Q&A
実現したいことがよくわかりません。
Fortigateからパケット出したいとありますが、これはFortigateのイベントログなどをsyslogサーバに出したいということでしょうか。それとも適当な端末からのsyslogがsyslogサーバまで到達していないということでしょうか。
###実現したいこと
RouterのシスログをZabbixに格納したい!
###状況
Fortigate-1のシスログパケットはZabbixサーバへ届いている。
→Fortigate-2のパケットキャプチャとポリシーにパケットカウントされている。
RouterのシスログはZabbixサーバへ届いていない。
→Fortigate-2のインターネット側のIFにはシスログパケットは届いているが、zabbixサーバ側のIFからは出ていない。ポリシーはパケットカウントされている。
Fortigate-2とZabbixサーバは同セグです。
また、pingは届いています。
時間ができたので、改めて質問内容を更新しました。
以上、何か分かる方アドバイスいただけますでしょうか。
ご回答ありがとうございますozwind918さん(T_T)
後者です。
別の端末に試験サーバを接続し、ケーブル結線抜線でsyslogパケットを監視サーバまで到達させる試験を実施しております。
図を載せたいのですが、スマホからだと写真を載せられないため文章だけで申し訳ございません。
監視サーバ側の設定の問題である可能性はないですか?
監視サーバ側でパケットキャプチャしてsyslogパケットが届いているか確認してはどうでしょうか。
ご連絡が遅れ申し訳ございません。
監視サーバでパケットキャプチャは最初の段階で実施しておりまして、パケットは届いていない状況です。
また、私はネットワークの範囲でしか詳しくは調査できない状況なのですが、監視サーバの設定に不備はないようです。
しかし、ネットワークの設定に不備があるようにも思えず、、、非常に困った状況が続いております。
問題は何でしょうか?「fortigateからsyslogパケット出したい。」だとざっくりしすぎで内容が認識できずにおります。後述読む限りではRouterのシスログをZabbixに格納したい!でしょうか?
ご回答ありがとうございます☺overさん
言葉足らずでした。大変失礼いたしました。
overさんの仰る通り、RouterのシスログをZabbixに格納したい!です。
質問欄修正しておきます。
RouterからZabbixへのPingレベルの疎通は確認できているのでしょうか?
はい。ping届いております!
Zabbixにシスログのパケットが届いていないとのことですが、Zabbixローカルのtcpdumpレベルでパケットが届いていないことを確認していますか?あと、シスログはtcpとudpが存在しますが、こちらを意識して各機設定を行っていますか?
zabbixでパケットキャプチャして届いてないことは確認しております。
また、tcpudpに関しましても、意識して設定しております。
実際に同じ設定方法で別の拠点からはsyslogパケット届いているのです。
> pingが届いてない状態です。
これはRouterからZabbixにpingが届いていないと言われていますか?
であればRouterのルート定義が足りないのでは?
fortigate-2のポリシーでは
送信元はRouterのセグメントを、宛先はfortigate-2のセグメントを指定し、サービスにはntp.ping.syslogを指定しております。
また、今はRouterをいじれる環境ではないので試せませんが、
同じ設定をしている別拠点からfortigate-2へはsyslogパケットが届いています。しかし、pingは届きませんでした。
別拠点の設定はいじれますので、Routerのルート定義確認してみます。
図の中心にある「インターネット」は言葉通りインターネットなのでしょうか?それとも広域イーサか何かですか?前者だった場合、fortigate-2がpppoeを実現しているのでしょうか?
正常にSyslogを飛ばせている別拠点のルータ設定との差分を見てみてください。
syslogの送信元インタフェース、IPアドレスの設定などがあったりしませんか?
また、インターネットが広域イーサなどのWANサービスでない場合はNATの設定などはどうなっていますか?
overさん☺
インターネットです、
pppoeの設定入れてます。
しかし、今回はVPNも設定しておりまして、トンネルを通ってNTP、syslog,pingが通る想定です。
因みにルート定義は、0.0.0.0 0.0.0はネクストホップにDialerを指定してます。
ルータのsyslogはきちんとVPNを通るように設定されていますか?
syslogの宛先IPアドレス、送信元IPアドレス(インタフェース)、VPNを適用するパケットの設定など
となると、fortigate-2の対向VPN機器は何でしょうか?Routerでないのであれば、難易度があがります。
もし、対向VPN機器がfortigate-1であった場合、RouterはVPN経由でログを取得したいのでしょうか?
ozwind918さん☺
別拠点の設定も私が担当し、VPN,pppoeなど含めてすべての設定は今回の拠点の設定と差分はありません。
先程overさんの質問に対する回答でインターネットと答えましたが、広域イーサネットなのかな、、、
RouterからインターネットへのケーブルはLANケーブルで接続しております。
PPPoEの設定をしているのであれば広域イーサネットのようなWANサービスではないと思われます。
ルータからのpingが届いていない状況と認識していますが、pingを送信する際に送信元IPアドレスに
内側のインタフェースのIPアドレスを指定するとどうでしょうか。
overさん☺
対向VPN機器はRouterです。
RouterからZabbixへの通信はVPNで実現したいということで良いですか?
そうであれば、RouterのVPNセグメントへの通信が実現できていないと思います。
VPNセグメントの通信はVPNトンネルに通信してね!というルートが足りないのだと思っています。
ちなみにRouterの型名は何でしょうか?(セキュリティ上提示できないですかね?)
> VPNセグメントの通信はVPNトンネルに通信してね!というルートが足りないのだと思っています。
と思ったけど、VPN配下の機器は期待した動作しているんでしたっけ?
であれば違うかも。
あと、fortigateのポリシーですがVPNを実現している場合のポリシーは、ローカルセグメント⇔VPNトンネル間のポリシーを設定しないと通信は実現できないはずです。
overさん☺
Routerの型名はcisco891Fです。
VPN配下は想定通りの動作です。
VPNを構築していた当時、確認コマンドでVPNを通って通信できてることを確認済みです。
また、ポリシーはローカルとVPNトンネル間でも設定を入れております。
ozwind918さん☺
内側インターフェースのアドレスでも疎通できませんでした。
今改めてみると他回答者様と被った追加依頼してますね・・・すいません。
> 今改めてみると他回答者様と被った追加依頼してますね
追加依頼のフォームが変なのでしょうか?
先程見えてなかった他回答者様の追加依頼があったり、「pingが通らない」「tcpdump」では確認したとのやり取りがあったと記憶していますが、今改めてみるとそのやり取りがない・・・
>overさん
お気になさらないでください。追加依頼・回答がかぶってしまうのは仕方ないと思います。
回答編集画面で色々調べながら書いてたらいつの間にか別回答があったということが何度もありました。。。
「pingが通らない」「tcpdumpで確認した」については質問者さんが編集されたのではないでしょうか。
追加依頼については編集しても分からないような気がします。
> ozwind918様
そうですか。色々変だと思い自分の頭を疑いました。
> 「pingが通らない」「tcpdumpで確認した」
経緯を追うのに重要なところなので消さないでほしかったですね。
回答2件
0
自己解決
Foritgateの送出口からはパケットは表示されませんでしたが、その先にあるL3SW(図には記載していない)へパケットが届いており、zabbixへ向けてパケットを出していることがSPANした結果分かりました。
よって、そもそも問題としていたfortigateからsyslogがでないと思っていた現象は、実はsyslogをzabbixに向けて出していたことになります。
皆様、大変失礼いたしました。
いろいろとアドバイスいただきまして、本当に励みになりました。
しかし、L3SWからsyslogパケットを出しているもののzabbixサーバへは届いていない現象は改善されていませんので、別の質問として投稿いたしました。
もしよろしければ、そちらの質問でも一緒に考えていただけますと助かります。
以上、よろしくお願いいたします。
投稿2019/06/01 14:06
編集2019/06/01 14:09総合スコア172
0
Fortigateの設定できちんと許可されており、pingは通るのであれば監視サーバ側の問題である
可能性が高いと思われます。
パケットキャプチャでSyslogパケットがサーバに届いているか、
ファイアウォールの設定、Syslogサーバの設定を見直すなど監視サーバ側を確認してみてください。
#追加情報があったため、追記
##前提条件
- RouterとFortigate-2でVPNを構成している
- RouterからZabbixへのping、syslogが到達しない
- Fortigate-2のセキュリティポリシーにはヒットしている
- Zabbixの設定に不備はない
- Zabbixでパケットキャプチャしてpingが届いていないことを確認済み
- Fortigate-2のポリシー設定
送信元はRouterのセグメントを、宛先はfortigate-2のセグメントを指定し、サービスには
ポリシーはローカルとVPNトンネル間でも設定を入れております。ntp.ping.syslogを指定しております。
- Routerのルーティング設定
0.0.0.0 0.0.0はネクストホップにDialerを指定してます
提案
Routerの内側インタフェースを送信元としてZabbix、Fortigate-2の内側、Fortigate-2の外側にpingを打ち、
どこで到達できないか確認する。
投稿2019/03/01 06:21
編集2019/03/06 05:34総合スコア1140
ご回答ありがとうございますozwind918さん(^_^)
ご連絡遅れてしまい申し訳ございません。
監視サーバの設定については特に不要の認識です。
また、監視サーバへはバケットは届いておりません。
監視サーバに何かしら設定が必要なのであれば再度確認してみます。
アドバイスありがとうございます。
後から出てきた情報が多すぎますので、整理しました。
本来は質問を編集してもらうのが一番良いですが、暇だったので。
整理して下さりありがとうございます。
さらに、1点追加情報です。
インターネットとfortigate-2の間にルーターが1台あります。構成図に書いておらず大変申し訳ございません。
そして、提案の疎通確認しました。
結果は、先程申し上げたルーターのインターネット側のインターフェースに届きませんでした。
[Forti-1]---[Router-1]---[インターネット]---[Router-2]---[Forti-2]---[Zabbix]という構成でしょうか。
VPNはRouter-1とRouter-2で組んでいるのですか?それともRouter-1とForti-2で組んでいるのですか?
さらに情報追加いたします。
先程申し上げたルーター(Router-2とします)はインターネットへ出す際に、PATの設定を入れております。
しかし、この設定はインターネットへ出る為の設定ですので、今回は関係ない認識です。
今回の疎通では、Router-2の物理インターフェースに対してpingしております。
色々と情報があり申し訳ございません。
私の中では、今回関係する情報だけを展開したつもりでしたが、必要な情報が抜けておりました。
本当に申し訳ございません。
16:14のozwindさんの質問今確認しました。
VPNはRouter同士で設定しております。
VPNはRouter同士で設定しているとのことですので、Router-2に対してPingしても意味ないですね。
おそらくACLか何かで拒否されているのではないでしょうか。
Router-1の内側インタフェースを送信元としてRouter-2の内側IPアドレス、Forti-2の外側IPアドレス(Router-2と接続しているインタフェース)、Forti-2の内側IPアドレスとPingを打っていけばいいのではないでしょうか。
Overさんも指摘されていますが、どのパケットをVPNに通すかの設定(おそらくACL)で該当パケットが
対象になっていないことが原因だと思われます。
登場機器も多く、切り分けもできていないためまずは切り分けしてください。(問題はVPNなのか、Fortigateなのか、Syslogサーバなのか。。。)
切り分けをしてどの部分に問題があるかを確認してから質問を編集してください。
どの部分に問題があるか分かれば、コンフィグを確認するなどして原因が分かると思います。
因みにVPNのセッションは確立してます。
show crypt isakmp saでRouterのアドレスが双方向で表示されております。
しかし、ipsec saを見ると、対象範囲にinboundとoutboundに表示されません。
つまり、トンネル通ってないようですね。。。
本当にVPNのセッションが確立してるのでしょうか。
show crypt isakmp saで表示されるSTATEがMM_NO_STATEになってたりしませんか?
※Forti-1がZabbixまで到達しているのであれば、QM_IDLEになってますね。多分
あなたの回答
tips
プレビュー
