Мониторинг IPSec-туннелей по SNMP — как?

Question

[Sasha Odarchuk]

Всем привет!
Есть Mikrotik RB3011 в "центре" и много девайсов помельче в регионах (Mikrotik RB941 или Mikrotik RB951)
На каждом поднят IPSec-туннель в "центр".
Хочу мониторить каждый туннель по SNMP но микрот такие туннели "не считает" за интерфейсы :)
Как быть?

Comments

[Wexter]

что именно хотите мониторить: состояние? трафик? всё вместе?
состояние мониторится по доступности региональных из центра, трафик можно промониторить добавив в файрвол правило accept для ipsec трафика в каждый туннель и выдернув OID через консольку

Answer 1

[Vladimir Zhurkin]

Easy way to handle IPsec Tunnel Status on RouterOS\Mikrotik using SNMP

https://github.com/gitpel/routeros-ipsec-snmp

Comments

[CityCat4]

Ох ты ж твою поленом через коромысло! Еще не пробовал, но уже точно знаю, где мне это пригодится! Спасибо!

[Vladimir Zhurkin]

CityCat4, самое приятное то, что все очень просто. Настолько просто, что думаешь , как же я сам не догадался.

напиши тут , пусть будет

скрипт

# The simple script gives results of 0 or 1 after asking by SNMP (Script checks if phase 2 established with an SA Destination Address)
# Do not forget to use /32 on single IP

:local sadstip XXX.XXX.XXX.XXX/32

if ([/ip ipsec policy get value-name=ph2-state [find sa-dst-address=$sadstip]] = "established") do={
    :put 1
} else= {
    :put 0
}

How it works:

1) SNMP Asks for OID: 1.3.6.1.4.1.14988.1.1.18.1.1.2.X (Where last «X» is an SNMP ID number of a script in RouterOS\Mikrotik /system script)

2) RouterOS\Mikrotik automatically runs the script and returns a result to SNMP with 0 or 1 if IPsec Phase 2 Established with the IP

How to use it:

Create a copy of the script to your RouterOS/Mikrotik system > scripts
Name it for example as "probe-ipsec-x.x.x.x"
Enable SNMP on RouterOS\Mikrotik (we will use the version of SNMP v2c):

/snmp community set [ find default=yes ] addresses=0.0.0.0/0 write-access=yes
/snmp set contact="XXXXXXXXX" enabled=yes location="YYYYYYYYYY" trap-version=2

Download https://www.paessler.com/tools/snmptester for SNMP debugging also you can use *nix snmpget and snmpwalk (more info: https://wiki.mikrotik.com/wiki/Manual:SNMP#Run_Script)
Check OIDs of scripts that you have on your RouterOS\Mikrotik using SNMP walk and OID for scripts: 1.3.6.1.4.1.14988.1.1.8



Change 8 to 18 in OID: 1.3.6.1.4.1.14988.1.1.8.1.1.2.1 to 1.3.6.1.4.1.14988.1.1.18.1.1.2.1 to execute the script via SNMP and get results
Check result of the script that you have on your RouterOS\Mikrotik using SNMP get



Add the SNMP probe check to your SNMP Management System (In my case we will use PRTG)
Done
Now using SNMP you can ask and receive a result of the status of yours IPsec Tunnels
Using the same way you can get any other data from RouterOS\Mikrotik