IPSec VPN Tunnel überwachen

[glady 10]

Hallo,

 

ich würde gerne mehrere VPN-Tunnel auf einem Cisco Router überwachen, ohne dafür auf der Gegenseite eine IP-Adresse pingen zu müssen.

 

Gibt es eine Möglichkeit, dies mit snmp und z.B. Nagios umzusetzen?

 

glady

[Otaku19 33]

gibts sicher ne mib die einem sh crypto ipsec sa peer x.x.x.x abrufen kann würde ich mal tippen

[Wordo 11]

Wenn du das IPSec mit SVTI konfigurierst solltest du das line protocol schon monitoren koennen ...

 

Im Zweifelsfall mit EEM.

[glady 10]

SVTI ist weniger das Problem. Aber wir haben auch IPSec Verbindungen, SVTI ist ja Cisco proprietär, weshalb ich vorhandene VPN-Tunnel zu z.B. Checkpoint nicht durch ein SVTI ablösen kann.

 

Ist der Befehl "sh crypto ipsec sa peer x.x.x.x" richtig, zum Abfragen, ob der Tunnel up oder down ist?

 

Was bedeutet EEM?

[Wordo 11]

embedded event manager ... damit kannste (IOS vorrausgesetzt) aufgrund von Systemevents bestimmte Aktionen ausfuehren lassen.

[Otaku19 33]

Ist der Befehl "sh crypto ipsec sa peer x.x.x.x" richtig, zum Abfragen, ob der Tunnel up oder down ist?

 

 

Damit sieht man ob zu peer sowieso SAs offen sind...wobei, das ist auch irgendwie dämlich, angenommen du hats da eine mehrzeilige crypto ACl mit vielleich noch n paar gut gefüllten object-groups drin und ein Grossteil davon benutzt den Tunnel grade wird die Ausgabe recht lang, denn für jede "benutzte" zeile der ACL gibts eine SA

[Servidge 10]

Mit dem befehl 'crypto logging session' bekommst du Logmeldungen wenn Verbindungen up oder down gehen.

sieht dann so aus:

Jan 18 03:12:00: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer x.x.x.x:4500 Id: 192.168.0.254

Jan 18 03:12:00: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer y.y.y.y:4500 Id: 192.168.1.254

Jan 18 23:50:53: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer x.x.x.x:4500 Id: 192.168.0.254

Jan 18 23:50:53: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer y.y.y.y:4500 Id: 192.168.1.254

 

Die sind per Syslog auswertbar.

Wenn es nen SNMP Trap sein soll musst du dann per EEM auf das Event triggern.

[glady 10]

Das ist ja ein toller Befehl!!!

 

Kannst Du das mit dem EEM und SNMP Trap erklären? Gibt es vielleicht ein Anfänger-Dokument für dieses Thema, vor allem EEM?

 

Ist EEM ein Stück Software, das man erwerben muss?

[Wordo 11]

Category:EEM - CT3

 

Das ist bei neuen IOS Versionen dabei ..

[Servidge 10]

Naja, EEM ist schon nen bisschen länger in den IOS Versionen dabei. Der Funktionsumfang ist nur unterschiedlich.

Kommt immer auf den Versuch an.

Für eine funktionierende Konfig müsste ich auch erst noch etwas basteln.

 

Eine andere Möglichkeit wäre noch ein Tunnel (GRE) über die Verbindung zu legen.

Der geht dann auch down wenn die VPN Verbindung weg ist. Das Tunnel Interface ist dann wie jedes andere Interface abfragbar.

Die Gegenseite muss das dann halt auch unterstützen.

 

Von wie vielen VPN Verbindungen wird denn hier gesprochen?

[glady 10]

Die Gegenstelle ist immer unterschiedlich, z.B. Linus, Astaro, Soniqwall, Checkpoint, ...

Um die 300 IPSec-Tunnel sollen überwacht werden.

[Servidge 10]

Bei so vielen Verbindungen zu unterschiedlichen Endpunkten wird das nichts mit den GRE Tunneln.

 

Das 'crypto logging session' und die Auswertung scheint das best geeignete.

Das einfachste wäre das Logging per syslog zu Sammeln und es dann auszuwerten.

 

Da ich ja auch die Möglichkeit der Traps mit dem EEM vorgeschlagen habe hier die nötigen Konfigzeilen.

Das ist aber nur auf die Schnelle zusammenkopiert. Schön ist der Trap nicht da im Grunde nur die Logzeile als Trap versendet wird.

Wenn nur das UP/DOWN und Peer und oder Id benötigt werden muss halt vor dem Trap versenden etwas daran "gearbeitet" werden.

 

snmp-server enable traps event-manager

snmp-server host 10.10.0.200 version 2c COMMUNITY

event manager applet BSP-VPN-SESSION

event syslog pattern "CRYPTO-5-SESSION_STATUS: Crypto tunnel is"

action 50 snmp-trap strdata "EEM Meldung $_syslog_msg"