Controlar ancho de banda en firewall mediante SNMP

En el momento de monitorizar equipos de red Zyxel mediante SNMP, al intentar recuperar el tráfico de una interface para Nagios / Icinga / Centreon las consultas por nombre hacen referencia a las internas, no a los nombres personalizados ni a los puertos P1, P2, P3… por lo que empezarán en eth0, eth1… ethX. Para las interfaces virtuales podemos utilizar vlan1, vlan2… vlanX

Añadimos el autoescalado en los gráficos, para la IP del equipo 10.10.0.250, la comunidad «public» por defecto y versión 2c, el comando que se ejecutará periódicamente quedaría:

/usr/lib/centreon/plugins/centreon_zyxel_snmp.pl
	--plugin=network::zyxel::snmp::plugin
	--mode=interfaces
	--hostname=10.10.0.250
	--snmp-version='2c'
	--snmp-community='public' 
	--interface='^eth2$'
	--name
	--add-status
	--add-traffic
	--warning-in-traffic='80'
	--critical-in-traffic='90'
	--warning-out-traffic='80'
	--critical-out-traffic='90'
	--change-perfdata=traffic,,scale(auto)

 

Nota:

En ocasiones aunque aparezca instalado el plugin es necesario ejecutar en modo consola:

yum install centreon-plugin-Network-Zyxel-Snmp

 

VPN Zyxel USG: No rule found, dropping packet

Existen diversos escenarios para la configuración de VPN entre dos dispositivos, en este caso aparece en un equipo Zyxel USG el error:

error      IPSec      SPI:0x6c2b84d9 (1814791385) SEQ:0x0001 (4200) No rule found, Dropping packet      ipsec 

Donde «no se ha tocado nada» pero se ha desconectado el tunel o bien solo aparece como activo en una de las partes y en la otra no (cosas de lógica informática). En estos casos es mejor no dar por sentado ningún razonamiento y comprobar la comunicación entre ambas partes.

El error señalado indica, en este caso, que un equipo intermedio tiene habilitado algún tipo de NAT o NAPT o no permite el tráfico de un protocolo (ESP, en este caso por ser IPSec) se puede solucionar habilitando la funcionalidad VPN Passthrought si la tiene o estableciendo un DMZ hacia la IP del firewall final, por ejemplo.