Net-SNMPd, Monitoring einer "Freetz.Box" mit Icinga

[PsYDoX]

Hallo zusammen,

ich bin noch ganz neu hier aber bin begesitert vom Freetz.
Ich habe mir ein Image gebaut für meine 7270v3 und dort die net-snmp plugins eingebunden.
Wenn ich jetzt mit meinem Icinga-Server meine Fritzbox überwachen möchte, (der Server steht nicht bei mir Zuhause, sondern bei Strato) passiert beim check einfach mal nix....

./check_snmp -H IP.VON.MIR -o system

es kommt nichts zurück, die Anfrage läuft quasi endlos weiter, weiß jetzt aber auch nicht wo ich etwas finden kann.
Der Dienst vom Freetz läuft... und in der snmpd.conf hab ich noch folgendes ergänz: com2sec readonly IP.VON.MEINEM.SERVER public

jemand eine idee??

 

[olistudent]

Ich kenne mich mit Net-SNMPd nicht aus. Du scheinbar schon? Gibt es da keine Debug-Möglichkeiten? Der schickt doch bestimmt Pakete übers Netzwerk? Könntest du die nicht mit Wireshark, tcpdump oder ähnlichem mitschneiden?

Gruß
Oliver

 

[PsYDoX]

Also ich bin nun etwas schlauer....
Local auf der Fritz.Box funktioniert ein SNMP walk problemlos.
Auf meinem Server allerdings bekomme ich beim abfragen der Box einen Timeout.
snmpwalk -c public -v2c IP.MEINER.FRITZ.BOX
snmpwalk: Timeout

Ich weiß nicht genau wieso, ich habe die snmpd.conf angepasst dass nur mein server zugreifen darf. dann funktioniert der walk auch nicht mehr local auf der box.
Aber der Server kann es immernoch nicht.
Eventuell wird hier seitens der EWE-Tel der Port für SNMP geblockt.

Ich glaube nicht dass die FB das Signal schon wegblockt... Oder?
Die Firewall ist ja nur für die Computer dahinter.... Portfreigaben für die FB selbst gehen ja meines Wissens nach nicht

 

[olistudent]

Hast du meine Antwort gelesen? Ich denke immer noch, dass du den Netzwerkverkehr mit Wireshark analysieren solltest. Dann siehst du wo die Pakete hängenbleiben...

Gruß
Oliver

 

[PsYDoX]

Hast du meine Antwort gelesen? Ich denke immer noch, dass du den Netzwerkverkehr mit Wireshark analysieren solltest. Dann siehst du wo die Pakete hängenbleiben...

Gruß
Oliver

Also bei meiner Box kommt nix an....... zumindest kann ich das ja nicht sehen da mein pc ja HINTER der box hängt und ich direkt auf der box ja kein wireshark laufen lassen kann
Das einzige was noch tu testen wäre ist vom root-server ob die packete rausgehen. allerdings zeigt der test mit anderen servern dass es geht.
Meine Vermutung ist stark dass hier Seitens der EWE-Tel was geblockt wird....
Mal heute Abend mit den Leuten da telefonieren, ich denke mal ich spreche dann zuviel chinesisch

 

[JohnDoe42]

... und ich direkt auf der box ja kein wireshark laufen lassen kann

Jein ...

Grüße,

JD.

 

[PsYDoX]

OK es scheint ein SNMP Request an zu kommen aber irgendwie passiert damit nix

 

[JohnDoe42]

Könntest Du mal eine .config posten ?
Steht etwas in den syslogs der Box ?

 

[olistudent]

In deinem Log sieht man den Request der an der FritzBox ankommt? Aber die FritzBox antwortet nicht darauf? Sieht mir nach einem Problem fürs Net-SNMPd Forum aus. Wenn der Server läuft gibt es aus meiner Sicht 2 Möglichkeiten:
1. Er lauscht auf einem falschen Interface/Port.
2. Er beantwortet das Paket absichtlich nicht.

Beide Probleme haben wahrscheinlich nichts mit Freetz zu tun...

Gruß
Oliver

 

[PsYDoX]

In deinem Log sieht man den Request der an der FritzBox ankommt? Aber die FritzBox antwortet nicht darauf? Sieht mir nach einem Problem fürs Net-SNMPd Forum aus. Wenn der Server läuft gibt es aus meiner Sicht 2 Möglichkeiten:
1. Er lauscht auf einem falschen Interface/Port.
2. Er beantwortet das Paket absichtlich nicht.

Beide Probleme haben wahrscheinlich nichts mit Freetz zu tun...

Gruß
Oliver

Zu 1. Das kann ich ausschließen.

root@fritz:/var/mod/root# netstat -l
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
udp        0      0 0.0.0.0:snmp            0.0.0.0:*

Hier fehlt mir das "LISTEN" als status... aber ansonsten passiert da was...

Zu 2. Wie meinst du das? Fehlkonfiguration der snmpd.conf?
Sieht so aus:

syslocation System Location
syscontact [email protected]

#      sec.name   source          community (password) 
com2sec Mybox     localhost          public 
com2sec icinga     IP.VOM.REMOTE.SERVER     public 
com2sec Outside   default            public 
#      group.name sec.model  sec.name 
group   RWGroup    v2c       Mybox 
group   ROGroup    v1        icinga 
group   ROGroup    v2c       icinga 
group   Others     v2c       Outside 
view all     included  .1        80 
view system  included  system    fe 
#              context sec.model sec.level prefix  read    write  notif 
access  ROGroup   ""      any    noauth    exact   all     none   none 
access  RWGroup   ""      v2c    noauth    exact   all     all    all 
access  Others    ""      v2c    noauth    exact   system  none   all

 

[RalfFriedl]

Wie meinst du das? Fehlkonfiguration der snmpd.conf?

Also nochmal langsam zum mitschreiben, was bereits weiter oben geschrieben wurde:
Hier geht es um Freetz, das ist kein Freetz Problem.
Entweder kennst Du Dich mit SNMP gut genug aus, um die Konfiguration selbst hin zu bekommen, oder Du suchst Informationen dazu irgendwo, wo SNMP das Thema ist und sich die Leute damit auskennen.

 

[PsYDoX]

Hmm OK,

aber vielleicht kann mir einer sagen wo die Datei die in einem "normalen" linux eigentlich hier "/etc/default/snmpd" liegt sich im freetz befindet.
Dort soll ein eintrag drinn sein der nur localhost erlaubt......
hab so eine eähnliche gefunden...
"/etc/default.netsnmp/netsnmp.cfg" allerdings read-only komme da nicht drann
oder gibts nen trick diese datei zu bearbeiten?

 

[RalfFriedl]

Wenn Du mal in /etc/default.netsnmp/netsnmp.cfg hinein geschaut hast, siehst Du, dass dort nur NETSNMP_ENABLED='no' steht. Man ändert das, indem man im Web-Interface einstellt, dass SNMP gestartet werden soll. Offensichtlich hast Du es geschafft, netsnmp zu starten (#10, Punkt 1).

Die Konfiguration steht in /tmp/flash/snmpd.conf. Die Konfiguration kann man ebenfalls über das Web-Interface bearbeiten. Offensichtlich hast Du auch das geschafft (#10, Punkt 2).

 

[RomMon]

@PsYDox,

Two things you can look into:
1) Try with a more simple snmpd.conf file:

rocommunity <public_community_string>
rwcommunity <private_community_string>

But only for testing, as everyone that knows your ip-address and your community string can access your FB via snmp.

My setup is described here: http://freetz.org/wiki/packages/netsnmp.en

I can access it from a pc from within my priviate IP address range:

C:\WINDOWS\system32>c:\usr\bin\snmpwalk -v2c -c <community_string> 192.168.178.1  1.3.6.1.2.1.2.2.1.2
IF-MIB::ifDescr.1 = STRING: lo
IF-MIB::ifDescr.2 = STRING: sit0
IF-MIB::ifDescr.3 = STRING: cpmac0
IF-MIB::ifDescr.4 = STRING: eth0
IF-MIB::ifDescr.5 = STRING: lan
IF-MIB::ifDescr.6 = STRING: guest
IF-MIB::ifDescr.19 = STRING: wifi0
IF-MIB::ifDescr.20 = STRING: wifi1
IF-MIB::ifDescr.25 = STRING: ath0
IF-MIB::ifDescr.26 = STRING: ath1
IF-MIB::ifDescr.37 = STRING: dsl
IF-MIB::ifDescr.38 = STRING: adsl
IF-MIB::ifDescr.43 = STRING: sixxs
C:\WINDOWS\system32>

2) I suspect you need portforwarding enabled to get outside traffic to destination port 161 forwarded to 192.168.178.1.
From FB web-interface:
Internet > Permit Access > New port forwarding >

Port forwarding enabled for: Other applications
Name: SNMP
Protocol: UDP
From Port: 161 to 161
To Computer: enter IP manually
To IP Address: 192.168.178.1
To Port: 161