Wechseln zu:Navigation, Suche
Wiki

WireGuard Logging

Aus Securepoint Wiki



























































De.png
En.png
Fr.png









WireGuard Tunnelaufbau mithilfe von Paketfilterregeln loggen

Neuer Artikel: 02.2025

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Aufruf: VPN WireGuard

Einleitung

Das WireGuard Protokoll an sich bietet leider keine Möglichkeit für Logs. Auf der UTM ist es dennoch möglich nachzuvollziehen welche IP-Adressen sich per WireGuard verbunden haben bzw. dies versucht haben. Dies lässt sich mithilfe einer Paketfilterregel realisieren. Es werden die Impliziten Regeln für WireGuard deaktiviert und stattdessen eine Paketfilterregel erstellt, welche anschließend geloggt werden kann.
Außerdem kann mithilfe des WireGuard-Widgets mithilfe der Spalte "Letzter Handshake" überwacht werden, wann sich Clients zuletzt erfolgreich angemeldet haben. Diese Spalte ist jedoch nur sichtbar, wenn das Widget mindestens 2 Spalten breit ist.

Implizite Regeln mit Paketfilterregel ersetzen

Implizite Regeln deaktivieren

WireGuard UTMbenutzer@firewall.name.fqdnVPN Restart UTM v14.0.1 WireGuard Logging Implizite Regeln deaktivieren.pngWireGuard Implizite Regeln deaktivieren

Die WireGuard Impliziten Regeln können unter VPN WireGuard ganz unten mithilfe der Schaltfläche Status der impliziten Regel: deaktiviert werden.


Paketfilterregel erstellen

Anschließend wird unter Firewall Paketfilter  Schaltfläche Regel hinzufügen eine neue Regel angelegt, welche nicht nur die VPN-Verbindung an sich ermöglicht, sondern auch die Verbindungen im Log festhält.
Beschriftung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v14.0.1 WireGuard Logging Paketfilterregel.pngPaketfilterregel erstellen

Dienst hinzufügen UTMbenutzer@firewall.name.fqdnFirewallDienste UTM v14.0.1 WireGuard Logging Dienst erstellen.pngNeuen Dienste erstellen
Quelle: World.svg internet Als Quelle internet wählen
Ziel: Interface.svg external-interface Als Ziel external-interface wählen
Dienst: Dienst hinzufügen Es muss ein neuer Dienst erstellt werden, der die den Listening-Port der WireGuard Verbindung (i.d.R. 51820) mit UDP freigibt.
Name:
WireGuard		 Name des neuen Diensts
Protokoll:
udp		 UDP als Protokoll auswählen
Protokolltyp:
 Muss leer gelassen werden
Zielport Typ:
Einzelner PortPort-Bereich 		Einzelner Port auswählen
Zielport:
51820Link=		 Der Listening-Port der WireGuard Verbindung

Kann von 51820 abweichen!

Quellport Typ:
AlleEinzelner Port Port-Bereich
Dienst anlegen und Dialog schließen
Udp.svg WireGuard Den neuen Dienst auswählen
LOG
Logging: LONG - Alles protokollieren Alles protokollieren lassen
Log Alias: WG-Log Log Alias festlegen, um Log Einträge besser identifizieren zu können

Log auslesen

UTM v14.0.1 WireGuard Logging Beispiel.png
Paketfilter Log Nun lässt sich mithilfe der Schaltfläche Paketfilter Log
das Log öffnen. Hier wird angezeigt, von welchen IP-Adressen aus ein Verbindungsversuch stattgefunden hat.


Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/WireGuard-Logging&oldid=94570