Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | WireGuard Logging | }} {{var | head | WireGuard Tunnelaufbau mithilfe von Paketfilterregeln loggen | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Das WireGuard Protokoll an sich bietet leider keine Möglichkeit für Logs. Auf der UTM ist es dennoch möglich nachzuvollziehen welche IP-Adressen sich per WireGuard verbunden haben bzw. dies versucht habe…“ |
KKeine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| WireGuard Logging | | WireGuard Logging | ||
| | | WireGuard Logging }} | ||
{{var | head | {{var | head | ||
| WireGuard Tunnelaufbau mithilfe von Paketfilterregeln loggen | | WireGuard Tunnelaufbau mithilfe von Paketfilterregeln loggen | ||
| | | Logging WireGuard tunnel setup using packet filter rules }} | ||
{{var | Einleitung | {{var | Einleitung | ||
| Einleitung | | Einleitung | ||
| | | Introduction }} | ||
{{var | Einleitung--desc | {{var | Einleitung--desc | ||
| Das WireGuard Protokoll an sich bietet leider keine Möglichkeit für Logs. Auf der UTM ist es dennoch möglich nachzuvollziehen welche IP-Adressen sich per WireGuard verbunden haben bzw. dies versucht haben. Dies lässt sich mithilfe einer Paketfilterregel realisieren. Es werden die Impliziten Regeln für WireGuard deaktiviert und stattdessen eine Paketfilterregel erstellt, welche anschließend geloggt werden kann.<br> | | Das WireGuard Protokoll an sich bietet leider keine Möglichkeit für Logs. Auf der UTM ist es dennoch möglich nachzuvollziehen welche IP-Adressen sich per WireGuard verbunden haben bzw. dies versucht haben. Dies lässt sich mithilfe einer Paketfilterregel realisieren. Es werden die Impliziten Regeln für WireGuard deaktiviert und stattdessen eine Paketfilterregel erstellt, welche anschließend geloggt werden kann.<br> | ||
Außerdem kann mithilfe des [[UTM/Widgets#WireGuard|WireGuard-Widgets]] mithilfe der Spalte "Letzter Handshake" überwacht werden, wann sich Clients zuletzt erfolgreich angemeldet haben. {{Alert|gr}}Diese Spalte ist jedoch nur sichtbar, wenn das Widget mindestens 2 Spalten breit ist. | Außerdem kann mithilfe des [[UTM/Widgets#WireGuard|WireGuard-Widgets]] mithilfe der Spalte "Letzter Handshake" überwacht werden, wann sich Clients zuletzt erfolgreich angemeldet haben. {{Alert|gr}}Diese Spalte ist jedoch nur sichtbar, wenn das Widget mindestens 2 Spalten breit ist. | ||
| | | Unfortunately, the WireGuard protocol itself does not offer any logging options. However, it is still possible to track which IP addresses have connected or attempted to connect via WireGuard on the UTM. This can be achieved using a packet filter rule. The implicit rules for WireGuard are deactivated and a packet filter rule is created instead, which can then be logged.<br> | ||
In addition, the [{{#var:host}}UTM/Widgets#WireGuard WireGuard widget] can be used to monitor when clients last successfully logged in using the "Last Handshake" column. {{Alert|gr}}However, this column is only visible if the widget is at least 2 columns wide. }} | |||
{{var | Implizite Regeln mit Paketfilterregel ersetzen | {{var | Implizite Regeln mit Paketfilterregel ersetzen | ||
| Implizite Regeln mit Paketfilterregel ersetzen | | Implizite Regeln mit Paketfilterregel ersetzen | ||
| | | Replace implicit rules with packet filter rules }} | ||
{{var | Implizite Regeln deaktivieren | {{var | Implizite Regeln deaktivieren | ||
| Implizite Regeln deaktivieren | | Implizite Regeln deaktivieren | ||
| | | Disable implicit rules }} | ||
{{var | Implizite Regeln deaktivieren--Bild | {{var | Implizite Regeln deaktivieren--Bild | ||
| UTM v14.0.1 WireGuard Logging Implizite Regeln deaktivieren.png | | UTM v14.0.1 WireGuard Logging Implizite Regeln deaktivieren.png | ||
| Zeile 30: | Zeile 30: | ||
{{var | Implizite Regeln deaktivieren--cap | {{var | Implizite Regeln deaktivieren--cap | ||
| WireGuard Implizite Regeln deaktivieren | | WireGuard Implizite Regeln deaktivieren | ||
| | | WireGuard Disable implicit rules }} | ||
{{var | Implizite Regeln deaktivieren--desc | {{var | Implizite Regeln deaktivieren--desc | ||
| Die WireGuard Impliziten Regeln können unter {{Menu-UTM|VPN|WireGuard}} ganz unten mithilfe der Schaltfläche {{b|Status der impliziten Regel: {{Signal|up}} {{Button||class=icon2 fas fa-stop}} }} deaktiviert werden. {{info|Die Regeln sind deaktiviert wenn die Statusanzeige grau ({{Signal|down}}) ist.}} | | Die WireGuard Impliziten Regeln können unter {{Menu-UTM|VPN|WireGuard}} ganz unten mithilfe der Schaltfläche {{b|Status der impliziten Regel: {{Signal|up}} {{Button||class=icon2 fas fa-stop}} }} deaktiviert werden. {{info|Die Regeln sind deaktiviert wenn die Statusanzeige grau ({{Signal|down}}) ist.}} | ||
| }} | | The WireGuard Implicit Rules can be disabled at the bottom of {{Menu-UTM|VPN|WireGuard}} using the {{b|Implicit Rule Status: {{Signal|up}} {{Button||class=icon2 fas fa-stop}} }} button. {{info|The rules are disabled when the status indicator is gray ({{Signal|down}}).}} }} | ||
{{var | Paketfilterregel erstellen | {{var | Paketfilterregel erstellen | ||
| Paketfilterregel erstellen | | Paketfilterregel erstellen | ||
| | | Create packet filter rule }} | ||
{{var | Paketfilterregel erstellen--desc | {{var | Paketfilterregel erstellen--desc | ||
| Anschließend wird unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} eine neue Regel angelegt, welche nicht nur die VPN-Verbindung an sich ermöglicht, sondern auch die Verbindungen im Log festhält. | | Anschließend wird unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} eine neue Regel angelegt, welche nicht nur die VPN-Verbindung an sich ermöglicht, sondern auch die Verbindungen im Log festhält. | ||
| | | Then, under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}}, a new rule is created that not only enables the VPN connection itself, but also logs the connections. }} | ||
{{var | Paketfilterregel erstellen--Bild | {{var | Paketfilterregel erstellen--Bild | ||
| UTM v14.0.1 WireGuard Logging Paketfilterregel.png | | UTM v14.0.1 WireGuard Logging Paketfilterregel.png | ||
| Zeile 45: | Zeile 45: | ||
{{var | Paketfilterregel erstellen--cap | {{var | Paketfilterregel erstellen--cap | ||
| Paketfilterregel erstellen | | Paketfilterregel erstellen | ||
| | | Create packet filter rule }} | ||
{{var | Regel hinzufügen | {{var | Regel hinzufügen | ||
| Regel hinzufügen | | Regel hinzufügen | ||
| | | Add rule }} | ||
{{var | Paketfilter | {{var | Paketfilter | ||
| Paketfilter | | Paketfilter | ||
| | | Packet filter }} | ||
{{var | Quelle | {{var | Quelle | ||
| Quelle | | Quelle | ||
| | | Source }} | ||
{{var | Paketfilter-Quelle--desc | {{var | Paketfilter-Quelle--desc | ||
| Als Quelle ''internet'' wählen | | Als Quelle ''internet'' wählen | ||
| | | Select ''Internet'' as the source }} | ||
{{var | Ziel | {{var | Ziel | ||
| Ziel | | Ziel | ||
| | | Destination }} | ||
{{var | Paketfilter-Ziel--desc | {{var | Paketfilter-Ziel--desc | ||
| Als Ziel ''external-interface'' wählen | | Als Ziel ''external-interface'' wählen | ||
| | | Select ''external-interface'' as the destination }} | ||
{{var | Dienst | {{var | Dienst | ||
| Dienst | | Dienst | ||
| | | Service }} | ||
{{var | Paketfilter-Dienst--desc1 | {{var | Paketfilter-Dienst--desc1 | ||
| Es muss ein neuer Dienst erstellt werden, der die den Listening-Port der WireGuard Verbindung (i.d.R. 51820) mit UDP freigibt. | | Es muss ein neuer Dienst erstellt werden, der die den Listening-Port der WireGuard Verbindung (i.d.R. 51820) mit UDP freigibt. | ||
| | | A new service must be created that opens the listening port of the WireGuard connection (usually 51820) with UDP. }} | ||
{{var | Diensterstellung einblenden | {{var | Diensterstellung einblenden | ||
| Diensterstellung einblenden | | Diensterstellung einblenden | ||
| | | Show service creation }} | ||
{{var | Paketfilter-Dienst--Bild | {{var | Paketfilter-Dienst--Bild | ||
| UTM v14.0.1 WireGuard Logging Dienst erstellen.png | | UTM v14.0.1 WireGuard Logging Dienst erstellen.png | ||
| Zeile 78: | Zeile 78: | ||
{{var | Paketfilter-Dienst--cap | {{var | Paketfilter-Dienst--cap | ||
| Neuen Dienste erstellen | | Neuen Dienste erstellen | ||
| | | Create new service }} | ||
{{var | Dienst hinzufügen | {{var | Dienst hinzufügen | ||
| Dienst hinzufügen | | Dienst hinzufügen | ||
| | | Add service }} | ||
{{var | Dienste | {{var | Dienste | ||
| Dienste | | Dienste | ||
| | | Services }} | ||
{{var | Name--desc | {{var | Name--desc | ||
| Name des neuen Diensts | | Name des neuen Diensts | ||
| | | Name of the new service }} | ||
{{var | Protokoll | {{var | Protokoll | ||
| Protokoll | | Protokoll | ||
| | | Protocol }} | ||
{{var | Protokoll--desc | {{var | Protokoll--desc | ||
| ''UDP'' als Protokoll auswählen | | ''UDP'' als Protokoll auswählen | ||
| | | Select ''UDP'' as protocol }} | ||
{{var | Protokolltyp | {{var | Protokolltyp | ||
| Protokolltyp | | Protokolltyp | ||
| | | Protocol type }} | ||
{{var | Protokolltyp--desc | {{var | Protokolltyp--desc | ||
| Muss leer gelassen werden | | Muss leer gelassen werden | ||
| | | Must be left blank }} | ||
{{var | Zielport Typ | {{var | Zielport Typ | ||
| Zielport Typ | | Zielport Typ | ||
| | | Destination port type }} | ||
{{var | Einzelner Port | {{var | Einzelner Port | ||
| Einzelner Port | | Einzelner Port | ||
| | | Single port }} | ||
{{var | Port-Bereich | {{var | Port-Bereich | ||
| Port-Bereich | | Port-Bereich | ||
| | | Port Section }} | ||
{{var | Zielport Typ--desc | {{var | Zielport Typ--desc | ||
| ''Einzelner Port'' auswählen | | ''Einzelner Port'' auswählen | ||
| | | Select ''single port'' }} | ||
{{var | Zielport | {{var | Zielport | ||
| Zielport | | Zielport | ||
| | | Destination port }} | ||
{{var | Zielport--desc | {{var | Zielport--desc | ||
| Der Listening-Port der WireGuard Verbindung<br> | | Der Listening-Port der WireGuard Verbindung<br> | ||
{{Alert|g}}Kann von ''51820'' abweichen! | {{Alert|g}}Kann von ''51820'' abweichen! | ||
| | | The listening port of the WireGuard connection<br> | ||
{{Alert|g}}May differ from ''51820''! }} | |||
{{var | Quellport Typ | {{var | Quellport Typ | ||
| Quellport Typ | | Quellport Typ | ||
| | | Source port type }} | ||
{{var | Alle | {{var | Alle | ||
| Alle | | Alle | ||
| | | All }} | ||
{{var | Quellport Typ--desc | {{var | Quellport Typ--desc | ||
| ''Alle'' Quellports freigeben | | ''Alle'' Quellports freigeben | ||
| | | Release ''All'' source ports }} | ||
{{var | Paketfilter-Dienst--desc2 | {{var | Paketfilter-Dienst--desc2 | ||
| Den neuen Dienst auswählen | | Den neuen Dienst auswählen | ||
| | | Select the new service }} | ||
{{var | Aktion | {{var | Aktion | ||
| Aktion | | Aktion | ||
| | | Action }} | ||
{{var | Paketfilter-Aktion--desc | {{var | Paketfilter-Aktion--desc | ||
| Als Aktion ''ACCEPT'' auswählen, damit die Verbindung hergestellt werden kann. | | Als Aktion ''ACCEPT'' auswählen, damit die Verbindung hergestellt werden kann. | ||
| | | Select ''ACCEPT'' so that the connection can be established. }} | ||
{{var | Paketfilter-Logging--val | {{var | Paketfilter-Logging--val | ||
| LONG - Alles protokollieren | | LONG - Alles protokollieren | ||
| | | LONG - log everything }} | ||
{{var | Paketfilter-Logging--desc | {{var | Paketfilter-Logging--desc | ||
| Alles protokollieren lassen | | Alles protokollieren lassen | ||
| | | Have everything logged }} | ||
{{var | Paketfilter-Log Alias--desc | {{var | Paketfilter-Log Alias--desc | ||
| Log Alias festlegen, um Log Einträge besser identifizieren zu können | | Log Alias festlegen, um Log Einträge besser identifizieren zu können | ||
| | | Set log alias to better identify log entries }} | ||
{{var | Log auslesen | {{var | Log auslesen | ||
| Log auslesen | | Log auslesen | ||
| | | Read log }} | ||
{{var | Log auslesen--desc | {{var | Log auslesen--desc | ||
| Nun lässt sich mithilfe der Schaltfläche {{Button||class=icon2 fas fa-chart-bar}} {{Hover-class|Paketfilter Log}} {{info|unter {{Menu-UTM|Firewall|Paketfilter}} bei der neu erstellten Paketfilterregel}} das Log öffnen. Hier wird angezeigt, | | Nun lässt sich mithilfe der Schaltfläche {{Button||class=icon2 fas fa-chart-bar}} {{Hover-class|Paketfilter Log}} {{info|unter {{Menu-UTM|Firewall|Paketfilter}} bei der neu erstellten Paketfilterregel}} das Log öffnen. Hier wird angezeigt, von welchen IP-Adressen aus ein Verbindungsversuch stattgefunden hat. | ||
| | | Now you can open the log using the {{Button||class=icon2 fas fa-chart-bar}} {{Hover-class|Package filter log}} {{info|under {{Menu-UTM|Firewall|Package filter}} in the newly created package filter rule}} button. This shows the IP addresses from which a connection attempt was made. }} | ||
{{var | Log auslesen--Bild | {{var | Log auslesen--Bild | ||
| UTM v14.0.1 WireGuard Logging Beispiel | | UTM v14.0.1 WireGuard Logging Beispiel.png | ||
| UTM v14.0.1 WireGuard Logging Beispiel | | UTM v14.0.1 WireGuard Logging Beispiel-en.png }} | ||
{{var | Log auslesen--cap | {{var | Log auslesen--cap | ||
| Paketfilter Log | | Paketfilter Log | ||
| | | Packet filter log }} | ||
{{var | Dienst anlegen und Dialog schließen | {{var | Dienst anlegen und Dialog schließen | ||
| Dienst anlegen und Dialog schließen | | Dienst anlegen und Dialog schließen | ||
| | | Create service and close dialog }} | ||
---- | ---- | ||
UTM/VPN/WireGuard-Logging.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki