Syslog via VPN
Hallo zusammen,
danke der Hilfe von sk läuft meine ZyXEL nun eigentlich im Großen und Ganzen, allerdings schaffe ich es nicht trotz der einen oder anderen Anleitung meinen Syslog Server (Splunk) dazu zu motivieren die Logs von der Außenstelle abzuholen. Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Weiters sowohl CEF Sylog als auch VRPT Syslog probiert, falls eines der Protokolle nicht klappt.
Da die lokale ZyXEL (älteres Modell) schon fleißig protokolliert wird, schließe ich Fehler am Syslog Server eher aus.
Danke!
LG mcdy
danke der Hilfe von sk läuft meine ZyXEL nun eigentlich im Großen und Ganzen, allerdings schaffe ich es nicht trotz der einen oder anderen Anleitung meinen Syslog Server (Splunk) dazu zu motivieren die Logs von der Außenstelle abzuholen. Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Weiters sowohl CEF Sylog als auch VRPT Syslog probiert, falls eines der Protokolle nicht klappt.
Da die lokale ZyXEL (älteres Modell) schon fleißig protokolliert wird, schließe ich Fehler am Syslog Server eher aus.
Danke!
LG mcdy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 229076
Url: https://administrator.de/forum/syslog-via-vpn-229076.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
bei Syslogs eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.
Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.
Gruß
Dobby
danke der Hilfe von sk....
Und warum fragst Du den nicht einfach noch einmal?...läuft meine ZyXEL
Welches Zyxel? Router, Firewall, Switch,.....Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Der Gedanke geht schon in die richtige Richtung nur leider ist esbei Syslogs eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.
Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.
Gruß
Dobby
Syslog Messages werden niemals durch den Server "abgeholt". Das ist im Syslog Protokoll nicht vorgesehen. Wenn, dann senden die Clients Syslog Messages an den Server, niemals aber andersrum !
Hier machst du vermutlich einen Denkfehler. Wenn also der Client der die Syslog Messages an den Server sendet und den Server IP technisch erreichen kann was man per Traceroute und Ping testen kann, dann kommen auch dort die Syslog Messages an. Dabei ist es total unerheblich welche Infrastruktur benutzt wird VPN, LAN. DSL oder feuchter Bindfaden sofern diese TCP/IP spricht.
Wichtig ist freilich noch mit welchem "localx" Level die Message einlaufen um sie ggf. zu akzeptieren und loggen ?! Nicht das du ein lokales Problem am Logging Server hast mit dem Log Level. Am besten hilft da ein Sniffer wie der Wireshark oder sofern dein Splunk auf einem unixoiden OS läuft ganz einfach tcpdump ! Damit kannst du sehen ob dort am Server überhaupt UDP 514 Pakete vom Ziel eintreffen. tcpdump port 514 wäre das Kommando dazu.
Das die lokale Firewall am Server (sofern aktiviert) Syslog Traffic, UDP 514, von Fremnetzen zulassen muss sollte klar sein.
Hier machst du vermutlich einen Denkfehler. Wenn also der Client der die Syslog Messages an den Server sendet und den Server IP technisch erreichen kann was man per Traceroute und Ping testen kann, dann kommen auch dort die Syslog Messages an. Dabei ist es total unerheblich welche Infrastruktur benutzt wird VPN, LAN. DSL oder feuchter Bindfaden sofern diese TCP/IP spricht.
Wichtig ist freilich noch mit welchem "localx" Level die Message einlaufen um sie ggf. zu akzeptieren und loggen ?! Nicht das du ein lokales Problem am Logging Server hast mit dem Log Level. Am besten hilft da ein Sniffer wie der Wireshark oder sofern dein Splunk auf einem unixoiden OS läuft ganz einfach tcpdump ! Damit kannst du sehen ob dort am Server überhaupt UDP 514 Pakete vom Ziel eintreffen. tcpdump port 514 wäre das Kommando dazu.
Das die lokale Firewall am Server (sofern aktiviert) Syslog Traffic, UDP 514, von Fremnetzen zulassen muss sollte klar sein.
Hallo,
Beides löschen!
Das Problem ist, dass die loggende Zywall am Remotestandort als Absender-IP ihre WAN-Adresse verwendet. Damit greift für diesen Traffic die IPSec-Policy (Phase2) nicht und der Traffic wird unverschlüsselt ins Internet gesendet und dort vom ersten korrekt konfigurierten Providerrouter ausgefiltert.
Es gibt dafür bei den Linux-basierten ZyWALLs zwei Lösungswege:
1) den Traffic per Policyroute zwangsweise in den Tunnel schieben (da Syslog UDP nutzt und vom Server keine Antwortpakete gesendet werden, genügt es, dies auf der sendenden Box zu konfigurieren)
oder
2) beiderseits die Phase2-Policy so erweitern, dass die WAN-IP der sendenden Zywall erfasst wird
Da dem Ausgangsposting zufolge die lokale Zywall beim Syslog-Server ein älteres Gerät ist (also noch auf ZyNOS basieren dürfte und damit nur policybased arbeiten kann), kommt hier leider nur die Variante 2 in Betracht! Dies setzt leider voraus, dass die protokollierende Zywall USG über eine feste WAN-IP verfügt.
Hier eine Anleitung, wie das zu konfigurieren ist (nicht verunsichern lassen - die Screenshots stammen noch von einer uralten Firmware): http://www.zyxel.ch/de/support/knowledgebase/detail/3130
Gruß
sk
Zitat von @mc-doubleyou:
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Beides löschen!
Das Problem ist, dass die loggende Zywall am Remotestandort als Absender-IP ihre WAN-Adresse verwendet. Damit greift für diesen Traffic die IPSec-Policy (Phase2) nicht und der Traffic wird unverschlüsselt ins Internet gesendet und dort vom ersten korrekt konfigurierten Providerrouter ausgefiltert.
Es gibt dafür bei den Linux-basierten ZyWALLs zwei Lösungswege:
1) den Traffic per Policyroute zwangsweise in den Tunnel schieben (da Syslog UDP nutzt und vom Server keine Antwortpakete gesendet werden, genügt es, dies auf der sendenden Box zu konfigurieren)
oder
2) beiderseits die Phase2-Policy so erweitern, dass die WAN-IP der sendenden Zywall erfasst wird
Da dem Ausgangsposting zufolge die lokale Zywall beim Syslog-Server ein älteres Gerät ist (also noch auf ZyNOS basieren dürfte und damit nur policybased arbeiten kann), kommt hier leider nur die Variante 2 in Betracht! Dies setzt leider voraus, dass die protokollierende Zywall USG über eine feste WAN-IP verfügt.
Hier eine Anleitung, wie das zu konfigurieren ist (nicht verunsichern lassen - die Screenshots stammen noch von einer uralten Firmware): http://www.zyxel.ch/de/support/knowledgebase/detail/3130
Gruß
sk
Zitat von @mc-doubleyou:
wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
Ja, wenn ein altes ZyNOS-Gerät im Spiel ist, benötigst Du einen zusätzlichen VPN-Tunnel.
Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der
Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.
Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel
In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!
Gruß
sk
Zitat von @sk:
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel
In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!
Gruß
sk
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel
In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!
Gruß
sk
Genauso habe ich es auch seit langem laufen, ohne Probleme. Manchmal wuenschte ich mir das alle Zywalls mit vordefinierten Regeln und VPN Tunneln ausgeliefert werden Vielleicht koennte man sich da Zeit sparen.
Habe allerdings bei Ziel IP nur die IP des Syslog-Servers eingetragen und als Dienst nur Syslog zugelassen. Ist eher kosmetischer Natur denke ich. Hoffe dass das richtig ist, velleicht kann ..sk.. hierzu noch was schreiben?
Zitat von @mc-doubleyou:
Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie
verbessern?
Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie
verbessern?
Ich schrieb ja, dass dies so sein würde. Wenns sehr stôrt, kannst Du versuchen, es per Policyroute zu natten. Wenns auf der sendenden Zywall nicht funktionieren sollte, dann geht dies auf jeden Fall auf der gequerten Zywall am Standort des Syslog-Servers.
Gruß
sk