SNMP Inter LAN

fred74

Bonjour,
Je commence avec PFSENSE et je souhaiterai récupérer des informations SNMP de mes LAN sur mon serveur qui se trouve dans ma DMZ.
J'espère être le plus carré possible dans ma présentation pour mon premier post.
Si vous pouviez m'aider.
D'avance merci

Contexte : Lycée Professionnel Privé

Besoin : Faire transité des requetes SNMP entre entre mes différents LAN

Schéma :

WAN (modem/routeur/box) : 1 box, WAN configuré en DHCP

LAN : 2 LAN, 1 LAN Pédagogique 192.168.3.0/24, pas de DHCP et 1 LAN Administratif 192.168.2.254/24, pas de DHCP

DMZ : 1 LAN Applications 192.168.1.0/24, pas de DHCP

WIFI : Pas de WIFI

Autres interfaces :

Règles NAT : forward, 2 règles, LAN PEDA net Port 80 vers port 3128, LAN PEDA net Port 443 vers port 3128

Règles Firewall : LAN APPLI Anti-lockout Rule; toutes les sources, ports 161 et 162 vers toutes destinations ports 161 et 162
LAN ADMIN toutes les sources, ports 161 et 162 vers toutes destinations ports 161 et 162
LAN PEDA toutes les sources, ports 161 et 162 vers toutes destinations ports 161 et 162

Packages ajoutés : Squid Proxy Server, Reverse Proxy, SquidGuard Proxy Filter

Autres fonctions assignées au pfSense :

Question : J'heberge sur mon LAN APPLI mon serveur NAGIOS/CENTREON, il a comme IP:192.168.1.5/24.
Je souhaiterai que qu'il puisse récupérer les informations SNMP des LAN PEDA et Administratif.
Je pensais que les règles que j'ai mis en place pouvaient suffir.

Pistes imaginées

Recherches :Forums et tutos

jdh

Bonne utilisation du formulaire. A continuer …
Une copie d'écran des Firewall > Rules eut été meilleure ...

Il est essentiel de comprendre qu'avec pfSense, il faut créer des règles dans l'onglet de l'interface d'arrivée.

si le srv Nagios est dans LAN_APPLI et qu'il interroge des machines dans LAN_PEDA, il faut une règle :
Interface source = LAN_APPLI
Proto = UDP car SNMP utilise UDP (et non TCP)
IP source = srv Nagios
Port source = NE SURTOUT PAS PRECISER !!!!
IP destination = LAN_PEDA subnet
Port source = 161 (devrait être suffisant)

Votre erreur est de penser que le port source est fixe et =161, ce qui n'est certainement pas le cas !

Cf les docs (de base) :

http://irp.nain-t.net/doku.php/215snmp:start (L'excellent Chistian CALECA)
https://fr.wikipedia.org/wiki/Simple_Network_Management_Protocol (Wikipedia : très général)

fred74

Merci pour votre réponse.
Je m'etais trompé!
Je vous mets une copie d'écran de ce que j'avais fais.

Je fais la modification et je vous tiens au courant.

Merci

CapturePFSENSE.PNG_thumb

fred74

Cela ne communique pas.
Je mets 2 copies d'écran de mes Rules, une du LAN APPLI et une du LAN PEDA.

Merci concernant les liens, celui de C. Caleca, je connais, je vais le consulter régulièrement, très bon travail!

CapturePFSENSE2.PNG_thumb

CapturePFSENSE3.PNG_thumb

jdh

Il est essentiel de commencer par assurer que les machines se 'voient' : test via ping (autoriser icmp/8)

Une fois que les machines se voient, on teste le protocole cible, et au besoin on vérifie le départ et l'arrivée des paquets (nmap).

Le filtrage ne s'écrit que pour le 1er paquet : m'est avis que pour la zone avec srv : udp/161 vers LAN_(autres) suffit, car le paquet retour est automatiquement accepté.

A minima, ajouter des logs dans la règle pour voir la traversée.

fred74

Test du Ping OK dans les deux sens.
Après, nmap, je ne connais pas bien…

Tatave

Salut salut

Pour cette partie la je te conseillerais de te rapprocher d'un forum spécialisé sur la supervision ou tu pourras plus facilement apprendre et comprendre.

Celui ci http://forums.monitoring-fr.org/index.php est un forum francophone dédié à la supervision.
Une fois assimilé et compris comment faire tu pourras facilement mettre en place sur pfsense et à travers lui, le protocole nmap / snmp.

Tiens nous au courant de l'évolution de ton problème.

Cordialement.

fred74

Je connais bien le site car je m'en suis servi pour mettre en place ma solution de Monitoring.
Tout fonctionnait correctement.
J'ai changé de "machine" pour faire mon "routage et filtrage" avant j'utilisais ,https://fr.wikipedia.org/wiki/Amon_%28serveur%29 j'avais bien la communication entre mes LAN
Pour des raisons technique, je suis passé à PFSENSE et c'est là que je bloque…

Tatave

salut salut

je connais , mais ce n'est votre support académique qui gère ce machine la (slice/amont) ?

Quoi qu'il en soit celà ne depend plus de pfsense .

Con courage pour la suite.

fred74

Pardon pour la confusion, mais vous ne m'avez pas compris.
J'ai arrêté AMON pour passer à PFSENSE.
Je n'utilise plus AMON, j'utilise PFSENSE, donc plus rien à voir avec le support académique.
Et c'est donc pour cela que je suis sur le Forum PFSENSE. Pour chercher de l'aide concernant PFSENSE.
Cordialement

Tatave

Pas de soucis.

Effectivement vous êtes bien sur le bon forum ^^.

Nous pourrons vous aider, ou du moins essayer de vous aider.

fred74

Merci et désolé pour cette confusion.
J'essaie d'être le plus précis possible pour pouvoir faire avancé mon petit souci.

jdh

Test de ping OK : dans les 2 sens OK !
'Dans les 2 sens' est un peu ambigu : il est encore mieux de faire 2 tests de ping : un depuis chaque machine

Un fois cela confirmé, je suppose que le Nagios tournant sous Linux, il est alors possible de tester via une commande 'snmpwalk' pour voir ce qui est lisible depuis la machine testée.

cf un bon exemple : https://blog.cedrictemple.net/239-faire-des-requetes-snmp-en-ligne-de-commande-sous-linux

NB : je ne connais que grossièrement Nagios : j'ai fais le choix Zabbix et je ne le regrette pas (Zabbix sait faire du snmp mais agit mieux avec agent).

fred74

Pardon,

Test Ping depuis le serveur Nagios vers une machine monitorée, OK
Test Ping depuis une machine monitorée vers serveur Nagios, OK

Serveur Nagios, oui, sous Linux. Précisement je suis parti sur une base FAN. https://fr.wikipedia.org/wiki/Fully_Automated_Nagios

Le serveur Nagios fonctionne car le monitoring sur le LAN APPLI ou DMZ ( 192.168.1.0/24) me remonte toutes mes "Informations"

Je vais prendre le temps de lire cet exemple et je reviens vers vous.

fred74

Premier retour,
Je viens de finir de simuler mon réseau PRO chez moi en virtualisant celui-ci.
Donc, 3 LAN dont 1 Admin, 1 Peda, 1 DMZ.
Le serveur FAN dans la DMZ, 1 W7 dans Admin, 1 Lubuntu dans Peda, 1 Centos (serveur Web) dans la DMZ.

Tout fonctionne correctement, toutes mes remontées se font vers FAN.

J'ai mis des Rules: LAN -> any pour tous

Donc sur mon réseau PRO, c'est mes rules qu'ils faut que je corrige mais sans pour autant compromettre ma sécurité.

Bon WE @ tous

fred74

Retour PRO,
Bonjour,
Je reviens vers vous pour vous dire que tout était rentré dans l'ordre.
Toutes mes "infos" remontent de tous mes serveurs et "matériels" vers mon serveur FAN.
J'ai revu toutes mes rules, tout remis à 0.
Et surtout, et je pense que c'est de là que venait le problème, j'ai remonté toute ma configue sur mon serveur FAN et Reboot.
Et voilà, ça fonctionne.

Merci @ tous pour vos informations, @ bientôt.

Je clôture le ticket.

Tatave

Salut salut

personnellement (et d'autre) je pense que cela ne pouvait pas en etre autrement.

Ne perdez pas de vu qu'entre le monde du pingouin et celui des diablotins il y beaucoup de similitudes, mais aussi et surtout des différences dans les modes de penser.
C'est ce qui a mon avis vous à induit en erreur au départ.

Dans votre cas, vous avez sur prendre en compte les informations et les mettre en pratique pour que vous trouviez vous même la solution.
Cela n'est il pas plus gratifiant que de voir fournir la solution toute prête sans vous faire réfléchir au pourquoi du comment de vos erreurs ?

Cordialement.

fred74

Oui et c'est aussi comme cela que l'on apprend.
C'est juste aussi qu'il faut arriver à pouvoir prendre du recule pour analysé d'une autre manière. Et la petite aide qui peut donner le déclic est la bienvenue.
Merci @ tous.