Beiträge von grandor

Danke bigdani2k Jetzt kommen ne Menge Daten

Ein Fehler war noch Protokoll - UDP statt TCP

Ich sehe auch viele logs der AP's - allerdings als "decoder.name" - "symantec-av"

{
  "_index": "wazuh-archives-4.x-2024.11.22",
  "_id": "UKbRU5MBlusTOxI81L8h",
  "_version": 1,
  "_score": null,
  "_source": {
    "predecoder": {
      "hostname": "APLOG",
      "timestamp": "Nov 22 13:21:16"
    },
    "agent": {
      "name": "lplog01",
      "id": "000"
    },
    "manager": {
      "name": "lplog01"
    },
    "decoder": {
      "name": "symantec-av"
    },
    "full_log": "Nov 22 13:21:16 APLOG 602232451058,U6-Lite-6.6.78+15404: kernel: [66341.027531] ra0: total mc2uc sta_cnt[1] pending[0] unknown_free[0] accu[0] !",
    "input": {
      "type": "log"
    },
    "@timestamp": "2024-11-22T12:21:16.654Z",
    "location": "192.168.10.4",
    "id": "1732278076.894384",
    "timestamp": "2024-11-22T13:21:16.654+0100"
  },
  "fields": {
    "@timestamp": [
      "2024-11-22T12:21:16.654Z"
    ],
    "timestamp": [
      "2024-11-22T12:21:16.654Z"
    ]
  },
  "highlight": {
    "decoder.name": [
      "@opensearch-dashboards-highlighted-field@symantec-av@/opensearch-dashboards-highlighted-field@"
    ],
    "predecoder.hostname": [
      "@opensearch-dashboards-highlighted-field@APLOG@/opensearch-dashboards-highlighted-field@"
    ]
  },
  "sort": [
    1732278076654
  ]
}

Hi,

ich habe im Proxmox eine Ubuntu VM und wazuh installiert nach deren Anleitung.

UDM habe ich ich SIEM aktiviert - IP der VM. - Siehe Bild

Irgendwie kommt nichts an - irgendwas passt da noch net.

Wäre Super wenn mal drüber schaust - Danke...

Hier mal meine config files vom wazuh:

/var/ossec/etc/ossec.conf

<ossec_config>
  <remote>
    <connection>syslog</connection>
    <port>514</port>
    <protocol>udp</protocol>
    <allowed-ips>IP-UdmPro</allowed-ips>
  </remote>

Rules /var/ossec/etc/rules/unifi.xml

<group name="Unifi">
  <rule id="100001" level="10">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <category>firewall</category>
    <description>Firewall rule block triggered</description>
  </rule>
  <rule id="100002" level="12">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <match>security_detections</match>
    <description>Security Detection by IPS/IDS</description>
  </rule>
  <rule id="100003" level="1">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <match>admin_activity</match>
    <description>Admin Activity on Unifi</description>
  </rule>
  <rule id="100002" level="1">
    <decoded_as>unifi-udm-pro-cef</decoded_as>
    <match>client</match>
    <description>Client connect/disconnect</description>
  </rule>
</group>

Decoder /var/ossec/etc/decoder/unifi.xml

<!-- unifi-CEF -->
<decoder name="unifi-udm-pro-cef">
    <program_name>CEF</program_name>
</decoder>

Servus,

wollte mir auch mal ein Syslog System aufsetzen, um zu schauen was so abgeht im Netzwerk.

Elastic Cloud kommt da net infrage - kostet und ich will nicht in die Cloud senden.

Würde das ganze schon gern lokal in einer VM laufen lassen mit Kabana etc...

Bigdog71

Was hast du alles installiert

Was hast du eingestellt in der Unifi OS Console

Wie sehen die Ergebnisse aus, bzw. kannst du mit den Daten inzwischen was anfangen?

Danke....

Servus,

deine nilskoeb Probleme passen zu meinen.... hmmm

Die Unifi Umgebung läuft seit 2 Jahren und seit 3-4 Monaten gibt es Probleme.

Geräte sind im WLAN, aber sie kommen nicht raus bzw. Apps laufen nicht.

Wie in meinem Beitrag geschrieben verbinden sich die Geräte gerne mit AP's in anderen Stockwerken statt den zu nehmen der nur 2m weg ist.

Bin mit meinem "Latein" am Ende und spiele ständig mit den Settings ohne Besserung.

Probleme tauchen immer erst auf wenn "viel" los ist. Also das Geschäft lauft.

Wenn ich am Ruhetag mal Vorort bin und teste für Logs etc. läuft alles Perfekt.

Gästenetz ist beschränkt auf 30/8 Mbit von max. 250/50.

Was mir auch auffällt sind über 600 Geräte in der Offline Liste.

Wie kann man denn die alle mal löschen - finde nur den Weg sie einzeln zu löschen - nicht wirklich oder .....

Servus,

hab jetzt mal alle Settings angepasst wie GMN2503 geschrieben hat.

Leider spinnen einige Geräte immer noch rum.

Es gibt Geräte die sind nur 2m vom U6-LR entfernt und verbinden sich lieber mit AP der ein Stockwerk weiter oben ist.

Der U6-LR hat 10 Geräte verbunden - denke das kann nicht sein max. sein.

Verstehe das nicht...

Werde den U6-LR mal tauschen gegen ein U7-Pro - hoffe dann geht es besser.

Hi Renek83 ,

in meiner "großen" USV habe ich eine RMCard mit Ethernet.

Mein Zabbix überwacht darüber alles und informiert mich.

An sich können die kleinen auch Mails versenden oder man hat andere Iot Devices z.B. "Shelly" die bei Stromausfall Alarme versenden.

Bye....

Danke GMN2503 - werde es mal testen...

Noch jemand eine Idee oder Tipps zu den Einstellungen ?

Servus,

ich habe eine Unifi Umgebung aufgebaut bei einem Freund mit Gastro + Pension.

Firmware etc.. immer aktuell.

Aufbau:

UDM-Pro

USW Pro 24 PoE

etliche Switche 5 - 8 & 16 Port

11 x U6-Lite AP's

Problem ist das seine Geräte für Bestellungen und EC-Card Leser ständig Wifi Verbindungsprobleme haben und nicht reagieren.

Das sind alles Wifi-4 / 2.4Ghz Geräte.

Hab auch das Gefühl, dass das Roaming zu langsam ist zwischen den AP`s.

Hab mit iPhone und WiFiMan mal das EG abgelaufen - Empfang sollte reichen, AP switch dauert aber ewig (1-2min).

Wollte mal Fragen was ihr meint zu den Settings.

2.4 GHz

20 - Auto

Transmit Power - Medium

Minimum RSSI - OFF

5 GHz

40 - Auto

TP - Medium

Minimum RSSI - OFF

AP Meshing - OFF

Band Steering OFF

WiFi Settings

BSS Transition - ON

UAPSD - ON

802.11 DTIM

2.4 GHz - 3

5 GHz - 1

Minimum Data Rate Control - Auto

Security WPA2/WPA3

PMF - Optional

Group Rekey Interval 3600s

Das mit dem zweite Acc war zu einfach - daran hab ich net gedacht.

Danke....

Ich bekomme ja den QC Code nur einmal beim einrichten für die Verify App.

Danach komm ich nicht nochmal an den QR-Code.

Einzige Möglichkeit die ich aktuell sehe ist, dass der zweite Admin die "Authenticator" App nutzt.

Servus,

ich habe MFA aktiv über die Unifi "Verify" App an meinem Handy.

Problem, es gibt zwei Personen die zugreifen "dürfen & sollen".

Kann man ein zweites Handy (APP) dazu nehmen, so das auch da der Code angezeigt wird?

Hat das jemand von euch?

Danke...

Es sind 100% Unifi Umgebungen.

UDM 1 mit 17 Unifi Geräten

UDM 2 mit 41 Unifi Geräten

Servus,

habe zwei UDM Pro Umgebungen und "Probleme" was die Infos bzw. Anzeige angeht.

In beiden Umgebungen ist der aktuelle/gleiche Firmware Stand.

Ich weiß es ist kein wirkliches Problem, aber unschön und nervt.

1. UDM 1 mit 2x WAN

- Topologie Anzeige zeigt alle Geräte in einer Line nebeneinander

Selbst nach Stromausfall und wieder Anlauf. Kann damit leben - ist halt net schön.

Könnt hier evtl. der zweite WAN Anschluss das Problem sein?

2. UDM 2

- Gerät Uplink Info stimmt nicht und springt teilweise hin und her

Geräte mit Kabel sind mit WLAN AP verbunden -

Geräte sind angeblich am Switch im Nebengebäude

Das macht Problem Analyse echt schwer - finde teilweise Geräte gar nicht.

Bye...

Hi,

wäre ne Super Sache ohne "doppeltes NAT" - leider beim 5G Hybrid mit Speeport Zwang nicht möglich.

Das blö.... Teil kann keine "Routing Table" - ahhhhrgggg

Hi,

ich habe bei mir folgendes umgesetzt - evtl. hilft es. Keller 1 zu 2 und hoch ins Büro.

Habe nach der UDM Pro ein "großen" USW Pro Aggregation Switch und arbeite da ausschließlich mit SFP und SFP+ Modulen für 1/ 10 / 4 x 25 GBit.

Am USW Pro Aggr hängen USW Pro 8 PoE Switche - die haben auch 2 x SFP+ mit 10Gbit - ok einer davon ist Uplink zum Pro Aggr.

Server & NAS hängt direkt am Pro Aggr mit LACP 2 x 10Gbit und beim Rest reicht mir EIN 10Gbit Anschluss.

Man könnte hier auch den "kleinen" 8 Port Aggr Switch nehmen wenn man mehr wie einen 10Gbit Anschluss benötigt.

STP Priority hab ich einmal gesetzt und fertig - mein Pro Aggr ist "0" dann weiter aufwärts - ist aber kein Hexenwerk....

Bye....

Danke anton - "All Trafic" war es...

"Wald und Bäume" - hab immer mit falschem getestet ....

Hi,

und wie geht das bitte? Bin am testen - will aber net.

Quelle ist klar - denke ich.

Was muss ich bei "Ziel" wählen?

Domain-Name

IP-Adresse

Region

Schnittstelle ist auch klar - Telekom DSL

Fallback - ja/nein ??

Hallo,

ich teste gerade am UDM Pro mit einem zweiten WAN Zugang.

WAN 1 - DSL

WAN 2 - 5G

Modus Loadbalancer 50-50

Hintergrund:

Mein DECT geht natürlich nur am WAN 1 - DSL, jetzt kommt es aber vor das der einfach auf WAN-2 5G wechselt.

Frage:

Wie kann ich einem Device (IP) oder auch VLAN ein WAN Fest vermitteln?

Geht das überhaupt?

Danke...

Es juckt schon irgendwie im Finger - hab noch erste UDM Pro...

Shadow Mode zwischen UDM Pro und MAX sollte ja auch gehen...

Servus,

ich habe den Telekom Hybrid Speedport Smart 4 Typ B direkt vor meiner UDM PRO.

Bei mir funktioniert alles bestens. Speedport nutze ich nur für Internet Zugang. WLAN, DECT, Telefon alles aus.

Telefon VoIP DECT läuft über Gigaset IP Box 100.

Speedport hat DHCP aktiviert, aber halt nur ein Client, die UDM. Dieses Speedport Class C Subnetz ist halt ein anders wie meine VLAN Netzte auf der UDM.

Man braucht nicht alle Ports zur UDM weiterleiten. Halt nur das was man benötigt. Mir reicht IPSec, VPN und 443.

Hier meine Liste.