Nagios Core zur Überwachung des Cisco VPN-Tunnels

tag-icon tag-icon vpn cisco nagios check-snmp
Nagios Core zur Überwachung des Cisco VPN-Tunnels

Mit check_snmp kann ich feststellen, ob ein VPN-Tunnel aktiv ist. Die OID für einen meiner Tunnel lautet .1.3.6.1.4.1.9.9.171.1.2.3.1.35.3002962.

Wenn der Tunnel aktiv ist, gibt es keine Probleme. Das Problem entsteht, wenn der Tunnel inaktiv ist, da die OID dann nicht mehr vorhanden ist.

Arbeiten:

/usr/lib/nagios/plugins/check_snmp -H 10.10.10.1 -C public -o .1.3.6.1.4.1.9.9.171.1.2.3.1.35.3002962

kehrt zurück:

SNMP OK - 1 | iso.3.6.1.4.1.9.9.171.1.2.3.1.35.300296=1

Tunnel down and OID missing:

External command error: Error in packet
Reason: (noSuchName) There is no such variable name in this MIB.
Failed object: iso.3.6.1.4.1.9.9.171.1.2.3.1.35.30029

Irgendwelche Ideen?

UPDATE: Sieht so aus, als müsste ich mein eigenes schreiben. Die OIDs für den Tunnel ändern sich, daher funktioniert die Verwendung eines einfachen check_snmp nicht. Ich kann immer noch nicht herausfinden, warum das check_asa_vpn-Add-In Fehler ausgibt.

Antwort1

Scheint ein normales Verhalten für OID zu sein.1.3.6.1.4.1.9.9.171.1.2.3.1.35

Sein Wert gilt, INTEGER: 1wenn der Tunnel aktiv ist, er OIDverschwindet jedoch, wenn der Tunnel inaktiv ist.

Ihre Prüfung sollte also Folgendes berücksichtigen: Wenn OIDes nicht gefunden wird, wird ein Alarm ausgelöst, weil der Tunnel ausgefallen ist:

http://www.nycnetworkers.com/management/monitor-cisco-asa-vpn-tunnel-state-via-snmp

Anders als bei „up/down“ bedeutet der hier angegebene Wert, dass der VPN-Tunnel aktiv ist. Wenn der Tunnel inaktiv ist, verschwindet diese Zeile aus der MIB. Wenn Sie also Ihre Umfrage erstellen und diese Zeile nicht mehr angezeigt wird, können Sie eine Warnung senden, dass der VPN-Tunnel inaktiv ist!

Übrigens könnten Sie 1.3.6.1.4.1.9.9.171.1.2.3.1.7stattdessen OID überwachen.

Dadurch erhalten Sie den Peer auf beiden Seiten des Tunnels: lokal und remote.

https://www.appliedtrust.com/blog/2009/08/monitoring-site-site-vpns-cisco-asa

Wenn die Peer-IP für einen konfigurierten Tunnel hier nicht aufgeführt ist, ist sie ausgefallen.

Außerdem gibt es ein einsatzbereites Perl-Nagios-Plugin, das diese OID verwendet: https://exchange.nagios.org/directory/Plugins/Network-and-Systems-Management/check_asa_vpn/details

verwandte Informationen