Мониторинг микротика через zabbix сервер по протоколу SNMP V3.

• Введение.
  • Цель: настроить мониторинг микротика через zabbix сервер. Использовать версию 3 протокола SNMP, как наиболее безопасную.
  • Будем использоваться zabbix сервер 4.0 . В zabbix сервере версии ниже 4.0 нет полноценной поддержки протокола SNMP V3.
  • В процедуре, описанной ниже, внимание акцентируется на важных параметрах. Настройка некоторых параметров опущена.
  • Ссылки.
    • http://www.k-max.name/linux/snmp-protocol/ - SNMP протокол (основы).
    • https://wiki.mikrotik.com/wiki/Manual:SNMP - Manual:SNMP.
    • https://support.zabbix.com/browse/ZBX-13769 - inconsistent snmpV3 host availability detection in case of wrong credential parameters.
    • https://www.ekzorchik.ru/2016/12/interviewer-mikrotik-via-snmp-v3/ - Опрашиваем Mikrotik через SNMP v3.
    • https://www.ekzorchik.ru/2016/04/monitoring-mikrotik-using-zabbix/ - Мониторинг Mikrotik с помощью Zabbix

  • Имеется виртуальный сервер, установлен debian 9 и zabbix сервер 4.0. Hostname = zabbix-srv4, IP сервера = 192.168.88.22 . Локальный пользователь = user1 , может sudo. IP адрес микротика = 192.168.88.1

• Процедура I. Настраиваем мониторинг по SNMP V2.

  • В качестве тренировки, настроим мониторинг микротика по SNMP V2. Напоминаю, что при этом вся информация (о мониторинге) передается в открытом виде.

  • Через winbox подключаемся к микротику.

  • Далее, IP > SNMP > в поле "Enabled" ставим галку > Apply. Это минимально необходимая настройка.

  • Из соображений безопасности, рекомендуется ограничить диапазон IP адресов, с которых можно подключаться по SNMP. В winbox IP > SNMP > Communities > public > Addresses = 192.168.88.0/24 > Apply.

  • Проверяем. На заббикс сервере в shell.

    user1@zabbix-srv4:~$ snmpwalk -v 2c -c public 192.168.88.1 | head -n 5 iso.3.6.1.2.1.1.1.0 = STRING: "RouterOS RB941-2nD" iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.14988.1 iso.3.6.1.2.1.1.3.0 = Timeticks: (10250400) 1 day, 4:28:24.00 iso.3.6.1.2.1.1.4.0 = "" iso.3.6.1.2.1.1.5.0 = STRING: "MikroTik"

  • Далее на заббикс сервере подключаю микротик. Вариант подключения описан в 5-й ссылке. Можно использовать стандартный шаблон "Template Module Generic SNMPv2" или поискать на https://share.zabbix.com/. На этом этапе подойдет заббикс сервер версии меньше 4.0 .

• Процедура II. По шагам настраиваем мониторинг по SNMP V3.

  • Через winbox подключаемся к микротику и добавляем community.

  • В winbox IP > SNMP > Communities > Нажимаем плюсик на панели инструментов.

    • Name = snmp-v3

    • Addresses = (можно оставить незаполненым)

    • Security = private

    • "Read Access" галка стоит.

    • "Write Access" галка не стоит.

    • "Authentication Protocol" = MD5

    • "Encryption Protocol" = DES

    • "Authentication Password" = long_A_pwd

    • "Encryption Password" = long_E_pwd

    • Apply.

  • Проверяем. На заббикс сервере в shell.

    user1@zabbix-srv4:~$ snmpwalk -v 3 -u snmp-v3 -l authPriv -A long_A_pwd -a MD5 -X long_E_pwd -x DES 192.168.88.1 | head -n 5 iso.3.6.1.2.1.1.1.0 = STRING: "RouterOS RB941-2nD" iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.14988.1 iso.3.6.1.2.1.1.3.0 = Timeticks: (10250400) 1 day, 4:28:25.00 iso.3.6.1.2.1.1.4.0 = "" iso.3.6.1.2.1.1.5.0 = STRING: "MikroTik"

  • Далее в админке заббикс сервера.

    • Скачиваю и устанавливаю шаблоны: Template Module Generic SNMPv3, Template Module Interfaces Simple SNMPv3, Template Net Mikrotik SNMPv3.

    • Для настройки шифрования в протоколе SNMP V3, нужно переделать шаблоны. Ниже описаны важные параметры безопасности датчиков, которые нужно заменить (отредактировать) или проверить. Это касается и "Discovery rules"

      • Security name = {$SNMP_SECNAME_CONTEXT}

      • Security level = authPriv

      • Authentication protocol = MD5

      • Authentication passphrase = {$SNMPV3_AUTH_PWD}

      • Privacy protocol = DES

      • Privacy passphrase = {$SNMPV3_PRIV_PWD}

    • Добавляю host. SNMP interfaces = 192.168.88.1 . В разделе Macros добавляю:

      {$SNMP_SECNAME_CONTEXT} = snmp-v3

      {$SNMPV3_AUTH_PWD} = long_A_pwd

      {$SNMPV3_PRIV_PWD} = long_E_pwd

    • Далее к хосту подключаю шаблон "Template Net Mikrotik SNMPv3".

    • Далее в разделе "Latest data" выбираю микротик и смотрю состояние датчиков.

  • На этом все.

• Доделки, замечания, диагностика.

  • Диагностика ошибок.

    • Если в журнале заббикс сервера (/var/log/zabbix/zabbix_server.log) возникает ошибка

      1273:20190530:143634.133 item "192.168.88.1:system.cpu.util[hrProcessorLoad.1]" became not supported: Cannot connect to "192.168.88.1:161": Unsupported security level.

      в моем случае это означало, что датчик "system.cpu.util[hrProcessorLoad.1]" настроен неправильно. Нужно проверить парамерты безопасности, описанные выше.

    • Добавлено 17.06.2019 . Если в журнале заббикс сервера (/var/log/zabbix/zabbix_server.log) возникает ошибка

      45002:20190611:084637.664 item "192.168.88.1:system.cpu.util[hrProcessorLoad.1]" on host "MikroTik" failed: first network error, wait for 15 seconds.

      в моем случае, вылечилось после установки параметра EngineID (раздел SNMP) на микротике. Желательно, чтобы этот параметр был уникальным, можно использовать MAC адрес сетевой платы. Через winbox, IP > SNMP > EngineID = "00:15:5d:00:64:05" . Ссылка на статью по теме.

  • Замечания.

    • Если мониторинг осуществляется через публичные сети, необходимо обеспечить прохождение пакетов. Например, открыть порты на стенках. Для диагностики использовать snmpwalk.

    • Добавлено 26.06.2019 . Исследования показали, что заббикс сервер 3.4.15 вполне нормально собирает мониторинг по SNMP V3. Но эта версия (3.4.15) уже не поддерживается.

  • Доделки.

    • Если SNMP V3 работает нормально, отключаем младшие версии SNMP.

      В winbox, IP > SNMP > Communities > public > Addresses = 127.0.0.1/32 > Apply.