IPSec VPN Tunnel überwachen

[glady]

Hallo,

ich würde gerne mehrere VPN-Tunnel auf einem Cisco Router überwachen, ohne dafür auf der Gegenseite eine IP-Adresse pingen zu müssen.

Gibt es eine Möglichkeit, dies mit snmp und z.B. Nagios umzusetzen?

glady

[Otaku19]

gibts sicher ne mib die einem sh crypto ipsec sa peer x.x.x.x abrufen kann würde ich mal tippen

[Wordo]

Wenn du das IPSec mit SVTI konfigurierst solltest du das line protocol schon monitoren koennen ...

Im Zweifelsfall mit EEM.

[glady]

SVTI ist weniger das Problem. Aber wir haben auch IPSec Verbindungen, SVTI ist ja Cisco proprietär, weshalb ich vorhandene VPN-Tunnel zu z.B. Checkpoint nicht durch ein SVTI ablösen kann.

Ist der Befehl "sh crypto ipsec sa peer x.x.x.x" richtig, zum Abfragen, ob der Tunnel up oder down ist?

Was bedeutet EEM?

[Wordo]

embedded event manager ... damit kannste (IOS vorrausgesetzt) aufgrund von Systemevents bestimmte Aktionen ausfuehren lassen.

[Otaku19]

Zitat von glady Ist der Befehl "sh crypto ipsec sa peer x.x.x.x" richtig, zum Abfragen, ob der Tunnel up oder down ist?

Damit sieht man ob zu peer sowieso SAs offen sind...wobei, das ist auch irgendwie dämlich, angenommen du hats da eine mehrzeilige crypto ACl mit vielleich noch n paar gut gefüllten object-groups drin und ein Grossteil davon benutzt den Tunnel grade wird die Ausgabe recht lang, denn für jede "benutzte" zeile der ACL gibts eine SA

[Servidge]

Mit dem befehl 'crypto logging session' bekommst du Logmeldungen wenn Verbindungen up oder down gehen.
sieht dann so aus:
Jan 18 03:12:00: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer x.x.x.x:4500 Id: 192.168.0.254
Jan 18 03:12:00: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. Peer y.y.y.y:4500 Id: 192.168.1.254
Jan 18 23:50:53: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer x.x.x.x:4500 Id: 192.168.0.254
Jan 18 23:50:53: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is UP . Peer y.y.y.y:4500 Id: 192.168.1.254

Die sind per Syslog auswertbar.
Wenn es nen SNMP Trap sein soll musst du dann per EEM auf das Event triggern.

[glady]

Das ist ja ein toller Befehl!!!

Kannst Du das mit dem EEM und SNMP Trap erklären? Gibt es vielleicht ein Anfänger-Dokument für dieses Thema, vor allem EEM?

Ist EEM ein Stück Software, das man erwerben muss?

[Wordo]

Category:EEM - CT3

Das ist bei neuen IOS Versionen dabei ..

[Servidge]

Naja, EEM ist schon nen bisschen länger in den IOS Versionen dabei. Der Funktionsumfang ist nur unterschiedlich.
Kommt immer auf den Versuch an.
Für eine funktionierende Konfig müsste ich auch erst noch etwas basteln.

Eine andere Möglichkeit wäre noch ein Tunnel (GRE) über die Verbindung zu legen.
Der geht dann auch down wenn die VPN Verbindung weg ist. Das Tunnel Interface ist dann wie jedes andere Interface abfragbar.
Die Gegenseite muss das dann halt auch unterstützen.

Von wie vielen VPN Verbindungen wird denn hier gesprochen?