ASA5505-BUN-K9における、VPN越しのsyslog転送に関して

milchstrase09 · ‎2015-09-02

お世話になります。

ASA5505-BUN-K9(ver.8.3)でVPN越しに設置してあるsyslogサーバへlogを転送しています。

http://www.cisco.com/cisco/web/support/JP/111/1118/1118391_116171-qanda-asa-00.html

まさに上記リンクのような構成で

設定も同じように組んでいます。

logging host outside <VPN越しのsyslogサーバIP>

しかし、時折syslogサーバへのlog転送が

できなくなってしまう時があるため

これまた参考リンクの様な形の対策を取ろうと思っております。

managemant-access inside

no logging host outside <VPN越しのsyslogサーバIP>

logging host inside <VPN越しのsyslogサーバIP>

そこでお伺いしたい事が2点ほど

①この事象について調べてみると、VPN越しで管理アクセス

を行う際にはVPNを張ってるインターフェースでは無く別のインターフェースにmanagemant-accessの設定が必要と言う記述がありしたがその理由とかご存知でしたらお伺いしたく。

②この事象って色々な所で発生してるものなのでしょうか？

Akira Muranaka · ‎2019-11-27

こんばんは。

まずサイト間VPN通信は　ルータやファイアウォールといったVPN装置を通過／経由する通信に適用させるのが一般的で標準構成です。ですので　シスログもASAファイアウォールを通過させたい場合は　ASAのあるインターフェイスから　別のインターフェイスへの通信を発生させることで綺麗に暗号化できます。

ただASAファイアウォールはセキュリティの関係上　デフォルトで自身からのトラフィックを別インターフェイス経由で出力は無効化されてます。例えば　インターネットから　ASA内部インターフェイスIPアドレスにPingを打っても　その応答がないのは内部インターフェイスIP情報を隠すためです。

ただ　managementーaccessを有効化することで　管理トラフィックのみこのセキュリティ制限を外せれるため、VPN経由でASAファイアウォール経由のシスログを綺麗に処理可能になる。。といった理屈だったかと思います！(たぶん)

managementーaccessについて詳しくは　以下ドキュメントも参考になるかと思います。