Zum Inhalt wechseln


Foto

ASA, VPN Tunnel überwachen


  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 27. November 2014 - 07:34

Wir überwachen unsere VPN-Verbindungen zu unseren Remote-Standorten mittels PRTG.
Bei einem neuen VPN zu einem Partnern, wo wir Ressourcen nutzen, habe ich die Überwachung analog eingestellt und musste heute Morgen feststellen, dass diese Überwachung nur zu gut funktioniert :cool:

Mein Problem ist jetzt aber, dass der Tunnel, nachdem kein traffic mehr produziert wurde, sich abbaut und erst heute Morgen bei Anforderung durch initiierten traffic wieder hoch kam. Ehrlich gesagt hatte ich mir dazu noch nie Gedanken gemacht und würde nun gerne wissen, ob es einen Parameter gibt, wo der Tunnel ohne entsprechenden traffic abgebaut wird oder warum dieser bei unseren Remote-Standorten auch nachts immer up ist.



#2 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 27. November 2014 - 14:09

Was genau wird denn da gemonitored ?

 

bis auf herstellerspezifische Tunnel sind IPSEC tunnel nur solange vorhandne wie es auch eine SA gibt deren timer noch nicht abgelaufen sind.


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#3 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 27. November 2014 - 15:09

Ich prüfe einfach, ob der Tunnel aktiv ist oder nicht. Dazu gibt es in PRTG einen enstprechenden Sensor, der die ASA abfragt.



#4 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 28. November 2014 - 09:14

Ist eher "sinnfrei". Viel besser sind "end2End" Monitorings, sprich ein System bei euch kommuniziert mit einem System auf der Gegenseite. Bei Branch Offices etc ist das  sehr einfach zu regeln, wir haben zb ~50 Shops per VPN angebunden, jeder Shop hat zumindest einen Switch den wir erreichen können. Diese Verbindung zeigt duetlich ob das VPN funktioniert oder nicht, unabhängig ob vielleicht ein Tunnel/eine SA vorhanden ist.

 

Bei externen Partnern wirds da meist schon schwieriger, vor allem wenn das Anbindungen sind die nur inbound sind. Da würde ich sagen, Alarme zu tunnels die da down gehen ignorieren oder abdrehen, bei Variante 1 hätte man immerhin einen schönen Verlauf im PRTG wann der Tunnel down war und wann nicht. Das trifft aber keine 100% Aussage ob da auch traffic möglich war.

 

Alle Basteleien die ich kenne und die in Richtung "permanente Tunnels" gehen sind Krücken die mehr Probleme machen als sie lösen sollten...ergo, eine Phase1/2 hat ein timeout und das ist gut so :)


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#5 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 28. November 2014 - 10:04

Ok, habe jetzt die Eskalationsmeldungen deaktiviert. Da es ein externer Partner ist, kann ich auch nicht so ohne weiteres dort die Ressource permanent abfragen.