Cluster/forwarder communication over IPsec/Komunikace clusteru/forwarderu přes IPsec

CZ:

Důležité upozornění, POZOR na Logmanager komunikaci mezi forwardery/nody skrz firewally. Doporučujeme používat blackhole pro vaše interní subnety. Veškerá Logmanager komunikace probíhá skrz UDP porty. Některé firewally za určitých okolností nerespektují routovací tabulku, ale používají session tabulku pro odesílání paketů do špatného interface, což způsobí nefunkční komunikaci mezi Logmanagery/forwardery. Příklad špatného chování FortiGate, pokud forwarder komunikuje skrz IPSEC interface na centrálu:

1. UDP session je navázána skrz IPSEC tunel
2. IPSEC tunel se ocitne ve stavu down (výpadek internetu, rekonfigurace apod.), firewall deaktivuje routy vedoucí do tunelu.
3. Firewall zlikviduje session, nicméně UDP pakety stále chodí, vytvoří tedy novou session, dle aktuální routovací tabulky (zbývá jen defaultní route do internetu).
4. IPSEC tunel se znovu nastartuje a aktivuje route do tunelu
5. session nicméně stále existuje na interface do internetu, a jelikož UDP pakety stále přicházejí, jsou firewallem chybně odesílány do internetu.

EN:

Important note, BEWARE of Logmanager communication between forwarders/nodes through firewalls. We recommend using blackhole for your internal subnets. All Logmanager communication is through UDP ports. Some firewalls do not respect the routing table under certain circumstances, but use the session table to send packets to the wrong interface, causing broken communication between Logmanagers/forwarders. Example of FortiGate misbehaving when a forwarder is communicating through an IPSEC interface to a PBX:

1. UDP session is established through an IPSEC tunnel.
2. The IPSEC tunnel is in a down state (Internet outage, reconfiguration, etc.), the firewall disables the routers leading to the tunnel.
3. The firewall discards the session, but the UDP packets are still coming, so it creates a new session according to the current routing table (only the default route to the Internet remains).
4. The IPSEC tunnel restarts and activates the route to the tunnel
5. However, the session still exists on the interface to the Internet, and since UDP packets are still coming in, they are erroneously sent to the Internet by the firewall.