Wechseln zu:Navigation, Suche
Wiki

WireGuard Logging

Aus Securepoint Wiki




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden






































WireGuard Tunnelaufbau mithilfe von Paketfilterregeln loggen

Neuer Artikel: 02.2025

notempty
Dieser Artikel bezieht sich auf eine Beta-Version
-
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 VPN WireGuard

Einleitung

Das WireGuard Protokoll an sich bietet leider keine Möglichkeit für Logs. Auf der UTM ist es dennoch möglich nachzuvollziehen welche IP-Adressen sich per WireGuard verbunden haben bzw. dies versucht haben. Dies lässt sich mithilfe einer Paketfilterregel realisieren. Es werden die Impliziten Regeln für WireGuard deaktiviert und stattdessen eine Paketfilterregel erstellt, welche anschließend geloggt werden kann.
Außerdem kann mithilfe des WireGuard-Widgets mithilfe der Spalte "Letzter Handshake" überwacht werden, wann sich Clients zuletzt erfolgreich angemeldet haben. Diese Spalte ist jedoch nur sichtbar, wenn das Widget mindestens 2 Spalten breit ist.

Implizite Regeln mit Paketfilterregel ersetzen

Implizite Regeln deaktivieren

WireGuard UTMbenutzer@firewall.name.fqdnVPN Restart WireGuard Implizite Regeln deaktivieren

Die WireGuard Impliziten Regeln können unter VPN WireGuard ganz unten mithilfe der Schaltfläche Status der impliziten Regel: deaktiviert werden.
Die Regeln sind deaktiviert wenn die Statusanzeige grau () ist.


Paketfilterregel erstellen

Anschließend wird unter Firewall Paketfilter  Schaltfläche Regel hinzufügen eine neue Regel angelegt, welche nicht nur die VPN-Verbindung an sich ermöglicht, sondern auch die Verbindungen im Log festhält.
Beschriftung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilterregel erstellen

Dienst hinzufügen UTMbenutzer@firewall.name.fqdnFirewallDienste Neuen Dienste erstellen
Quelle: internet Als Quelle internet wählen
Ziel: external-interface Als Ziel external-interface wählen
Dienst: Dienst hinzufügen Es muss ein neuer Dienst erstellt werden, der die den Listening-Port der WireGuard Verbindung (i.d.R. 51820) mit UDP freigibt.
Name:
WireGuard		 Name des neuen Diensts
Protokoll:
udp		 UDP als Protokoll auswählen
Protokolltyp:
 Muss leer gelassen werden
Zielport Typ:
Einzelner PortPort-Bereich 		Einzelner Port auswählen
Zielport:
51820		 Der Listening-Port der WireGuard Verbindung

Kann von 51820 abweichen!

Quellport Typ:
AlleEinzelner Port Port-Bereich
Dienst anlegen und Dialog schließen
WireGuard Den neuen Dienst auswählen
LOG
Logging: LONG - Alles protokollieren Alles protokollieren lassen
Log Alias: WG-Log Log Alias festlegen, um Log Einträge besser identifizieren zu können

Log auslesen

Paketfilter Log Nun lässt sich mithilfe der Schaltfläche Paketfilter Log
unter Firewall Paketfilter bei der neu erstellten Paketfilterregel
das Log öffnen. Hier wird angezeigt, von welchen IP-Adressen aus ein Verbindungsversuch stattgefunden hat.


Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/WireGuard-Logging&oldid=94570