mc-doubleyou
Goto Top

Syslog via VPN

Hallo zusammen,

danke der Hilfe von sk läuft meine ZyXEL nun eigentlich im Großen und Ganzen, allerdings schaffe ich es nicht trotz der einen oder anderen Anleitung meinen Syslog Server (Splunk) dazu zu motivieren die Logs von der Außenstelle abzuholen. Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.

Die versuchte Lösung:

eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.
Weiters sowohl CEF Sylog als auch VRPT Syslog probiert, falls eines der Protokolle nicht klappt.

Da die lokale ZyXEL (älteres Modell) schon fleißig protokolliert wird, schließe ich Fehler am Syslog Server eher aus.

Danke!

LG mcdy

Content-ID: 229076

Url: https://administrator.de/forum/syslog-via-vpn-229076.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

108012
108012 07.02.2014, aktualisiert am 10.02.2014 um 18:57:22 Uhr
Goto Top
Hallo,

danke der Hilfe von sk....
Und warum fragst Du den nicht einfach noch einmal?

...läuft meine ZyXEL
Welches Zyxel? Router, Firewall, Switch,.....

Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Der Gedanke geht schon in die richtige Richtung nur leider ist es
bei Syslogs eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.

Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.

Gruß
Dobby
mc-doubleyou
mc-doubleyou 07.02.2014 um 19:25:39 Uhr
Goto Top
Hallo Dobby

> danke der Hilfe von sk....
Und warum fragst Du den nicht einfach noch einmal?

Weil der Fall eigentlich schon abgeschlossen ist und für die bessere Übersicht

> ...läuft meine ZyXEL
Welches Zyxel? Router, Firewall, Switch,.....

Wie konnte ich das nur vergessen face-sad
Es handelt sich um ZyXEL ZyWALLs der USG Serie (20, 50, 100, 200)

> Dies soll via VPN passieren, der Tunnel ist ohnehin dauerhaft aufgebaut.
Der Gedanke geht schon in die richtige Richtung nur leider ist es
bei Syslogsy eben auch so das sie mitunter zu Stoßzeiten recht
hart auf die Leitung "drücken" können und der Durchsatz sich stark
herabsetzen lässt. Ich würde immer versuchen in jeder Filiale oder
jeder Geschäftsstelle die Syslogs lokal zu sammeln und zu sichern.

Und wenn schon zentral sichern dann muss aber auch sichergestellt
sein, dass wirklich alle Geräte die selbe Zeiteinstellung haben, sonst
muss man nachher schön die Zeiten umrechnen.

Da Echtzeit geloggt wird sollte sich der Traffic der Log Files hoffentlich in Grenzen halten.

Danke und LG mcdy
aqui
aqui 07.02.2014 aktualisiert um 19:35:33 Uhr
Goto Top
Syslog Messages werden niemals durch den Server "abgeholt". Das ist im Syslog Protokoll nicht vorgesehen. Wenn, dann senden die Clients Syslog Messages an den Server, niemals aber andersrum !
Hier machst du vermutlich einen Denkfehler. Wenn also der Client der die Syslog Messages an den Server sendet und den Server IP technisch erreichen kann was man per Traceroute und Ping testen kann, dann kommen auch dort die Syslog Messages an. Dabei ist es total unerheblich welche Infrastruktur benutzt wird VPN, LAN. DSL oder feuchter Bindfaden sofern diese TCP/IP spricht.
Wichtig ist freilich noch mit welchem "localx" Level die Message einlaufen um sie ggf. zu akzeptieren und loggen ?! Nicht das du ein lokales Problem am Logging Server hast mit dem Log Level. Am besten hilft da ein Sniffer wie der Wireshark oder sofern dein Splunk auf einem unixoiden OS läuft ganz einfach tcpdump ! Damit kannst du sehen ob dort am Server überhaupt UDP 514 Pakete vom Ziel eintreffen. tcpdump port 514 wäre das Kommando dazu.
Das die lokale Firewall am Server (sofern aktiviert) Syslog Traffic, UDP 514, von Fremnetzen zulassen muss sollte klar sein.
sk
sk 08.02.2014 um 01:22:42 Uhr
Goto Top
Hallo,

Zitat von @mc-doubleyou:

Die versuchte Lösung:
eine Policy einrichten welche den Traffic der ZyXEL durch den Tunnel lässt gepaart mit einer statischen Route.

Beides löschen!

Das Problem ist, dass die loggende Zywall am Remotestandort als Absender-IP ihre WAN-Adresse verwendet. Damit greift für diesen Traffic die IPSec-Policy (Phase2) nicht und der Traffic wird unverschlüsselt ins Internet gesendet und dort vom ersten korrekt konfigurierten Providerrouter ausgefiltert.

Es gibt dafür bei den Linux-basierten ZyWALLs zwei Lösungswege:
1) den Traffic per Policyroute zwangsweise in den Tunnel schieben (da Syslog UDP nutzt und vom Server keine Antwortpakete gesendet werden, genügt es, dies auf der sendenden Box zu konfigurieren)
oder
2) beiderseits die Phase2-Policy so erweitern, dass die WAN-IP der sendenden Zywall erfasst wird

Da dem Ausgangsposting zufolge die lokale Zywall beim Syslog-Server ein älteres Gerät ist (also noch auf ZyNOS basieren dürfte und damit nur policybased arbeiten kann), kommt hier leider nur die Variante 2 in Betracht! Dies setzt leider voraus, dass die protokollierende Zywall USG über eine feste WAN-IP verfügt.
Hier eine Anleitung, wie das zu konfigurieren ist (nicht verunsichern lassen - die Screenshots stammen noch von einer uralten Firmware): http://www.zyxel.ch/de/support/knowledgebase/detail/3130

Gruß
sk
mc-doubleyou
mc-doubleyou 10.02.2014 aktualisiert um 18:51:22 Uhr
Goto Top
Hallo aqui und sk,

wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?
Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.

Danke!

LG mcdy
sk
sk 10.02.2014 aktualisiert um 23:38:16 Uhr
Goto Top
Zitat von @mc-doubleyou:

wenn ich die Anleitung richtig verstehe verbrauche ich so aber einen der verfügbaren IPSec Verbindungen, oder?

Ja, wenn ein altes ZyNOS-Gerät im Spiel ist, benötigst Du einen zusätzlichen VPN-Tunnel.


Die interne ZyXEL soll auch noch auf eine USG 200 getauscht werden, darum würde mich auch interessieren wie das mit der
Policyroute funktionieren soll, zwar weiß ich was ich will,habe aber leider keine Ahnung wie ich es technisch umsetze.

Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel

In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!

Gruß
sk
mc-doubleyou
mc-doubleyou 11.02.2014 um 17:43:42 Uhr
Goto Top
Hallo sk

ich habe zwar nun denke ich den Tunnel erfolgreich aufgebaut es kommt aber trotzdem nichts bei meinem Syslog Server (Splunk) an.
Ebenso findet Wireshark überhaupt keinen Traffic auf UDP 514, was mich doch sehr wundert.
Müsste ich den Syslog Traffic mit der IP 10.20.40.254 oder der externen IP Adresse sehen? Das ZyNOS Gerät erscheint natürlich als 10.20.20.254.

Alternativ würde ich auch einen anderen Syslog Server verwenden, er sollte jedoch Freeware sein und bevorzugt ein Webinterface bieten.

Danke!

LG mcdy
sk
sk 11.02.2014 um 19:18:20 Uhr
Goto Top
Bitte die VPN-Settings von beiden Seiten posten!
frankramos
frankramos 15.02.2014 aktualisiert um 14:25:00 Uhr
Goto Top
Zitat von @sk:
Einfach eine Policyroute erstellen:
Incoming Interface = Zywall
Source-Adresse = die WAN-IP
Ziel-IP = Remotenetz
Next Hop: der bereits zwischen den Gateways bestehenden VPN-Tunnel

In der Phase2-Policy muss auf beiden Seiten das Policy-Enforcement DEaktiviert sein!

Gruß
sk

Genauso habe ich es auch seit langem laufen, ohne Probleme. Manchmal wuenschte ich mir das alle Zywalls mit vordefinierten Regeln und VPN Tunneln ausgeliefert werden face-smile Vielleicht koennte man sich da Zeit sparen.
Habe allerdings bei Ziel IP nur die IP des Syslog-Servers eingetragen und als Dienst nur Syslog zugelassen. Ist eher kosmetischer Natur denke ich. Hoffe dass das richtig ist, velleicht kann ..sk.. hierzu noch was schreiben?
mc-doubleyou
mc-doubleyou 20.02.2014 um 19:05:48 Uhr
Goto Top
Hallo zusammen,

nun läuft in der Zentrale und in einer Außenstelle eine USG und plötzlich funktioniert Syslog wie gewünscht (naja fast, komm gleich darauf zu sprechen).
Allerdings musste ich ein paar meiner schlechten Policy Routen löschen (viele Köche verderben den Brei) hab dann aber nichteinmal eine gesetzt für Syslog und es scheint zu laufen.

Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie verbessern?

Danke!

LG mcdy
sk
sk 20.02.2014 aktualisiert um 22:06:01 Uhr
Goto Top
Zitat von @mc-doubleyou:

Allerdings wird es mit der externen IP protokolliert, was irgendwie ein Schönheitsfehler ist, kann man das irgendwie
verbessern?

Ich schrieb ja, dass dies so sein würde. Wenns sehr stôrt, kannst Du versuchen, es per Policyroute zu natten. Wenns auf der sendenden Zywall nicht funktionieren sollte, dann geht dies auf jeden Fall auf der gequerten Zywall am Standort des Syslog-Servers.

Gruß
sk