Syslog przez IPSEC VPN

W przypadku pakietów generowanych przez urządzenie SNS (np. syslog) adres źródłowy nagłówka generowanego pakietu IP jest adresem:

  1. interfejsu wewnętrznego urządzenia do sieci w której znajduje się odbiorca pakietu - jeżeli odbiorca jest osiągalny bezpośrednio,
  2. interfejsu zewnętrznego urządzenia do sieci w której znajduje się aktualny gateway - jeżeli odbiorca nie jest osiągalny bezpośrednio.

Polisa Fazy 2 IPSEC definiuje jaki podsieci mają być połączone za pomocą tunelu VPN. Przykładowo, jeżeli serwer SYSLOG znajduje się pod adresem IP_remote który należy do zdalnej lokalizacji a interfejs zewnętrzy urządzenia UTM ma adres Firewall_IP_out to pakiet syslog zaadresowany do serwera IP_remote będzie w nagłówku miał ustawiony adres źródłowy jako Firewall_IP_out.

Jeżeli tunel VPN łączy jedynie sieci lokalne obu lokalizacji to taki pakiet zostanie zatrzymany przez polisę ipsec.

Istnieją trzy sposoby aby opisany powyżej pakiet mógł zostać przekazy przez tunel VPN:

Sposób 1

Należy zmodyfikować parametry fazy 2 (dotyczy obu lokalizacji) aby tunel przyjmował również pakiety z adresem źródłowym Firewall_IP_out.

Sposób 2

W lokalizacji która generuje pakiety syslog należy utworzyć regułę translacji która zamieni adres źródłowy pakietu syslog. Innymi słowy adres źródłowy Firewall_IP_out zostanie zamieniony na adres np. Firewall_IP_lan (gdzie Firewall_IP_lan to adres interfejsu który należy do podsieci zadeklarowanej w polisie fazy 2 ipsec). Należy pamiętać o przestawieniu kolejności wykonywania modułów tzn. trzeba włączyć opcję NAT before VPN.

 

Sposób 3

Poprzez modyfikację konfiguracji urządzenia można wymusić z jakim adresem źródłowym mają być generowane pakiety syslog. Z poziomu cli:

cd /Firewall/ConfigFiles/Communication
setconf config Syslog0 BindAddr ip-interface-in
enservice

Gdzie ip-interface-in to adres IP lub nazwa obiektu reprezentującego interfejs urządzenia. Ustawienia należy dokonać dla odpowiednich profili SYSLOG - Syslog0, Syslog1, Syslog2, Syslog3.

Web Analytics Treści zawarte na tej stronie są własnością SerwiTECH i nie mogą być kopiowane bez pisemnej zgody SerwiTECH.