Überwachung von IPsec - Versionsgeschichte

Deko: Deko verschob die Seite Ueberwachung von IPsec nach Überwachung von IPsec und überschrieb dabei eine Weiterleitung

2020-05-06T06:34:56Z

Deko verschob die Seite Ueberwachung von IPsec nach Überwachung von IPsec und überschrieb dabei eine Weiterleitung

Deko: /* Ursache und Lösung */

2020-05-06T06:32:53Z

‎Ursache und Lösung

Deko: Deko verschob die Seite Überwachung von IPsec nach Ueberwachung von IPsec und überschrieb dabei eine Weiterleitung

2020-05-06T06:31:13Z

Deko verschob die Seite Überwachung von IPsec nach Ueberwachung von IPsec und überschrieb dabei eine Weiterleitung

Deko: Deko verschob die Seite Ueberwachung von IPsec nach Überwachung von IPsec

2020-05-06T06:28:31Z

Deko verschob die Seite Ueberwachung von IPsec nach Überwachung von IPsec

Deko: /* Symptom */

2020-05-06T06:25:17Z

‎Symptom

Deko am 6. Mai 2020 um 06:25 Uhr

2020-05-06T06:25:01Z

Deko: Die Seite wurde neu angelegt: „=== '''Symptom''' === Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die vers…“

2020-05-06T06:24:24Z

Die Seite wurde neu angelegt: „=== '''Symptom''' === Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die vers…“

Neue Seite

=== '''Symptom''' ===
Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die verschiedenen Hersteller, wie sie IPsec für sich interpretieren und auslegen, die jeweiligen Patchstände der VPN Partner, sowie natürlich die Expertise der Administratoren. Das kann schnell dazu führen über einen Cronjob täglich das VPN neu starten zu müssen, aber das geht auch smarter! 

=== '''Ursache und Lösung''' ===
Das Tool zur eigenen Überwachung von OPNsense nennt sich monit. Es ist in der Unix-Welt nicht ganz so bekannt, hat aber mit seiner eigenen Syntax ein sehr mächtiges Werkzeug. 
Wir richten also einen Service Test ein, der alle zwei Minuten einen IP des VPN Peer-Netzes pingt und bei Nichterreichen das VPN, neu startet. 
Hierzu gehen wir auf „Services – Monit“ und Aktivieren den Dienst, anschließend muss in „Service Test Settings“ ein neuer Test mit dem Namen IPSEC_ICMP_MONITOR anlegelegt werden und danach als „Condition“ „failed ping4 count 5 address 10.10.10.1“, wobei 10.10.10.1 durch die eigene LAN-IP ersetzt werden muss. Als „Action“ nehmen wir „Restart“. 
 
Als Nächstes gehen wir in die „Service Settings“ und legen dort einen Service mit dem Namen „RESTART_IPSEC“ an. Dabei ist „Type“ der „Remote Host“ und „Address“ die IP der Gegenseite (in deren Netz). „Start“ und „Stop“ dann jeweils: 
/usr/local/sbin/configctl ipsec start 
/usr/local/sbin/configctl ipsec stop 
Als “Tests” verlinken wir unseren IPSEC_ICMP_MONITOR und schon kann es losgehen! 

=== '''Tags''' ===
OPNsense IPsec Monit Überwachung 

=== '''Weiterführende Informationen''' ===
Mehr Informationen finden Sie unter https://www.max-it.de/loesungen/opnsense-firewall/ 

=== '''Links und Quellen''' ===
https://docs.opnsense.org/manual/monit.html 

=== '''Kontakt''' ===
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, 
melden Sie sich bitte bei uns unter [http://mailto:vertrieb@max-it.de vertrieb@max-it.de]. 

[[Kategorie: IT-Security]]

@@ Zeile 3: / Zeile 3: @@
 === '''Ursache und Lösung''' ===
-Das Tool zur eigenen Überwachung von OPNsense nennt sich monit. Es ist in der Unix-Welt nicht ganz so bekannt, hat aber mit seiner eigenen Syntax ein sehr mächtiges Werkzeug.<br>
+Das Tool zur eigenen Überwachung von OPNsense nennt sich ''monit''. Es ist in der Unix-Welt nicht ganz so bekannt, hat aber mit seiner eigenen Syntax ein sehr mächtiges Werkzeug.<br>
 Wir richten also einen Service Test ein, der alle zwei Minuten einen IP des VPN Peer-Netzes pingt und bei Nichterreichen das VPN, neu startet.<br><br>
 Hierzu gehen wir auf „Services – Monit“ und Aktivieren den Dienst, anschließend muss in „Service Test Settings“ ein neuer Test mit dem Namen IPSEC_ICMP_MONITOR anlegelegt werden und danach als „Condition“ „failed ping4 count 5 address 10.10.10.1“, wobei 10.10.10.1 durch die eigene LAN-IP ersetzt werden muss. Als „Action“ nehmen wir „Restart“.<br>

@@ Zeile 1: / Zeile 1: @@
 === '''Symptom''' ===
-Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die verschiedenen Hersteller, wie sie IPsec für sich interpretieren und auslegen, die jeweiligen Patchstände der VPN Partner, sowie natürlich die Expertise der Administratoren. Das kann schnell dazu führen über einen Cronjob täglich das VPN neu starten zu müssen, aber das geht auch smarter!<br><br>
+Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die verschiedenen Hersteller, wie sie IPsec für sich interpretieren und auslegen, die jeweiligen Patchstände der VPN Partner, sowie natürlich die Expertise der Administratoren. Das kann schnell dazu führen über einen Cronjob täglich das VPN neu starten zu müssen, aber das geht auch smarter!<br>
 === '''Ursache und Lösung''' ===

@@ Zeile 16: / Zeile 16: @@
 === '''Weiterführende Informationen''' ===
-Mehr Informationen finden Sie unter https://www.max-it.de/loesungen/opnsense-firewall/<br><br>
+Mehr Informationen finden Sie unter https://www.max-it.de/loesungen/opnsense-firewall/<br>
 === '''Links und Quellen''' ===
-https://docs.opnsense.org/manual/monit.html<br><br>
+https://docs.opnsense.org/manual/monit.html<br>
 === '''Kontakt''' ===
 Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,<br />
-melden Sie sich bitte bei uns unter [http://mailto:vertrieb@max-it.de vertrieb@max-it.de].<br /><br>
+melden Sie sich bitte bei uns unter [http://mailto:vertrieb@max-it.de vertrieb@max-it.de].<br />
 [[Kategorie: IT-Security]]

← Nächstältere Version	Version vom 6. Mai 2020, 06:34 Uhr
(kein Unterschied)

← Nächstältere Version	Version vom 6. Mai 2020, 06:31 Uhr
(kein Unterschied)

← Nächstältere Version	Version vom 6. Mai 2020, 06:28 Uhr
(kein Unterschied)