Überwachung von IPsec

Version vom 6. Mai 2020, 06:24 Uhr von Deko (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=== '''Symptom''' === Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die vers…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Symptom

Ein instabiler IPsec Tunnel ist nach intensivem Tuning zwar selten, kann jedoch hin und wieder auftreten. Das Problem dabei sind die verschiedenen Hersteller, wie sie IPsec für sich interpretieren und auslegen, die jeweiligen Patchstände der VPN Partner, sowie natürlich die Expertise der Administratoren. Das kann schnell dazu führen über einen Cronjob täglich das VPN neu starten zu müssen, aber das geht auch smarter!

Ursache und Lösung

Das Tool zur eigenen Überwachung von OPNsense nennt sich monit. Es ist in der Unix-Welt nicht ganz so bekannt, hat aber mit seiner eigenen Syntax ein sehr mächtiges Werkzeug.
Wir richten also einen Service Test ein, der alle zwei Minuten einen IP des VPN Peer-Netzes pingt und bei Nichterreichen das VPN, neu startet.

Hierzu gehen wir auf „Services – Monit“ und Aktivieren den Dienst, anschließend muss in „Service Test Settings“ ein neuer Test mit dem Namen IPSEC_ICMP_MONITOR anlegelegt werden und danach als „Condition“ „failed ping4 count 5 address 10.10.10.1“, wobei 10.10.10.1 durch die eigene LAN-IP ersetzt werden muss. Als „Action“ nehmen wir „Restart“.

Als Nächstes gehen wir in die „Service Settings“ und legen dort einen Service mit dem Namen „RESTART_IPSEC“ an. Dabei ist „Type“ der „Remote Host“ und „Address“ die IP der Gegenseite (in deren Netz). „Start“ und „Stop“ dann jeweils:
/usr/local/sbin/configctl ipsec start
/usr/local/sbin/configctl ipsec stop
Als “Tests” verlinken wir unseren IPSEC_ICMP_MONITOR und schon kann es losgehen!

Tags

OPNsense IPsec Monit Überwachung

Weiterführende Informationen

Mehr Informationen finden Sie unter https://www.max-it.de/loesungen/opnsense-firewall/

Links und Quellen

https://docs.opnsense.org/manual/monit.html

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter vertrieb@max-it.de.