Consigo ver se um túnel VPN está ativo usando check_snmp. O OID de um dos meus túneis é .1.3.6.1.4.1.9.9.171.1.2.3.1.35.3002962.
Quando o túnel estiver aberto, não há problemas. O problema é quando o túnel está inativo, porque o OID desapareceu.
trabalhando:
/usr/lib/nagios/plugins/check_snmp -H 10.10.10.1 -C public -o .1.3.6.1.4.1.9.9.171.1.2.3.1.35.3002962
retorna:
SNMP OK - 1 | iso.3.6.1.4.1.9.9.171.1.2.3.1.35.300296=1
Tunnel down and OID missing:
External command error: Error in packet
Reason: (noSuchName) There is no such variable name in this MIB.
Failed object: iso.3.6.1.4.1.9.9.171.1.2.3.1.35.30029
Alguma ideia?
ATUALIZAÇÃO: Parece que terei que escrever o meu próprio. Os OIDs para o túnel mudam, portanto, usar um check_snmp direto não funcionará. Ainda não consigo descobrir por que o check_asa_vpn adiciona erros.
Responder1
Parece que é um comportamento normal para OID.1.3.6.1.4.1.9.9.171.1.2.3.1.35
Seu valor é INTEGER: 1quando o túnel está ativo, mas OIDdesaparece quando o túnel está inativo.
Portanto, sua verificação deve lidar com isso: se OIDnão for encontrado, emita um alerta porque o túnel está inativo:
http://www.nycnetworkers.com/management/monitor-cisco-asa-vpn-tunnel-state-via-snmp
Ao contrário do que pensamos em “up/down”, o valor aqui, se presente, significa que o túnel VPN está ativo. Se o túnel estiver inativo, esta linha desaparece do MIB, então quando você criar sua enquete, se ele não vir mais esta linha, você poderá enviar um alerta dizendo que o túnel VPN está inativo!
A propósito, você poderia monitorar o OID 1.3.6.1.4.1.9.9.171.1.2.3.1.7.
Isso fornece os pares de ambos os lados do túnel: local e remoto.
https://www.appliedtrust.com/blog/2009/08/monitoring-site-site-vpns-cisco-asa
Se o IP peer de um túnel configurado não estiver listado aqui, ele está inativo.
Além disso, existe um plugin Perl Nagios pronto para uso que usa este OID: https://exchange.nagios.org/directory/Plugins/Network-and-Systems-Management/check_asa_vpn/details