Fortigate: Zugriff von der CLI auf andere Ressourcen funktioniert nicht / Problem mit der Source-IP

Folgendes Szenario:

  • Eine FG wird über ein IPSec Tunnel mit dem Datacenter verbunden.
  • Die Default-Route zeigt auf das Tunnel-Interface.
  • Das Tunnel-Interface is unnumbered (ohne IP)
  • Jeglicher Traffic geht in den Tunnel.
  • Keine Namensauflösung möglich, DNS arbeitet nicht korrekt

Helfen kann man sich, indem

  1. die Source-IP der Dienste, die die Box selbst braucht, angepasst wird.
  2. das Tunnel Interface eine Routbare IP bekommt.

zu 1. Source IP der Dienste einstellen

Dazu gehört z. B. SYSLOG.

Lassen wir uns die Einstellungen anzeigen:

FG-PH-Arnstadt # get system source-ip status

The following services force their communication to use a specific source IP address:

=======finished getting system source-ip status=======

Es wurde nicht konfiguriert, dann konfigurieren wird eine Source-IP für SYSLOG.

Syslog Source-IP einstellen

FG-PH-Arnstadt # config log syslogd

filter Filters for remote system server.
setting Global settings for remote syslog server.

FG-PH-Arnstadt # config log syslogd setting
FG-PH-Arnstadt (setting) # show config log syslogd setting
set status enable
set server "10.136.233.66"
end

FG-PH-Arnstadt (setting) # set source-ip 10.200.100.100

FG-PH-Arnstadt (setting) # show
config log syslogd setting
    set status enable
    set server "10.136.233.66"
    set source-ip "10.200.100.100"
end

DNS Source-IP einstellen

 FG-PH-Arnstadt # config system dns
 FG-PH-Arnstadt (dns) # edit
 FG-PH-Arnstadt (dns) # set source-ip 10.200.100.100
 FG-PH-Arnstadt (dns) # end

NTP Source-IP einstellen

FG-PH-Arnstadt # config system ntp
 FG-PH-Arnstadt (ntp) # set source-ip 10.200.100.100
 FG-PH-Arnstadt (ntp) # end

E-Mail Server Source-IP einstellen

FG-PH-Arnstadt # config system email-server
 FG-PH-Arnstadt (email-server) # set source-ip 10.200.100.100
 FG-PH-Arnstadt (email-server) # sh
 config system email-server
 set server "XXXX.XXXX.zgt.de"
 set source-ip 10.200.100.100
 end

 

NetFlow Source-IP einstellen

FG-PH-Arnstadt # config system netflow
 FG-PH-Arnstadt (netflow) # set source-ip 10.200.100.100
 FG-PH-Arnstadt (netflow) #

 

SFlow Source-IP einstellen

FG-PH-Arnstadt # config system sflow
 FG-PH-Arnstadt (sflow) # set source-ip 10.200.100.100

 

Frage:
Ist es möglich, die Source-IP (z.B. für die Kommnukation von der CLI über ein lokales Interface) bei allen oder zumindest bei den gängigen Diensten mit EINEM CLI Befehl einzustellen oder dies in der GUI zu tun?

system source-ip
Use this command to list defined source-IPs.
Syntax
get system source-ip
Example output
# get sys source-ip status
The following services force their communication to use
a specific source IP address:
service=NTP source-ip=172.18.19.101
service=DNS source-ip=172.18.19.101
vdom=root service=RADIUS name=server-pc25 source-ip=10.1.100.101
vdom=root service=TACACS+ name=tac_plus_pc25 source-ip=10.1.100.101