Wazuh Agent bekommt keine Verbindung

Started by pleibling, December 27, 2023, 09:05:18 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 27, 2023, 09:05:18 AM
Hallo liebe Mitstreiter,

ich hoffe ihr könnt mir bei meinem Problem weiterhelfen.

Ich habe einen Wazuh Server in einem VLAN angebunden an meiner OPNsense. Es gibt eine Floating Rule, die Verbindungen zuläßt für TCP/UDP 1514,1515,55000 (Agent und API) zu meinem Wazuh Server.

Wenn ich das Wazuh Agent Plugin auf der OPNsense installiere und einrichte, dann erscheint der Wazuh Agent im Wazuh, jedoch mit der Meldung never connected.

Auf der OPNsense sehe ich in der Datei /var/ossec/var/run/wazuh-agentd.state den Status pending. Somit ist zwar schon mal eine Verbindung da, jedoch scheint das Registrieren nicht richtig zu funktionieren.

Mit nc -zv 192.168.50.10 zu den Ports 1514, 1515, 55000 bekomme ich jeweils die Information "succeded", somit sollte die Verbindung da sein.

Wenn ich die ossec.conf vergleiche mit einem funktioniereneden System, dann sehe ich das diese sich ein wenig unterscheidet - auch nach dem Anpassen von:

Code Select
  <client>
    <server>
      <address>192.168.50.10</address>
    </server>
    <crypto_method>aes</crypto_method>
  </client>


nach:

Code Select
  <client>
    <server>
      <address>192.168.50.10</address>
      <port>1514</port>
      <protocol>tcp</protocol>
    </server>
    <config-profile>debian, debian8</config-profile>
    <crypto_method>aes</crypto_method>
  </client>


und Neustart des Dienstes brachte keinen Erfolg.

Leider kann ich auch in den ossec.log nicht nachschauen, da diese ein Symlink auf sich selber ist und beim Öffnen die Fehlermeldung erscheint, das zu viele redirects verwendet werden.

Wenn ich im Live-Log schaue, dann sehe ich auch keine Verbindungen ankommen.

Nun bin ich mit meinem Latein am Ende, kann mir jemand helfen, oder einen Tipp geben oder hat gar das Wazuh-Agent-Plugin auf der OPNsense laufen?

Danke für eure Hilfe.
December 28, 2023, 09:28:41 AM #1
Moin,
bei mir war der Wazuh Server zu alt für den Agent.
Bitte mal Agent Version und die Server Version vergleichen.
LG,
Ralf
December 28, 2023, 09:59:18 PM #2
Das ist ja der Hammer, danke dir vielmals - das war das Problem. Ich hatte noch die 4.4.1 drauf, nach Update auf 4.7.1 funktionierte es auf Anhieb. Darauf muss man erst mal kommen. Ich habe Stundenlang gesucht, aber darauf bin ich einfach nicht gekommen.

Danke dir vieeeeeeelmals!
Print
Go Up Pages1
User actions