Monitor SNMP Cisco ASA

Beste Tweakers,

Ik probeer een CISCO ASA5505 firewall in een remote site uit te lezen via SNMP.
De SNMP data moet verstuurd worden naar onze monitoring server die in onze main site staat.
De remote site is geconnecteerd met onze main via een S2S VPN.

Netwerkmatig is alles reeds in orde. Ik monitor nu al de connectie naar de site door een simpele ping te versturen naar de inside interface van de ASA.
Ik wil ook de bandwidth usage uitlezen dmv SNMP.
Op de ASA heb ik de SNMP Host Access aangezet via de GUI:



Nu krijg ik de data niet te zien op onze monitoring server.
Als ik via WireShark kijk op deze server zie ik dat er snmp get-requests verstuurd worden naar de inside interface van de ASA maar er geen responses komen.
Op de syslog in de ASA zie ik ook niet dat er iets geblokkeerd wordt.

Probleem ligt hem zeker bij de ASA maar heb geen ervaring met SNMP uitlezen op een ASA.
Iemand die kan assisteren?
Op google vind ik niet echt specifieke voorbeelden hierover.

prekz schreef op donderdag 17 maart 2016 @ 09:53:
Probeer dit eens via de CLI te doen (heb je hier toegang toe)?

Dit kan met het volgende commando:
snmp-server community string [view view-name] [ro | rw] [number]

Meer info: http://www.cisco.com/c/en...n_r/frf014.html#wp1022436

Vervolgens kan je deze community string invoeren in jouw monitoringssysteem.

Afbeelding komt op hetzelfde neer dus:

Dit zie ik in de config:

snmp-server host outside 172.XX.XX.XX community ***** version 2c

Lijkt mij in orde? Alle voorbeelden die ik terugvond geven dit ook.

Taz86 schreef op donderdag 17 maart 2016 @ 10:03:
volgens mij probeer je de snmp via de outside (WAN) te doen ipv de s2s tunnel. Kan je de s2s interface meegeven als source?

Negatief, alleen keuze tussen outside & inside.

prekz schreef op donderdag 17 maart 2016 @ 10:12:
[...]


Jij hebt een ander commando ingevoerd namelijk het snmp-server host en niet de community. Probeer die eens.

Lukt ook niet op eerste zicht. Krijg toch alleszins geen info door. Hoe weet de ASA naar welke host hij de SNMP info moet versturen op deze manier? Zie terug hetzelfde via Wireshark. SNMP get-request afkomstig van monitorserver maar geen responses.

prekz schreef op donderdag 17 maart 2016 @ 10:35:
Dit ziet de ASA ook niet. Binnen het monitoringsysteem (ik weet niet welke je hebt?) Dien je een nieuwe host aan te maken en bovenstaande community string in te voeren die jij hebt gedefinieerd.

Op dat moment is er een SNMP connectie tussen de ASA en je monitoringsysteem.

Gebruik PRTG als monitoring server.
Lees momenteel meerdere Cisco Routers uit via SNMP. Alleen bij de ASA FW lukt het niet.

Nogmaals, via WireShark zie ik de SNMP get-request naar de ASA maar daar stopt het.
Als ik de log van de ASA bekijk zie ik dat er inbound connections opgebouwd worden.

Taz86 schreef op donderdag 17 maart 2016 @ 12:07:
Kan je eens een output geven van dit: show running-config snmp-server en dit: show snmp-server statistics

ASA# show running-config snmp-server
snmp-server host outside 172.XX.XX.XX community ***** version 2c udp-port 161
no snmp-server location
no snmp-server contact
snmp-server community *****

ASA# show snmp-server statistics
672903 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
1762184 Number of requested variables
0 Number of altered variables
414660 Get-request PDUs
258243 Get-next PDUs
0 Get-bulk PDUs
0 Set-request PDUs (Not supported)
672916 SNMP packets output
0 Too big errors (Maximum packet size 512)
0 No such name errors
0 Bad values errors
0 General errors
672903 Response PDUs
13 Trap PDUs
ASA#