IPMan Geschrieben 1. Mai 2008 Geschrieben 1. Mai 2008 Hallo, ich habe ein problem mit snmp hinter einer firewall (Netscreen 5GT). Ich habe nagios auf meinem server zu Hause laufen und wuerde gerne die hardware wie managed switches, Wireless switch und firewall ueber snmp in den Betrieb wo ich arbeite ueberwachen. Bis zur firewall ist es kein problem heist ich bekomme snmp response von der netscreen firewall. Aber wie sieht es aus mit den geraeten dahinter. Ich habe schon mit port forwarding auf anderen ports probiert um bestimmte geraete mit snmp get anzusprechen aber leider kein erfolg. Ich weiss auch nicht ob es ueberhaupt moeglich ist. Hat jemand so etwas schon realisiert? Danke Zitieren
hades Geschrieben 1. Mai 2008 Geschrieben 1. Mai 2008 Du musst SNMP von Deinem nagios-System zu den Zielsystemen in den Firewallrichtlinien der Netscreen 5GT erlauben. SNMP-Port: UDP 161 Allerdings ist SNMP sehr oft ausgeschaltet, weil SNMP v1 und das oft eingesetzte SNMP v2c unsicher sind. Nur SNMP v3 bietet eine Authentifizierung, Verschluesselung und Datenintegritaet. SNMP v3 wird aber seltener eingesetzt. Ein anderer Ansatz wenn es Dir nur um Veraenderungen geht: Schau Dir SNMP Traps an. Deine Systeme senden dann nur bei Veraenderungen SNMP Traps an Deinen SNMP Trap Receiver. Zitieren
IPMan Geschrieben 1. Mai 2008 Autor Geschrieben 1. Mai 2008 Danke fuer deine Antwort. Wie gesagt ich bekomme snmp response vom netscreen 5GT selber und das auf port: 161. Aber ich kann nicht snmp get mit dem selben port an z.b. managed switch senden da ja die netscreen die Anfrage praktisch abfangen wuerde weil der port 161 fuer netscreen eingestellt ist. Also hier der reihe nach <Nagios>--<-Wan-> -------- <DSL Modem>--<Netscreen>--<Switch>--<Wifi Switch> snmp traps kommen eigentlich nicht in frage, weil ich sehen muss ob das geraet up or down ist. Zitieren
hades Geschrieben 1. Mai 2008 Geschrieben 1. Mai 2008 Hier wuerde ich eher einen nagios Server ins Zielnetz setzen. Oder wenn es gar nicht anders geht zumindest den Traffic zwischen Dir und Deinem Zielnetz verschluesselt (z.B. per VPN) uebertragen. Denn SNMP v1 und v2c gehen unverschluesselt uebers Netz und mit SNMP koennen auch Werte (z.B. neue Firewallrichtlinien) gesetzt werden! Zitieren
IPMan Geschrieben 1. Mai 2008 Autor Geschrieben 1. Mai 2008 "Hier wuerde ich eher einen nagios Server ins Zielnetz setzen." Das waere eine moeglichkeit und dann mit distributed monitoring in nagios auf meinem server. Aber dazu mueste ich extra hardware installieren. Davon abgesehen habe ich 2 verschiedene subnets im Zielnetz. Mit SNMP v3 oder VPN werde ich mir mal naeher anschauen da ich frueher oder spaeter darauf bauen muss. Aber trotzdem nochmal eine frage. Ist es ueberhaupt moeglich mehrere snmp faehige geraete uebers internet aus daten abzufragen, wenn die geraete in verschiedenen subnetz im Zielnetz sind? Daher mein Gedanke mit dem port forwarding. Zitieren
hades Geschrieben 1. Mai 2008 Geschrieben 1. Mai 2008 Portforwarding geht genau auf ein System, nicht auf mehrere. Zitieren
IPMan Geschrieben 1. Mai 2008 Autor Geschrieben 1. Mai 2008 Deswegen habe ich jedem snmp faehigem geraet einen anderen port zugewiesen und dann per port forwarding auf das jeweilige system. Aber irgendwie geht das nicht. Zitieren
dgr243 Geschrieben 1. Mai 2008 Geschrieben 1. Mai 2008 denn ist da irgendwo ein konfigurationsfehler ... bei mir steht zwar keine netscreen sondern eine ältere cisco pix vorm netz, kann aber meine geräte alle abfragen wanip:161 = pix wanip:162 = switch wanip:163 = homeserver und so weiter .. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.