Überwachung von IPsec: Unterschied zwischen den Versionen
Deko (Diskussion | Beiträge) (→Ursache und Lösung) |
Deko (Diskussion | Beiträge) K (Deko verschob die Seite Ueberwachung von IPsec nach Überwachung von IPsec und überschrieb dabei eine Weiterleitung) |
(kein Unterschied)
|
Aktuelle Version vom 6. Mai 2020, 06:34 Uhr
Inhaltsverzeichnis
Symptom
Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die verschiedenen Hersteller, wie sie IPsec für sich interpretieren und auslegen, die jeweiligen Patchstände der VPN Partner, sowie natürlich die Expertise der Administratoren. Das kann schnell dazu führen über einen Cronjob täglich das VPN neu starten zu müssen, aber das geht auch smarter!
Ursache und Lösung
Das Tool zur eigenen Überwachung von OPNsense nennt sich monit. Es ist in der Unix-Welt nicht ganz so bekannt, hat aber mit seiner eigenen Syntax ein sehr mächtiges Werkzeug.
Wir richten also einen Service Test ein, der alle zwei Minuten einen IP des VPN Peer-Netzes pingt und bei Nichterreichen das VPN, neu startet.
Hierzu gehen wir auf „Services – Monit“ und Aktivieren den Dienst, anschließend muss in „Service Test Settings“ ein neuer Test mit dem Namen IPSEC_ICMP_MONITOR anlegelegt werden und danach als „Condition“ „failed ping4 count 5 address 10.10.10.1“, wobei 10.10.10.1 durch die eigene LAN-IP ersetzt werden muss. Als „Action“ nehmen wir „Restart“.
Als Nächstes gehen wir in die „Service Settings“ und legen dort einen Service mit dem Namen „RESTART_IPSEC“ an. Dabei ist „Type“ der „Remote Host“ und „Address“ die IP der Gegenseite (in deren Netz). „Start“ und „Stop“ dann jeweils:
/usr/local/sbin/configctl ipsec start
/usr/local/sbin/configctl ipsec stop
Als “Tests” verlinken wir unseren IPSEC_ICMP_MONITOR und schon kann es losgehen!
Tags
OPNsense IPsec Monit Überwachung
Weiterführende Informationen
Mehr Informationen finden Sie unter https://www.max-it.de/loesungen/opnsense-firewall/
Links und Quellen
https://docs.opnsense.org/manual/monit.html
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter vertrieb@max-it.de.