Bonjour,
 
Nous venons de remplacer nos firewall checkpoint (trop chers) par des netasq
Question: Comment faire pour monitorer un firewall netasq avec cacti?
J'ai bien activer snmp dans les services du netasq par contre un snmpwalk sur l'interface LAN 10.67.0.30 à partir du serveur cacti tombe en timeout...
Le serveur cacti monitore bien tout les équipements derriere le netasq sur l'interface LAN 10.67.0.0/255.255.0.0
 
Des idées?
 
Merci

as-tu bien autorisé ton serveur cacti à interroger le netasq sur "l'interface" 10.67.0.30  ?.
 

SNMP bien configuré des 2 côtés ?

En créant une règle explicite dans policy/filtering?

SNMP V1 ou V2 rien ne focntionne, communauté public

up

 
Oui et même 2 règles :
161 et 162 en UDP
 
Ou pour faire plus simple pendant tes tests :
srvcacti any 10.67.0.30 any
10.67.0.30 any srvcacti any

Déja essayé et pas de résultat concluant
Petite précision, mon serveur cacti est sur mon reseau local a paris 10.64.0.0/16 qui est relié en vpn a un site distant en 10.67.0.0/16
J'ai une regle any any du 10.67 au 10.64 et inversement

et dans la déclaration de "srvcacti" da

il en manque un bout ;-)

j'ai fait un snmpwalk sur le 10.67.0.30 a partir d'un serveur sur le reseau 10.67.0.0/16, cela fonctionne

 
Donc SNMP est ok.
 

 
Apriori le point qui pose soucis
Concrètement pour que cela marche il faudrait que le boitier fasse une "boucle" sur la communication : tu requête une interface (sous-entendu une carte réseau) mais sans que le paquet ne puisse la traverser ! Alors effectivement les pings fonctionnent (je crois que l'admin suite également) sur les interfaces lan à partir d'un vpn, sûrement grâce à un mécanisme de loopback interne ?! Mais j'aurais tendance à dire que c'est une exception et que ça ne devrait même pas fonctionner ...
 
Je mon avis perso (qui est peut-être faux hein, c'est mon ressenti ) pour que ça fonctionne il faudrait soit :
- voir avec le support ou un vrais Linuxien comment une interface peut répondre sans être traversé, peut-être en la faisant passer pour loopback. Quel fichier à modifier / commande à lancer ? Quel risque sur la réaction du boiter en prod ?
- activer le SNMP sur l'interface publique, du coup sans bénéficier du vpn et donc nécessairement un SNMP secure (v3 par ex).
 
En espérant avoir pu te donner quelques pistes.