PAT

phil123456

Bonjour,

je dois monitorer des machines LAN en SNMP (port 161)

les tutoriaux que j'ai trouve prennent l'exemple d'un seul serveur, mais la evidement va y'avoir plusieurs machines qui ecoutent sur le meme port

(edit : en plus les communications devront etre securisees, donc via vpn)

comment on fait dans ce cas la ?

merci

jdh

Vous vous êtes inscrit sur un forum sur pfSense.
Il y a donc des règles (minimales) à respecter :

• utiliser le formulaire présenté à https://forum.pfsense.org/index.php?topic=79600.0 (inratable !).
• chercher avant de poser une question.
• poser des questions concernant pfSense (spécifiquement !).

Je ne vois ni formulaire, ni recherche, ni question concernant pfSense (sauf vpn).

ccnet

Ce post initial me rappelle cette difficile question d'histoire : quel âge avait HenryIV ?

phil123456

ma question concerne pfsense désolé de ne pas l'avoir précisé, mais comme on est sur le forum pfsense ….
je me suis inscris et j'ai posé ma question, s'il y avait un formulaire a remplir, le site doit le proposer, ce n'est pas a moi de le deviner

Contexte: ...
Besoin:

je dois monitorer des machines locales via le web(vpn) a travers une box pfsense qui fait du load balancing et firewall WAN<>LAN

Schema:

client snmp -> internet -> pfsense -> plusieurs machines locales a monitorer

Question :

j'ai clairement cherché dans google avant de le faire
    voici le lien que j'avais trouvé mais qui ne parle que d'un seul port (html)/une seule machine a forwarder

http://www.it-connect.fr/port-forwading-sous-pfsense/#comment-139760

merci

chris4916

Tu auras plus de chance sur la section "anglaise" du forum qui n'est pas attachée à la même "étiquette"  ;)
Ceci étant, il y a effectivement, dans les "sticky topics", des messages qui disent "afin d'obtenir une aide efficace, il faut poser sa question de manière claire et voila comment procéder…"  ce qui a du sens.
Ici, ce conseil de bon sens est érigé en règle  ;)

Pour en revenir à ta question :

• si tu accèdes depuis le WAN, il faudrait effectivement faire du port forwarding, donc un port différent par machine à monitorer etc…
• si tu accèdes depuis un tunnel VPN, c'est beaucoup plus simple (en même temps que c'est plus sécurisé) puisque tu es connecté à un réseau qui est connu de pfSense, lequel est très probablement la default gateway des machines sur le LAN. C'est donc uniquement une question de règles de FW une fois que tu as établi ce tunnel.

Au choix IPsec ou OpenVPN, depuis la machine cliente ou de site à site selon ton infrastructure.

Commence donc par le tunnel et la problématique SNMP ne devrait plus en être une.. si tes règles de FW autorisent les flux.

jdh

Vous vous enfoncez tout seul !

Le post https://forum.pfsense.org/index.php?topic=79600.0 est en première page du forum français ('sticky post' = post épinglé) avec le titre 'A LIRE EN PREMIER: Charte à respecter pour la demande d'aide' donc totalement inratable !
Et ce n'est pas la caricature de réponse avec formulaire qui va vous rattraper !
Franchement vous partez mal …

Je ne suis pas spécialiste SNMP mais il est très évident que c'est un protocole 'local' et on ne doit PAS/JAMAIS passer par internet pour ce type d'interrogation : par exemple en SNMP v1, il suffit de connaitre la communauté pour avoir accès !
Il est FORCEMENT nécessaire d'avoir localement un serveur qui fera les interrogations SNMP !
Notez que je ne dénigre pas que SNMP utilise UDP car il existe de nombreux protocoles fiables qui utilisent UDP !

Ce qu'en dit Christian CALECA : http://irp.nain-t.net/doku.php/215snmp:start (et toutes les pages en dessous) (je regrette qu'il n'écrive pas comme moi qu'il ne faut pas utiliser snmp au travers d'internet).

Accéder plusieurs machines avec le même protocole derrière un firewall nat, est évidemment une gageure (et pour n'importe quel protocole), et ne concerne pas que pfsense.
Une solution évidente (trop ?) consiste à multiplier les ports : 161 -> machine 1, 162 -> machine 2, 163 -> machine 3 ...

Ce protocole s'adresse aux administrateurs, qui seront forcément à l'aise avec les bons schémas ...

phil123456

• merci pour les infos tres interessantes

• je m'enfonce tout seul ?? y'a t il une regle sacro-sainte ou une loi quelconque qui stipule "IL FAUT ABSOLUMENT LIRE LES STICKY POSTS !!!"  ?????????????

il faut comprendre que je suis sur 50 forums a la fois(sans exagerer) et que je travaille autant sur le support, le developpement et l'architecture,

donc désolé si j'ai loupé cette page, j'ai sincerement autre chose a f…. que de trainallier sur les details et des sticky posts """""""inratables"""""""

phil123456

je suis d'accord que "au mieux la question est rédigée, meilleur sera la réponse"

mai là ça dépasse l'entendement, c'est comme si on engueulait quelqu'un "quoi tu a cliqué sur j'accepte sans lire les conditions d'utilisation"

du grand délire, s c pour passer ses nerfs sur les gens, fallait faire flic et pas moderateur

et dire que je trouvais la politique de stackoverflow exagerée …..

chris4916

@jdh:

par exemple en SNMP v1, il suffit de connaitre la communauté pour avoir accès !
Il est FORCEMENT nécessaire d'avoir localement un serveur qui fera les interrogations SNMP !
Notez que je ne dénigre pas que SNMP utilise UDP car il existe de nombreux protocoles fiables qui utilisent UDP !

Ce qu'en dit Christian CALECA : http://irp.nain-t.net/doku.php/215snmp:start (et toutes les pages en dessous) (je regrette qu'il n'écrive pas comme moi qu'il ne faut pas utiliser snmp au travers d'internet).

SNMP reste malgré tout LE protocole privilégié lorsqu'il s'agit de collecter des données de type performance, état de services etc…
Bien sûr qu'il y a des solutions alternatives basées sur des agents locaux mais ce n'est ni toujours possible ni pratique lorsque tu possède déjà une plate-forme de monitoring qui s'appuie sur SNMP. Au final, c'est souvent un mixte des deux.

Si SNMP V1 est très largement pas sécurisé, il faut noter que :

• le monitoring s'appuie le plus souvent sur SNMP GET (ce qui ne signifie pas que ça ne présente aucun risque mais la nature de celui-ci est quand même différente)
• avec SNMP V2 et maintenant V3, il est tout à fait possible de mettre en œuvre du SNMP sécurisé

A mon avis, la question ici est plutôt VPN que SNMP.
Une fois le tunnel établi, je ne vois pas quelle difficulté phil123456 pourrait rencontrer dans la mise en œuvre de SNMP (sans discuter ici de est-ce que c'est le bon choix pour faire du monitoring)

phil123456

oui je pense que l'idee du vpn est interessante

par ailleurs "une machine locale qui monitore les autres machines"  il faut quant meme exporter ou voir les resultats du monitoring, donc passer par le web

si il faut passer par le web, on passera par le web, c'est inévitable

de plus le departement admin m'impose une license RPTG pour le monitoring, ce qui impose du snmp sous linux, on ne choisit pas toujours

de plus, je me fous pas mal que qqun voit les donnes de monitoring, a partir du moment ou il n'y a pas de faille =>vpn vpn vpn !!

le "snmp uniquement en protocol local" releve du doux reve (voire carrément d'une mentalite de fascho…)

chris4916

@phil123456:

oui je pense que l'idee du vpn est interessante
par ailleurs "une machine locale qui monitore les autres machines"  il faut quant meme exporter ou voir les resultats du monitoring, donc passer par le web
si il faut passer par le web, on passera par le web, c'est inévitable
le "snmp uniquement en protocol local" releve du doux reve (voire carrément d'une mentalite de fascho…)

Le problème c'est qu'on discute un peu dans le vide parce que, entre autres, la question ne précise pas où se situe, d'un point de vue réseau, la machine qui exécute les requêtes SNMP.

• Exécuter la requête pour collecter les résultats est une chose.
• afficher les résultats collectés en est une autre (et accéder à cet affichage peut encore être un aspect différent).

Pour illustrer mon propos :

• si le besoin est de pouvoir surveiller (en lecture) à distance (c'est à dire depuis internet) des process, du hardware etc… et que le protocole imposé est SNMP, rien n'interdit d'avoir une machine locale (sur le même LAN que les services à monitorer) qui exécute des requêtes SNMP, met en forme des graphes RRD accessibles via un serveur web local et mettre ensuite un reverse proxy accessible depuis internet qui donne un accès à ce serveur web interne.

On voit bien qu'avec ce design, il n'y a ni problématique SNMP via internet, ni même de problématique VPN.

La sécurité, au le segment internet, est gérée par le reverse proxy qui implémente HTTPS et demande, si nécessaire, l’authentification de l'utilisateur.

Ce n'est qu'un exemple, juste pour illustrer le fait qu'il faut bien définir et décrire quel est le besoin avant de pouvoir discuter de solutions car il y a de nombreuses manière d'arriver à des résultats qui, vus de très loin (e.g. "je veux monitorer des machines à distance") semblent équivalents mais qui, si on y regarde de plus près, sont fonctionnellement différents.

jdh

Quel que soit le forum, il y a un minimum de règles sur chacun.

Ici un certain nombre d'habitués ont souhaité qu'il y ait utilisation d'un formulaire simple d'emploi qui soit systématiquement utilisé.
L'intérêt évident est que le demandeur mette dès le départ des infos et le lecteur les trouve.
Ce formulaire peut prendre 10' et fait gagner un temps précieux à tous les lecteurs en évitant le fil qui multiplie les demandes de précision.
Cela s'appelle simplement le bon sens.

J'ai toujours noté, que ceux qui ne veulent pas se soumettre à cette simple formalité étaient toujours des emmerdeurs finis, sans compter qu'ils venaient et disparaissaient aussi vite, et qu'aucun n'a jamais partagé avec la communauté la moindre connaissance ! Ce sont juste des petits profiteurs qui ne font que passer …

Beau vocabulaire : flic, facho (et non fascho) : même certains finissant par embrasser un flic ... vous semblez très éloigné de la poésie ...