81585
Goto Top

SNMP Monitoring über einen IPSEC VPN Tunnel

Überwachung der Datendurchsatzraten einer Firewall am entfernten Firmenstandort funktioniert nicht. Beide Standorte sind mit einem Ipsec-Tunnel erfolgreich verbunden. (Datenverkehr, Ping, DNS funktionieren einwandfrei.) Alle Server können erfolgreich mit SNMP überwacht werden.

Hallo Zusammen,

Wir haben uns zum monitoring unseres gesamten Netzwerkes entschlossen. Betroffen hierbei sind 2 Standorte in Deutschland die über einen Ipsec-Tunnel verbunden sind. Der Datenverkehr etc. funktioniert wunderbar. Auch das SNMP-Monitoring der Server läuft problemlos.

Mein Problem:

Die beiden VPN-Gateways (Firewalls, NETGEAR FVG318) beide SNMP-fähig, port und Connection-String sind ok lassen sich einfach nicht überwachen. Ich bekomme einfach keine SNMP Verbindung zustande. (Connection Timeout) Was mache ich hier falsch? Ich arbeite nicht mit statischen Routen, und die Firewalls lassen sich in und von jeder Richtung anpingen.

Sollte ich noch Informationen vergessen haben, bitte kurzes Feedback.

Für jede Hilfe/Hinweise bin ich dankbar!

Viele Grüße
Andreas

Content-Key: 122425

Url: https://administrator.de/contentid/122425

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: aqui
aqui 10.08.2009 um 16:57:08 Uhr
Goto Top
Hast du als allererstes mal versucht lokal z.B. mit snmpwalk o.a. eine SNMP Verbindung auf die NetGear Komponten zu realisieren !
Das sollte der erste Schritt sein um sicher festzustellen das das klappt und man so sicher ermitteln kann ob es an der remoten Verbindung oder am lokalen Device liegt.
Da aller anderer SNMP Traffic aber sauber über die Leitung geht, hast du vermutlich zu 99,9% ein Fehler an den lokalen NetGear Geräten mit SNMP.

Nächste Schritte:
  • Ist die Firmware aktuell ?? Wenn nicht Updaten auf die neueste Firmware !
  • Stimmen die im SNMP Client verwendeten Community Strings für Read und Write ?? (Groß- Kleinschrift usw.) mit denen im NetGear überein ?
  • Versteht der NetGear deine verwendete SNMP Version 1, 2 oder 3 ?
  • Was sagt das NetGear Log bei einem SNMP Read Zugriff ??
  • Was sagt ein Sniffertrace z.B. mit dem freien Wireshark bei einem SNMP Zugriff auf den NetGear ? Antwortet der ??
  • Blockt ggf. die NetGear Firewall UDP 161 und UDP 162 Traffic ??

Bedenke das das NetGear Produkt ein billiges Consumer Produkt ist. Die SNMP Standard MIB Implementation ist bei solchen Billigprodukten of nur sehr bruchstückhaft und oberflächlich.
Es ist also sehr gut möglich das der NetGear aus diesem Grunde deinen gesendeten SNMP OID String gar nicht kennt und somit auch nicht beantwortet.
Das ist bei Billigprodukten aus dem Blödmarkt leider nicht unüblich....gerade NetGear und wäre auch ein potentieller Grund face-sad
Deshalb Sniffertrace oder Logauszug !

Alles Fragen die du leider nicht beantwortest und ohne deren Antwort eine qualifizierte Hilfe sehr schwer ist face-sad
Mit den oberflächlichen Beschreibungen von oben kommt man so nicht weiter...
Mitglied: 81585
81585 10.08.2009 um 17:11:17 Uhr
Goto Top
Hallo,

Danke für die Antwort.

Auf beiden Seiten im Lan kann ich lokal die NETGEARs per SNMP ohne Probleme in sekundenschnelle abfragen. Mir scheint da entweder der Tunnel oder vielleicht auch DNS Probleme zu machen, wie gesagt beide Geräte sind gleich und jeweils gateways einmal ins WAN und für den Tunnel.

Ich werde mich jetzt mal an die Log-Daten machen und später alles posten.

Danke erstmal für die Antwort.

Gruß
Andreas
Mitglied: aqui
aqui 10.08.2009 um 17:16:48 Uhr
Goto Top
DNS kanns ja niemals sein, denn vermutlich wirst du die NetGears wie üblich ja über deren nackte IPs abfragen und dann ja logischerweise über deren LAN IPs denn vermutlich werden sie keinerlei SNMP Daten über die WAN Interfaces aus Sicherheitsgründen senden wie ebenfalls üblich.

Dann kann es eigentlich nur noch ein Firewall Problem sein, da du ja mit einer fremden nicht lokalen IP ankommst und die FW dann ggf. SNMP Ports blockt.
Das kann dir aber nur die FW Einstellung sagen.

Wenns ganz schlimm kommt beantworten die NetGears auch nur SNMP Requests aus dem loaklen LAN...auch nicht unüblich bei Billigheimern.
Ob das so ist kann dir dann aber nur die NetGear Hotline beantworten !
Mitglied: 81585
81585 11.08.2009 um 16:36:31 Uhr
Goto Top
Moin!

Hab gerade mit NETGEAR telefoniert, die sagen es gibt keinerlei Beschränkungen was den SNMP-Verkehr angeht. Ich soll mich an den Hersteller der Software wenden. Paessler sagt, es liegt an Netgear. Naja. Ich glaube hier komme ich nicht weiter.
Mitglied: aqui
aqui 11.08.2009 um 18:02:16 Uhr
Goto Top
Nimm einen Wireshark und sieh dir den SNMP Traffic lokal an und dann wenn er remote kommt bei gleichem SNMP get Kommando und vergleiche beide Datenströme.
Da siehst du dann meist sofort wo es kneift !