Syslog przez IPSEC VPN
W przypadku pakietów generowanych przez urządzenie SNS (np. syslog) adres źródłowy nagłówka generowanego pakietu IP jest adresem:
- interfejsu wewnętrznego urządzenia do sieci w której znajduje się odbiorca pakietu - jeżeli odbiorca jest osiągalny bezpośrednio,
- interfejsu zewnętrznego urządzenia do sieci w której znajduje się aktualny gateway - jeżeli odbiorca nie jest osiągalny bezpośrednio.
Polisa Fazy 2 IPSEC definiuje jaki podsieci mają być połączone za pomocą tunelu VPN. Przykładowo, jeżeli serwer SYSLOG znajduje się pod adresem IP_remote który należy do zdalnej lokalizacji a interfejs zewnętrzy urządzenia UTM ma adres Firewall_IP_out to pakiet syslog zaadresowany do serwera IP_remote będzie w nagłówku miał ustawiony adres źródłowy jako Firewall_IP_out.
Jeżeli tunel VPN łączy jedynie sieci lokalne obu lokalizacji to taki pakiet zostanie zatrzymany przez polisę ipsec.
Istnieją trzy sposoby aby opisany powyżej pakiet mógł zostać przekazy przez tunel VPN:
Sposób 1
Należy zmodyfikować parametry fazy 2 (dotyczy obu lokalizacji) aby tunel przyjmował również pakiety z adresem źródłowym Firewall_IP_out.
Sposób 2
W lokalizacji która generuje pakiety syslog należy utworzyć regułę translacji która zamieni adres źródłowy pakietu syslog. Innymi słowy adres źródłowy Firewall_IP_out zostanie zamieniony na adres np. Firewall_IP_lan (gdzie Firewall_IP_lan to adres interfejsu który należy do podsieci zadeklarowanej w polisie fazy 2 ipsec). Należy pamiętać o przestawieniu kolejności wykonywania modułów tzn. trzeba włączyć opcję NAT before VPN.
Sposób 3
Poprzez modyfikację konfiguracji urządzenia można wymusić z jakim adresem źródłowym mają być generowane pakiety syslog. Z poziomu cli:
cd /Firewall/ConfigFiles/Communication
setconf config Syslog0 BindAddr ip-interface-in
enservice
Gdzie ip-interface-in to adres IP lub nazwa obiektu reprezentującego interfejs urządzenia. Ustawienia należy dokonać dla odpowiednich profili SYSLOG - Syslog0, Syslog1, Syslog2, Syslog3.
