Snmp hinter firewall

[IPMan]

Hallo,

ich habe ein problem mit snmp hinter einer firewall (Netscreen 5GT). Ich habe nagios auf meinem server zu Hause laufen und wuerde gerne die hardware wie managed switches, Wireless switch und firewall ueber snmp in den Betrieb wo ich arbeite ueberwachen. Bis zur firewall ist es kein problem heist ich bekomme snmp response von der netscreen firewall. Aber wie sieht es aus mit den geraeten dahinter. Ich habe schon mit port forwarding auf anderen ports probiert um bestimmte geraete mit snmp get anzusprechen aber leider kein erfolg. Ich weiss auch nicht ob es ueberhaupt moeglich ist. Hat jemand so etwas schon realisiert?

Danke

[hades]

Du musst SNMP von Deinem nagios-System zu den Zielsystemen in den Firewallrichtlinien der Netscreen 5GT erlauben.

SNMP-Port: UDP 161

Allerdings ist SNMP sehr oft ausgeschaltet, weil SNMP v1 und das oft eingesetzte SNMP v2c unsicher sind.

Nur SNMP v3 bietet eine Authentifizierung, Verschluesselung und Datenintegritaet. SNMP v3 wird aber seltener eingesetzt.

Ein anderer Ansatz wenn es Dir nur um Veraenderungen geht:

Schau Dir SNMP Traps an.

Deine Systeme senden dann nur bei Veraenderungen SNMP Traps an Deinen SNMP Trap Receiver.

[IPMan]

Danke fuer deine Antwort.

Wie gesagt ich bekomme snmp response vom netscreen 5GT selber und das auf port: 161. Aber ich kann nicht snmp get mit dem selben port an z.b. managed switch senden da ja die netscreen die Anfrage praktisch abfangen wuerde weil der port 161 fuer netscreen eingestellt ist.

Also hier der reihe nach

<Nagios>--<-Wan-> -------- <DSL Modem>--<Netscreen>--<Switch>--<Wifi Switch>

snmp traps kommen eigentlich nicht in frage, weil ich sehen muss ob das geraet up or down ist.

[hades]

Hier wuerde ich eher einen nagios Server ins Zielnetz setzen.

Oder wenn es gar nicht anders geht zumindest den Traffic zwischen Dir und Deinem Zielnetz verschluesselt (z.B. per VPN) uebertragen.

Denn SNMP v1 und v2c gehen unverschluesselt uebers Netz und mit SNMP koennen auch Werte (z.B. neue Firewallrichtlinien) gesetzt werden!

[IPMan]

"Hier wuerde ich eher einen nagios Server ins Zielnetz setzen."

Das waere eine moeglichkeit und dann mit distributed monitoring in nagios auf meinem server. Aber dazu mueste ich extra hardware installieren. Davon abgesehen habe ich 2 verschiedene subnets im Zielnetz.

Mit SNMP v3 oder VPN werde ich mir mal naeher anschauen da ich frueher oder spaeter darauf bauen muss.

Aber trotzdem nochmal eine frage. Ist es ueberhaupt moeglich mehrere snmp faehige geraete uebers internet aus daten abzufragen, wenn die geraete in verschiedenen subnetz im Zielnetz sind? Daher mein Gedanke mit dem port forwarding.

[hades]

Portforwarding geht genau auf ein System, nicht auf mehrere.

[IPMan]

Deswegen habe ich jedem snmp faehigem geraet einen anderen port zugewiesen und dann per port forwarding auf das jeweilige system. Aber irgendwie geht das nicht.

[dgr243]

denn ist da irgendwo ein konfigurationsfehler ...

bei mir steht zwar keine netscreen sondern eine ältere cisco pix vorm netz, kann aber meine geräte alle abfragen

wanip:161 = pix

wanip:162 = switch

wanip:163 = homeserver

und so weiter ..