du loggen willst einen VPN zu deinem Syslog Server auf ?
Trägst in allen "entfernten monowalls" diese IP des Syslog Servers ein...fertich ist der Lack.
Wie gesagt: Es ist nicht klar was genau du erreichen willst mit dem Syslog, deshalb ist eine sinnvolle Antwort schwierig ?!
mideastd
mideastd 07.04.2011 um 12:11:41 Uhr
Goto Top
Hallo aqui,
entschuldige bitte, dass ich mich so unklar ausgedrückt habe. Ich muss wohl doch etwas genauer werden.
Ich beziehe mich auf Deinen Beitrag vom 01.02.2010, in dem Du vorschlägst, das Syslog üver VPN zu senden.
Ich möchte in der Tat mehrere MonoWalls auf einen Syslog Server monitoren. Diese meine ich mit "der entfernten monowall".
Mein Syslog Server liegt ebenfalls hinter einer MonoWall, diese meinte ich mit "lokaler monowall".

Warum machst du dir es nicht einfach und baust von jeder Monowall die du loggen willst einen VPN zu deinem Syslog Server auf ? <

Genau das habe ich vor. Ich weiß nur eben nicht, was ich bei den Menüs für VPN eintragen muss. Muss ich nur in der "lokalen monowall" im Bereich VPN Eintragungen machen oder auch bei den "entfernten monowalls" und wenn ja, welche.

Bisher habe ich bei den "entfernten monowalls" unter Syslog Settings meine lokale öffentliche IP eingetragen und bei meiner "lokalen monowall" eine Port-Weiterleitung auf meinen Syslog-Server eingerichtet. Damit funktioniert das externe Syslogging natürlich gut, aber eben ohne VPN.

Ich hoffe, ich habe mich nun klarer ausgedrückt und strapaziere Dich nicht über alle Maßen.

mideastd