Почему snmpget freebsd не получает данные с циски, доступной по пингу?

Question

Сергей @sergey_privacy

Админ со стажем, начинающий DevOps

Почему snmpget freebsd не получает данные с циски, доступной по пингу?

Добрый день!
Установил сервер на FreeBSD 10 с модулем net-snmp. Пингую с сервера маршрутизатор, пинг проходит нормально, они в одной подсети друг с другом находятся. snmpget не получает данные с цисок, которые по пингу доступны, при этом соседний сервер с этих маршрутизаторов данные получает. Чтобы проверить работу самой программы snmpget, я забрал данные с принтсерверов, сетевых принтеров - все получил.

root@usomonitor:/home/dark # snmpget -v2c -c public 10.141.1.95 1.3.6.1.2.1.1.1.0
SNMPv2-MIB::sysDescr.0 = STRING: Xerox Phaser 3600; OS 1.70.01.24 04-04-2008, NIC V4.01.03(P3600) 03-19-2008, Engine 1.10.71, Duplex 1.00.03 , PCL5e 5.73 02-29-2008, PCL6 5.57  11-28-2007, PS3 1.76.76 02-20-2008, IBM/EPSON 5.18 11-07-2007


root@usomonitor:/home/dark # snmpget -v2c -c public 10.141.1.1 1.3.6.1.2.1.1.1.0
SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, s72033_rp Software (s72033_rp-IPBASE-M), Version 12.2(33)SXJ1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Wed 22-Jun-11 18:03 by prod_rel_team


root@usomonitor:/home/dark # snmpget -v2c -c public 10.141.100.9 1.3.6.1.2.1.1.1.0
Timeout: No Response from 10.141.100.9.


root@usomonitor:/home/dark # ping -c 2 10.141.100.9
PING 10.141.100.9 (10.141.100.9): 56 data bytes
64 bytes from 10.141.100.9: icmp_seq=0 ttl=254 time=0.240 ms
64 bytes from 10.141.100.9: icmp_seq=1 ttl=254 time=0.315 ms

--- 10.141.100.9 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.240/0.277/0.315/0.038 ms
root@usomonitor:/home/dark #

Вопрос задан более трёх лет назад
3010 просмотров

Комментировать

Подписаться 3 Оценить Комментировать

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

1 комментарий

Сергей @sergey_privacy Автор вопроса

2 сервера на freebsd, находятся в одной подсети с маршрутизаторами.

То есть оба адреса 10.141.1.1 и 10.141.100.9 (я ведь правильно понял, это адреса маршрутизаторов?) входят в один префикс (/17 или короче), используемый на L2-домене(линке)?

У каждого из серверов по несколько сетевых адаптеров, "смотрящих" в разные сегменты. Маршрутизатор 10.141.100.9, у серверов адреса 10.141.100.5 и 10.141.100.6 соответственно. Маска 255.255.255.240.
10.141.1.1 - это адрес в другом сегменте, с другой маской. Откуда взялась совершенно бредовая маска /17 я не совсем понял. Разве я такую маску упоминал? Не надо придумывать лишних сложностей.

С одного все данные получаются, с другого - нет. Ограничение стоит на другие сети, в данной подсети ограничений нет, тем более, для одного конкретного хоста.

Вообще-то, как правило, принято (этому способствует логика настройки) разрешать SNMP-доступ для каждого конкретного хоста, а не "ограничивать сети".

Правила, принятые в вашей организации, не являются стандартом де-факто для всех. У нас пулы серверов мониторинга вынесены в отдельные сегменты, отделены файрволом с параноидальными настройками от внешних сетей и от рабочих станций пользователей. Прописывая подсети /27-/29 мы не имеем угроз на данном уровне.

Приведите конфигурацию каждого из маршрутизаторов в части SNMP.

Настройки snmp самые минимальные и тривиальные.
snmp-server community public RO
snmp-server community write RW
Пароли, естественно, другие. Еще стоят правила на файрволе, запрещающиен доступ по этому протоколу извне сети, стоят правила на самом маршрутизаторе, разрешающие обмен всеми пакетами внутри сети, в которой находятся маршрутизаторы. В утрированном виде, это небольшая подсеть, существующая только для обмена транспортными данными между маршрутизаторами. Каждый из серверов имеет по интерфейсу в данном сегменте для мониторинга и интерфейс в другой сегмент для отдачи данных фронт-энд серверам статистики. Конкретные разрешенные или запрещенные адреса на маршрутизаторе прописывать нет нужды, только подсеть.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 21 час назад
- 88 просмотров
2

ответа
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- 17 апр.
- 141 просмотр
0

ответов
Android

+2 ещё

Простой
Wi-Fi. Странное поведение Нет антен — сигнал слабый, но пароль проходит. Есть антены — сигнал хороший, но пишет «неверный пароль» Почему?
- 1 подписчик
- 17 апр.
- 383 просмотра
1

ответ
Компьютерные сети

+2 ещё

Простой
Какой набор оборудования нужен для соединения двух роутеров Mikrotik RouterBOARD 2011iL на расстоянии более 120 м?
- 3 подписчика
- 16 апр.
- 3207 просмотров
6

ответов
Компьютерные сети

+3 ещё

Средний
Почему не работает правило Firewall на OPNsense?
- 1 подписчик
- 16 апр.
- 113 просмотров
1

ответ
Компьютерные сети

+1 ещё

Простой
Видит ли провайдер что передается по локальной сети по FTP?
- 3 подписчика
- 16 апр.
- 14767 просмотров
6

ответов
Компьютерные сети

+1 ещё

Средний
Как настроить маршрутизацию между двумя tun интерфейсами?
- 1 подписчик
- 15 апр.
- 128 просмотров
3

ответа
Компьютерные сети

Простой
Какая скорость сети будет у пользователя?
- 1 подписчик
- 15 апр.
- 226 просмотров
4

ответа
Сетевое администрирование

+1 ещё

Простой
Как настроить Vlan на камере hiwatch?
- 2 подписчика
- 15 апр.
- 152 просмотра
2

ответа
Компьютерные сети

+2 ещё

Простой
Почему обрывается wi-fi на роутере Keenetic Lite 3 при соединении Pppoe?
- 1 подписчик
- 14 апр.
- 121 просмотр
2

ответа
Показать ещё Загружается…

Senior ML Engineer (Computer Vision)

Gradient

от 450 000 ₽

Агент поддержки

PulseGPT

от 25 000 до 35 000 ₽

Разработчик ML Middlе +

МАЙНИТЕК • Екатеринбург

от 132 000 до 170 000 ₽

Извлечение метрик и профилирование серверных ресурсов, Yandex Cloud

19 апр. 2024, в 18:38

1500 руб./в час

Верстка сайта -4-5 страниц

19 апр. 2024, в 18:36

1500 руб./за проект

MiniApp для телеграмм на React

19 апр. 2024, в 18:36

30000 руб./за проект

Answer 1 · 2014-07-04 15:27:22

Проверьте, отличаются ли настройки snmp на 10.141.1.1 и 10.141.100.9. В частности, контроль доступа.

2 сервера на freebsd, находятся в одной подсети с маршрутизаторами. С одного все данные получаются, с другого - нет. Ограничение стоит на другие сети, в данной подсети ограничений нет, тем более, для одного конкретного хоста. Команда из одной консоли скопирована в другую, т.е. ошибок быть не может.

UPD: Проблему решил. Не заметил одну злую строчку в access-листах, которая все и обрубала на некоторый диапазон адресов, в который попал этот сервер.

Answer 2 · 2014-07-04 15:23:17

На циске может быть открыт snmp только для определенных IP и это правильно, чтоб не допускать amplification атак с использованием циски. Смотрите фаирвол и ACL. Также приложите вывод:
show running-config | i snmp

Answer 3 · 2014-07-04 15:21:43

Проверьте, отличаются ли настройки snmp на 10.141.1.1 и 10.141.100.9. В частности, контроль доступа. Проверьте, на интерфейсах по пути от хоста к 10.141.100.9 есть ли аксесс-листы, влияют ли они на SNMP пакеты.

UPD:

2 сервера на freebsd, находятся в одной подсети с маршрутизаторами.

То есть оба адреса 10.141.1.1 и 10.141.100.9 (я ведь правильно понял, это адреса маршрутизаторов?) входят в один префикс (/17 или короче), используемый на L2-домене(линке)?

С одного все данные получаются, с другого - нет. Ограничение стоит на другие сети, в данной подсети ограничений нет, тем более, для одного конкретного хоста.

Вообще-то, как правило, принято (этому способствует логика настройки) разрешать SNMP-доступ для каждого конкретного хоста, а не "ограничивать сети". Приведите конфигурацию каждого из маршрутизаторов в части SNMP.

Команда из одной консоли скопирована в другую, т.е. ошибок быть не может.

ошибок быть не может.

Как много раз я это слышал.

UPD2:

Откуда взялась совершенно бредовая маска /17 я не совсем понял. Разве я такую маску упоминал?

Вы писали:

2 сервера на freebsd, находятся в одной подсети с маршрутизаторами.

в одной подсети с маршрутизаторами

в одной подсети

, при этом адреса маршрутизаторов указаны как 10.141.1.1 и 10.141.100.9. Я предположил, что "одна подсеть" включает в себя оба этих адреса. Оба этих адреса могут входить в один префикс, если его длина /17 (10.141.0.0/17) и короче. Вы могли сразу указать, что каждый сервер имеет по одному интерфейсу в одной подсети с каждым маршрутизатором, что избавило бы от двояких прочтений. Выражайтесь корректнее, пожалуйста.

С одного все данные получаются, с другого - нет.

Вы не могли бы уточнить, вы, действуя с каждого из серверов, не можете получить данные с одного конкретного маршрутизатора (10.141.100.9), я правильно вас понял?

Далее, предлагаю исследовать проблему по частям. Подобная ошибка, предполагаю, может возникать по следующим причинам:
1) snmp-запрос не доходит до устройства
2) snmp-сервер на устройстве работает некорректно/не работает вообще
3) snmp-сервер на устройстве работает корректно, запрос некорректен
4) snmp-ответ на запрос не доходит до сервера.

Сразу несколько пунктов вы можете проверить командой Cisco CLI show snmp. Посмотрите, какие именно счетчики (в разделе X SNMP packets input, где X - число) увеличивают значение при выполнении запроса с сервера.

Если все счетчики сохраняют значение - запрос не доходит до устройства (п.1).
Если растет количество Unknown community name - то или запрос содержит неверное значение community string (пример: publiс вместо public, п.3), либо snmp настроен с ACL.
Если ответ - %SNMP agent not enabled, то SNMP-сервер на устройстве неактивен (п.2).

Есть еще некоторое количество возможных вариантов, включая маловероятные и экзотические, которые я пока отложу до ваших новых ответов, воспользовавшись вашим замечательным советом

Не надо придумывать лишних сложностей.

Почему snmpget freebsd не получает данные с циски, доступной по пингу?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт