SNMP UCS - via Paessler prtg (Monitoring)

Hi Leute,

wir würden gerne “SNMP” via “Paessler prtg” nutzen, jeodoch scheint es bei Univention dort Probleme mit der Firewall zu geben.

Gibt es hierfür eine Musterlösung “SNMP” nutzen zu können (Nicht über Nagios)??

Oder weiß jemand wie es möglich wäre einzelne Ports der Firewall auszuschalten, wir sind aus vorhanden Beiträgen nicht schlauer geworden??

Ich hoffe jemand kann uns weiterhelfen, vielen Dank im Vorraus.

LG

Putty

Huhu,

wie genau meinen Sie das? Wollen Sie eine Software auf einem UCS-Server laufen lassen, die via SNMP andere Geräte abfragt? Oder haben Sie woanders eine Software laufen, die per SNMP den UCS-Server abfragen soll?

Und warum sind Sie überzeugt, dass es Probleme wegen der Firewall auf dem UCS-Server gibt?

m.

Hi Moritz,

Danke für die Antwort. Wir haben woanders eine Software laufen und möchten mit dieser Software per SNMP den UCS-Server abfragen. Nur funktioniert es irgendwie nicht das wir den Server abfragen können, habe in einigen Beiträgen gelesen das es an der Univention Firewall liegen könnte.
Oder gibt es da andere Dinge die die Verbindung verhindern könnten?

LG

Putty

Huhu,

das kann definitiv an der Firewall liegen, die standardmäßig keine Verbindungen zum auf dem UCS-Server laufenden SNMP-Daemon zulässt. Hier gibt’s zwei Möglichkeiten:

  1. Installation des Univention-SNMP-Daemon-Integrationspakets: apt install univention-snmpd Das beinhaltet zum Einen eine gemanagete Konfigurationsdatei für den SNMP-Daemon, und zum Anderen fügt sie eine entsprechende Firewallregel hinzu.
  2. Manuelle Anpassung der Firewall. Dazu führen Sie die folgenden Befehle aus:
# Konfiguration setzen:
ucr set ucr set security/packetfilter/tcp/161/all=ACCEPT \
  security/packetfilter/tcp/162/all=ACCEPT \
  security/packetfilter/udp/161/all=ACCEPT \
  security/packetfilter/udp/162/all=ACCEPT
# Firewall neu starten und damit Konfiguration anwenden:
systemctl restart univention-firewall.service
# Prüfen, ob Regeln vorhanden sind (sollte vier Zeilen ausgeben):
iptables -L INPUT -nv|grep -E '16[12]'

Sie können in der Admin-Doku und der Entwickler-Referenz-Doku mehr zum Thema Firewall und Paketfilterregeln lesen.

Gruß
mosu

1 Like

Hi Mosu,

Vielen Dank für den Tipp, der Port scheint nun offen zu sein, jedoch ist es immernoch nicht möglich SNMP abzufragen mit unserem Programm. Gibt es noch andere Einstellungen die übernommen werden müssen?

LG

Putty

grafik

Dies wird in Univention nun auch angezeigt :-/

Huhu,

Läuft der Daemon denn? Funktioniert denn snmpwalk -v 2c -c public localhost? Und was genau bedeutet “es ist nicht möglich” — gibt’s ne Fehlermeldung (falls ja, welche), oder kommen nur nicht die Daten raus, die Sie haben wollen?

m.

Hi Mosu,

Der Befehl gibt folgendes aus:

grafik

Unser Problem ist wohl das die Daten nicht raus kommen so wie wir sie haben wollen.

LG

Putty

Huhu,

standardmäßig wird der User public nur reinen Lese-Zugriff auf die system-View haben, also auf die OID-Bäume .1.3.6.1.2.1.1 und .1.3.6.1.2.1.25.1. Kann man in /etc/snmp/snmpd.conf ändern.

Achtung: falls das Integrationspaket univention-snmpd verwendet wird, so wird diese Konfigurationsdatei von Univention gemanaget; manuelle Änderungen daran gehen verloren. In diesem Fall ist es vermutlich sinnvoller, auf das Paket zu verzichten. Alternativ kann man die Vorlage anpassen (/etc/univention/templates/files/etc/snmp/snmpd.conf.d/00-snmpd.conf), doch dann muss man sie bei Updates manuell prüfen (Befehl univention-check-templates) und ggf. Änderungen an neue Versionen der Datei manuell übernehmen.

Gruß
mosu

Hi Mosu,

wenn nach einem Univention Update wieder alle Änderungen an der snmpd.conf verloren gehen, dann werde ich dort lieber nichts weiter ändern.
Wir haben wohl zwei snmpd installiert, einmal von Univention und einmal ohne.
grafik
Hast du eventuell Teamviewer?

LG

Putty

Huhu,

snmpd ist der eigentliche Server, univention-snmpd nur das Integrationspaket, das u.a. die Firewallregeln setzt und die Konfiguration baut. Das univention-snmpd kann deinstalliert werden, wenn man diese Form der Integration nicht benötigt und selber Änderungen an der Konfiguration vornehmen möchte. Das Paket snmpd bleibt dabei installiert.

Sorry, aber ich mache keinen kostenlosen Support via TeamViewer.

m.

Welche werte sind notwendig zur Verbindung, die wir evtl. in unserem Programm eingeben?
grafik

Es sind haufenweise Dokumentationen zum Thema snmp im Netz verfügbar. Eine Schritt-für-Schritt Anweisung findet sich sogar im Forum von Paessler.

https://kb.paessler.com/en/topic/5353-monitoring-linux-problem-snmp-port-not-reachable

Wie Commit’e ich die Änderungen am Template?

ucr commit /etc/univention/templates/files/etc/snmp/snmpd.conf.d/00-snmpd.conf scheint nicht zu funktionieren … was vllt daran liegt, dass dieser Ordner weder existiert noch in der config inkludiert wird?

Mastodon