Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    SNMP Inter LAN

    Français
    3
    18
    2227
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fred74 last edited by

      Bonjour,
      Je commence avec PFSENSE et je souhaiterai récupérer des informations SNMP de mes LAN sur mon serveur qui se trouve dans ma DMZ.
      J'espère être le plus carré possible dans ma présentation pour mon premier post.
      Si vous pouviez m'aider.
      D'avance merci

      Contexte : Lycée Professionnel Privé

      Besoin : Faire transité des requetes SNMP entre entre mes différents LAN

      Schéma :

      WAN (modem/routeur/box) : 1 box, WAN configuré en DHCP

      LAN : 2 LAN, 1 LAN Pédagogique 192.168.3.0/24, pas de DHCP et 1 LAN Administratif 192.168.2.254/24, pas de DHCP

      DMZ : 1 LAN Applications 192.168.1.0/24, pas de DHCP

      WIFI : Pas de WIFI

      Autres interfaces :

      Règles NAT : forward, 2 règles, LAN PEDA net Port 80 vers port 3128, LAN PEDA net Port 443 vers port 3128

      Règles Firewall : LAN APPLI Anti-lockout Rule; toutes les sources, ports 161 et 162 vers toutes destinations ports 161 et 162
        LAN ADMIN toutes les sources, ports 161 et 162 vers toutes destinations ports 161 et 162
        LAN PEDA toutes les sources, ports 161 et 162 vers toutes destinations ports 161 et 162

      Packages ajoutés : Squid Proxy Server, Reverse Proxy, SquidGuard Proxy Filter

      Autres fonctions assignées au pfSense :

      Question : J'heberge sur mon LAN APPLI mon serveur NAGIOS/CENTREON, il a comme IP:192.168.1.5/24.
      Je souhaiterai que qu'il puisse récupérer les informations SNMP des LAN PEDA et Administratif.
      Je pensais que les règles que j'ai mis en place pouvaient suffir.

      Pistes imaginées

      Recherches :Forums et tutos

      1 Reply Last reply Reply Quote 0
      • J
        jdh last edited by

        Bonne utilisation du formulaire. A continuer …
        Une copie d'écran des Firewall > Rules eut été meilleure ...

        Il est essentiel de comprendre qu'avec pfSense, il faut créer des règles dans l'onglet de l'interface d'arrivée.

        si le srv Nagios est dans LAN_APPLI et qu'il interroge des machines dans LAN_PEDA, il faut une règle :
        Interface source = LAN_APPLI
        Proto = UDP car SNMP utilise UDP (et non TCP)
        IP source = srv Nagios
        Port source = NE SURTOUT PAS PRECISER !!!!
        IP destination = LAN_PEDA subnet
        Port source = 161 (devrait être suffisant)

        Votre erreur est de penser que le port source est fixe et =161, ce qui n'est certainement pas le cas !

        Cf les docs (de base) :

        • http://irp.nain-t.net/doku.php/215snmp:start (L'excellent Chistian CALECA)
        • https://fr.wikipedia.org/wiki/Simple_Network_Management_Protocol (Wikipedia : très général)
        1 Reply Last reply Reply Quote 0
        • F
          fred74 last edited by

          Merci pour votre réponse.
          Je m'etais trompé!
          Je vous mets une copie d'écran de ce que j'avais fais.

          Je fais la modification et je vous tiens au courant.

          Merci


          1 Reply Last reply Reply Quote 0
          • F
            fred74 last edited by

            Cela ne communique pas.
            Je mets 2 copies d'écran de mes Rules, une du LAN APPLI et une du LAN PEDA.

            Merci concernant les liens, celui de C. Caleca, je connais, je vais le consulter régulièrement, très bon travail!




            1 Reply Last reply Reply Quote 0
            • J
              jdh last edited by

              Il est essentiel de commencer par assurer que les machines se 'voient' : test via ping (autoriser icmp/8)

              Une fois que les machines se voient, on teste le protocole cible, et au besoin on vérifie le départ et l'arrivée des paquets (nmap).

              Le filtrage ne s'écrit que pour le 1er paquet : m'est avis que pour la zone avec srv : udp/161 vers LAN_(autres) suffit, car le paquet retour est automatiquement accepté.

              A minima, ajouter des logs dans la règle pour voir la traversée.

              1 Reply Last reply Reply Quote 0
              • F
                fred74 last edited by

                Test du Ping OK dans les deux sens.
                Après, nmap, je ne connais pas bien…

                1 Reply Last reply Reply Quote 0
                • Tatave
                  Tatave last edited by

                  Salut salut

                  Pour cette partie la je te conseillerais de te rapprocher d'un forum spécialisé sur la supervision ou tu pourras plus facilement apprendre et comprendre.

                  Celui ci http://forums.monitoring-fr.org/index.php est un forum francophone dédié à la supervision.
                  Une fois assimilé et compris comment faire tu pourras facilement mettre en place sur pfsense et à travers lui, le protocole nmap / snmp.

                  Tiens nous au courant de l'évolution de ton problème.

                  Cordialement.

                  1 Reply Last reply Reply Quote 0
                  • F
                    fred74 last edited by

                    Je connais bien le site car je m'en suis servi pour mettre en place ma solution de Monitoring.
                    Tout fonctionnait correctement.
                    J'ai changé de "machine" pour faire mon "routage et filtrage" avant j'utilisais ,https://fr.wikipedia.org/wiki/Amon_%28serveur%29 j'avais bien la communication entre mes LAN
                    Pour des raisons technique, je suis passé à PFSENSE et c'est là que je bloque…

                    1 Reply Last reply Reply Quote 0
                    • Tatave
                      Tatave last edited by

                      salut salut

                      je connais , mais ce n'est votre support académique qui gère ce machine la (slice/amont) ?

                      Quoi qu'il en soit celà ne depend plus de pfsense .

                      Con courage pour la suite.

                      1 Reply Last reply Reply Quote 0
                      • F
                        fred74 last edited by

                        Pardon pour la confusion, mais vous ne m'avez pas compris.
                        J'ai arrêté AMON pour passer à PFSENSE.
                        Je n'utilise plus AMON, j'utilise PFSENSE, donc plus rien à voir avec le support académique.
                        Et c'est donc pour cela que je suis sur le Forum PFSENSE. Pour chercher de l'aide concernant PFSENSE.
                        Cordialement

                        1 Reply Last reply Reply Quote 0
                        • Tatave
                          Tatave last edited by

                          Pas de soucis.

                          Effectivement vous êtes bien sur le bon forum ^^.

                          Nous pourrons vous aider, ou du moins essayer de vous aider.

                          1 Reply Last reply Reply Quote 0
                          • F
                            fred74 last edited by

                            Merci et désolé pour cette confusion.
                            J'essaie d'être le plus précis possible pour pouvoir faire avancé mon petit souci.

                            1 Reply Last reply Reply Quote 0
                            • J
                              jdh last edited by

                              Test de ping OK : dans les 2 sens OK !
                              'Dans les 2 sens' est un peu ambigu : il est encore mieux de faire 2 tests de ping : un depuis chaque machine

                              Un fois cela confirmé, je suppose que le Nagios tournant sous Linux, il est alors possible de tester via une commande 'snmpwalk' pour voir ce qui est lisible depuis la machine testée.

                              cf un bon exemple : https://blog.cedrictemple.net/239-faire-des-requetes-snmp-en-ligne-de-commande-sous-linux

                              NB : je ne connais que grossièrement Nagios : j'ai fais le choix Zabbix et je ne le regrette pas (Zabbix sait faire du snmp mais agit mieux avec agent).

                              1 Reply Last reply Reply Quote 0
                              • F
                                fred74 last edited by

                                Pardon,

                                Test Ping depuis le serveur Nagios vers une machine monitorée, OK
                                Test Ping depuis une machine monitorée vers serveur Nagios, OK

                                Serveur Nagios, oui, sous Linux. Précisement je suis parti sur une base FAN. https://fr.wikipedia.org/wiki/Fully_Automated_Nagios

                                Le serveur Nagios fonctionne car le monitoring sur le LAN APPLI ou DMZ ( 192.168.1.0/24) me remonte toutes mes "Informations"

                                Je vais prendre le temps de lire cet exemple et je reviens vers vous.

                                1 Reply Last reply Reply Quote 0
                                • F
                                  fred74 last edited by

                                  Premier retour,
                                  Je viens de finir de simuler mon réseau PRO chez moi en virtualisant celui-ci.
                                  Donc, 3 LAN dont 1 Admin, 1 Peda, 1 DMZ.
                                  Le serveur FAN dans la DMZ, 1 W7 dans Admin, 1 Lubuntu dans Peda, 1 Centos (serveur Web) dans la DMZ.

                                  Tout fonctionne correctement, toutes mes remontées se font vers FAN.

                                  J'ai mis des Rules: LAN -> any pour tous

                                  Donc sur mon réseau PRO, c'est mes rules qu'ils faut que je corrige mais sans pour autant compromettre ma sécurité.

                                  Bon WE @ tous

                                  1 Reply Last reply Reply Quote 0
                                  • F
                                    fred74 last edited by

                                    Retour PRO,
                                    Bonjour,
                                    Je reviens vers vous pour vous dire que tout était rentré dans l'ordre.
                                    Toutes mes "infos" remontent de tous mes serveurs et "matériels" vers mon serveur FAN.
                                    J'ai revu toutes mes rules, tout remis à 0.
                                    Et surtout, et je pense que c'est de là que venait le problème, j'ai remonté toute ma configue sur mon serveur FAN et Reboot.
                                    Et voilà, ça fonctionne.

                                    Merci @ tous pour vos informations, @ bientôt.

                                    Je clôture le ticket.

                                    1 Reply Last reply Reply Quote 0
                                    • Tatave
                                      Tatave last edited by

                                      Salut salut

                                      personnellement (et d'autre) je pense que cela ne pouvait pas en etre autrement.

                                      Ne perdez pas de vu qu'entre le monde du pingouin et celui des diablotins il y beaucoup de similitudes, mais aussi et surtout des différences dans les modes de penser.
                                      C'est ce qui a mon avis vous à induit en erreur au départ.

                                      Dans votre cas, vous avez sur prendre en compte les informations et les mettre en pratique pour que vous trouviez vous même la solution.
                                      Cela n'est il pas plus gratifiant que de voir fournir la solution toute prête sans vous faire réfléchir au pourquoi du comment de vos erreurs ?

                                      Cordialement.

                                      1 Reply Last reply Reply Quote 0
                                      • F
                                        fred74 last edited by

                                        Oui et c'est aussi comme cela que l'on apprend.
                                        C'est juste aussi qu'il faut arriver à pouvoir prendre du recule pour analysé d'une autre manière. Et la petite aide qui peut donner le déclic est la bienvenue.
                                        Merci @ tous.

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post

                                        Products

                                        • Platform Overview
                                        • TNSR
                                        • pfSense
                                        • Appliances

                                        Services

                                        • Training
                                        • Professional Services

                                        Support

                                        • Subscription Plans
                                        • Contact Support
                                        • Product Lifecycle
                                        • Documentation

                                        News

                                        • Media Coverage
                                        • Press
                                        • Events

                                        Resources

                                        • Blog
                                        • FAQ
                                        • Find a Partner
                                        • Resource Library
                                        • Security Information

                                        Company

                                        • About Us
                                        • Careers
                                        • Partners
                                        • Contact Us
                                        • Legal
                                        Our Mission

                                        We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                        Subscribe to our Newsletter

                                        Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                        © 2021 Rubicon Communications, LLC | Privacy Policy