IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 18.06.2018, 19:09

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 39 Beiträge ]  Gehe zu Seite Vorherige 1 2 3
Autor Nachricht
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 17.01.2016, 18:36 
Offline
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
Benutzeravatar

Registriert: 26.06.2005
Beiträge: 19149
Wohnort: LDK | Hessen
United-Networking hat geschrieben:
Logisch fand ich eigentlich GREEN zu IPCop mit Portangabe

Für Grün OK, aber für Verbindung über IPsec brauchst du etwas anderes.
Z.B. als Quelle Schnittstelle IPsec-Rot.

_________________
/* Gruß weizen_42 */

Bild
| IPCop Doku | IPCop Galerie | IPCop Uptime | Ärger vermeiden |


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 29.01.2016, 17:01 
Offline
Constable
Constable

Registriert: 12.01.2016
Beiträge: 34
Wenn's richtig ist, müßte ja auf der Nagios-Kiste ein
Code:
nmap -Pn IPCOPHOST

einen offenen Port 5666 vom nachweislich lauschenden nrpe-daemon sehen.
Leider weder mit
Code:
IPSEC-ROT zu IPCOP (Port 5666)
noch
Code:
GRÜN (Nagios' subnet) zu IPCOP (Port 5666)
.
Und sowohl telnet als auch check_nrpe bekommen nur
Code:
Unable to connect to remote host: Connection refused
.

C'est la guerre.

Hat noch jemand eine Idee?
--
MfG,
-- United-Networking


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 02.02.2016, 08:53 
Offline
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
Benutzeravatar

Registriert: 26.06.2005
Beiträge: 19149
Wohnort: LDK | Hessen
Wo sind detaillierte Angaben? Du wirst auf beide IPCops ein Regel brauchen. Firewall-Protokoll aktivieren und beobachten dürfte helfen.

_________________
/* Gruß weizen_42 */

Bild
| IPCop Doku | IPCop Galerie | IPCop Uptime | Ärger vermeiden |


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 02.02.2016, 10:53 
Offline
Constable
Constable

Registriert: 12.01.2016
Beiträge: 34
Und immer noch die Frage: welche Regeln?

Die Situation ist folgende:
Nagios --- IPcop1 ---(VPN durch Internet)--- IPcop2 mi NRPE ---(div. weitere VPNs)---

Nagios soll mittels NRPE und check_ipsec2 die Gesundheit der weiteren VPNs erfahren können.

Firewallregeln (Logs sind aktiv):

  • Auf Verdacht (und weil hier mehrfach angeregt) hat der IPcop1 eine Regel für ausgehenden Traffic:
    Code:
    GRÜN (Nagioshost) zu ROT (Any:5666) erlauben
    Ich glaube ja das ist überflüssig, da ausgehender Traffic jeder Art mit der Standardeinstellung schon erlaubt ist. Oder ist das ein Denkfehler?
  • Der IPcop2 hat (nach einer Anregung hier)
    Code:
    IPSEC-ROT (Any) zu SCHWARZ (IPcop2:5666) erlauben
    .

Bei
Code:
telnet IPcop2 5666
auf dem Nagioshost steht im Firewall-Log von IPcop1 gar nichts, im Firewall-Log von IPcop2 dagegen
Code:
IPSEC-RED REJECT    wan-1   TCP    (Nagioshost) (random port) (Nagioshost-MACadr) (IPcop2) 5666


Mithin scheinen diese Regeln noch falsch bzw. Stochern im Dunkeln.

Welche Details fehlen noch?
--
MfG,
-- United-Networking

_________________
Mit freundlichen Grüßen,
-- UniNett


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 02.02.2016, 12:19 
Offline
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
Benutzeravatar

Registriert: 26.06.2005
Beiträge: 19149
Wohnort: LDK | Hessen
Auf IPCop1 brauchst du ein Regel mit Ziel IPsec-Rot, abhängig von Schnittstellenrichtlinien.

Dein Regel auf IPCop2 prüfen (10x wenn es sein muss). Was genau hast du erstellt und was genau steht im Firewall-Protokoll.

_________________
/* Gruß weizen_42 */

Bild
| IPCop Doku | IPCop Galerie | IPCop Uptime | Ärger vermeiden |


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 02.02.2016, 12:45 
Offline
Constable
Constable

Registriert: 12.01.2016
Beiträge: 34
Aha! Jetzt scheint's voran zu gehen.

Mit dem letzten Tipp bekommt der IOcop1 eine andere Regel für "Internen Traffic"
Code:
GRÜN (Nagioshost) zu IPSEC-ROT (Any:5666) erlauben


Damit und mit der letzten Regel für IPcop2
Code:
IPSEC-ROT (Any) zu SCHWARZ (IPcop2:5666) erlauben
kommt tatsächlich Verbindung von Nagioshost zum NRPE auf IPcop2 zustande!

Herzlichen Dank für die Hilfe!

Nun bleibt noch das Ausbaldowern der Kommandostruktur um IPsec zu überwachen...
--
MfG,
-- United-Networking

_________________
Mit freundlichen Grüßen,
-- UniNett


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 02.02.2016, 15:22 
Offline
Constable
Constable

Registriert: 12.01.2016
Beiträge: 34
So. In der Tat, Nagios kann so durch ein IPSec-VPN auf ein NRPE eines IPCop dahinter zugreifen.
Kommandos aus der dortigen nrpe.cfg ausführen klappt.

Außer für check_ipsec2.sh, da ist das Resultat von remote immer anders als lokal 8^( also der geprüfte Tunnel immer aus auch wenn er lokal als an testet. Aber das ist eine andere Geschichte.

Fazit:
NRPE für IPcop funktioniert auch mit IPcop 2.x! :)
--
MfG,
-- United-Networking

_________________
Mit freundlichen Grüßen,
-- UniNett


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 17.02.2016, 12:11 
Offline
Constable
Constable

Registriert: 12.01.2016
Beiträge: 34
Hallo,

mittlerweile wissen wir warum check_ipsec noch solche Probleme machte: es kann als der User nagios, als der der NRPE-daemon läuft, nicht /usr/sbin/ipsec ausführen.

In der NRPE-Doku.(https://exchange.nagios.org/components/com_mtree/attachment.php?link_id=5811&cf_id=24) ist dazu erwähnt, man solle nagios in /etc/sudoers aufnehmen. Nur ist laut http://www.ipcop-forum.de/forum/viewtopic.php?f=28&t=8685 sudo in IPcop nicht mehr gern gesehen, da es auf dem IPcop nur noch den einen User root geben solle - richtig?

Daher ist hier der extra User nagios für NRPE mittlerweile wohl ein Anachronismus.

Wir sehen da 3 Möglichkeiten damit umzugehen:
  • NRPE künftig als root betreiben
  • NRPE weiter als nagios, nötige Teilaktionen zB via fcron als root (haben wir für check_ipsec gewählt)
  • NRPE weiter als nagios, nötige Systemkommandos mit SUID-Bit als root

Wie sind eure Meinungen dazu?

_________________
Mit freundlichen Grüßen,
-- UniNett


Nach oben
   
 Betreff des Beitrags: Re: Nagios NRPE für IPCop 2.x
BeitragVerfasst: 22.02.2016, 15:58 
Offline
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
Benutzeravatar

Registriert: 26.06.2005
Beiträge: 19149
Wohnort: LDK | Hessen
Die 2. Lösung ist eindeutig die beste.

Als root lauft ein Cron-Skript mit genau 1 Zweck.
Nagios hat keine weitere Möglichkeiten da eingeschränkt über Benutzer Nagios.

_________________
/* Gruß weizen_42 */

Bild
| IPCop Doku | IPCop Galerie | IPCop Uptime | Ärger vermeiden |


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 39 Beiträge ]  Gehe zu Seite Vorherige 1 2 3

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de