Anticisco https://anticisco.ru/forum/ |
|
Получить syslog c удаленной ASA по туннелю https://anticisco.ru/forum/viewtopic.php?f=8&t=1218 |
Страница 1 из 1 |
Автор: | 893 [ 26 ноя 2010, 09:39 ] |
Заголовок сообщения: | Получить syslog c удаленной ASA по туннелю |
VPN-туннель между двумя ASA. Хочу получить syslog с удаленной ASA филиала на внутренний syslog сервер. Через Интернет - пожалуйста. С внутреннего интерфейса филиальной "асы", через туннель, не выходит. Выводится вот такое сообщение: <166>Nov 25 2010 16:42:00: %ASA-6-110003: Routing failed to locate next hop for udp from NP Identity Ifc:<ip_inside_intеrface_remote_ASA>/514 to inside:<my_syslog_server>/514 Может кто поможет? |
Автор: | Fedia [ 26 ноя 2010, 10:42 ] |
Заголовок сообщения: | Re: Получить syslog c удаленной ASA по туннелю |
Так и не получится. У АСЫ нет внутренней маршрутизации. Поэтому source-int здесь не работает. Я бы попробовал так: запихнуть трафик АСЫ (с её внешнего, глобального адреса), направленный на конкретный ЧАСТНЫЙ адрес в туннель. На Бранче: access-l IPSEC perm ip h {GLOB_ASA} h {LOCAL_SYSLOG} На ЦО: access-l IPSEC perm h {LOCAL_SYSLOG} h {GLOB_ASA} Но гарантировать результат не могу. Не уверен точно, на каком этапе формируется сислог сообщение. Если уже после опознания пакета, интересного для шифрования и повторной проверки нет , то в трубу шифрованную сислог не пойдет. |
Автор: | 893 [ 27 ноя 2010, 19:16 ] |
Заголовок сообщения: | Re: Получить syslog c удаленной ASA по туннелю |
Спасибо, но увы не получилось. Решил по простому сделать syslog relay. |
Автор: | Fedia [ 28 ноя 2010, 13:34 ] |
Заголовок сообщения: | Re: Получить syslog c удаленной ASA по туннелю |
Ну собственно это и правильно. Я не помню, заработал ли у меня такой способ. В итоге точно помню - был внедрен внутренний сислог на этой площадке. скорее всего из-за того, что "сислог через туннель" заработал некорректно |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |