Назад | Перейти на главную страницу

Как контролировать Cisco IPsec VPN с Nagios?

Как контролировать Cisco IPsec VPN с Nagios? Я хочу проверить, может ли пользователь подключиться к VPN.

Пока ответы полезны, я бы начал с простого и проверял, доступно ли устройство cisco извне. Попросите внешний узел мониторинга за пределами вашей сети проверить устройство и посмотреть, доступен ли он.

Затем, если вы хотите получить более подробную информацию, добавьте внутренние проверки RADIUS.

Я часто увлекался внутренним мониторингом 5+ элементов, когда одна простая внешняя проверка выявила бы 99% ошибок, обнаруженных комбинацией элементов внутри.

Используйте команду check_snmp, чтобы получить обратно информацию о соединении, которая будет специфичной для вашего устройства / настройки, но в целом следует традиционной методологии Nagios. Найдите нужный OID, а затем установите порог предупреждения / критического значения - в моем случае это выглядит так:

check-snmp!.1.3.6.1.4.1.3076.2.1.2.17.1.1.0!COMMUNITY!22!24

Мои предупреждения / критические пороги в конце (22, 24) основаны на количестве DHCP-адресов, которые я разрешил этому VPN-серверу выделять удаленным клиентам. Запрашиваемый OID сообщает мне, сколько из них в настоящее время используется и отслеживается (таким образом, этот пул специфичен для этого VPN-устройства и не выдается другим демоном и т. Д.).

Если можете, постарайтесь сделать следующее:

  • Протестируйте серверную часть аутентификации - аутентифицируется ли ваш VPN по радиусу? если да, настройте nagios с помощью плагина radius.
  • Проверьте, нет ли пробелов во времени входа в VPN. Если у вас загруженный сервер vpn, скорее всего, вы видите логин хотя бы раз в 10 минут в рабочее время. У меня есть настраиваемый плагин nagios, который запрашивает базу данных учета радиуса и проверяет, входил ли кто-нибудь в систему за последние 10 минут.

Вышеупомянутые 2 «лишних» проверки оказались бесценными.