Olá,
Tenho um pfSense com VPN IPSec com BGP e queria de saber como utilizar o checkmk para monitorar as fases 1 e 2 dos tuneis?
Obrigado.
1 Like
Pode dar mais detalhes do que precisa? Ja esta monitorando o seu PfSense usando SNMP?
Estou sim, por SNMP está funcionando bem… porém ele não monitora as interfaces virtuais e também não trás informações dos Tuneis.
1 Like
Este e um assunto que muito me interessa mas no momento não tenho como testar. Existe uma integração para monitoramento de OpenVPN que pode ajudar, localizando o arquivo com essas informações no seu PfSense:
Outra alternativa que pode ser útil e usar o monitoramento via SSH no lugar do SNMP, desta maneira e possível executar alguns comandos e buscar o que precisa. Pelo menos quando montei uma VPN com o PfSense na minha lembrança as interfaces virtuais eram exibidas, vou atrás disso e atualizo aqui.
Ao configurar a VPN no PFSense consegui identificar 4 interfaces virtuais que foram descobertas usando SNMP:
Para registro o Checkmk conectado ao PfSense com uma configuração mínima e o OpenVPN configurado consegue exibir as seguintes metricas:
Oi Paulo,
O meu esta exatamente assim, observe que ele monitora apenas Incoming packets blocked e não é isso que quero monitorar… O que quero monitorar é todo o trafego que passa por dentro da interface e não apenas pacotes bloqueados.
1 Like
Você esta correto, infelizmente atualmente não temos uma solução fácil para isso. Minha recomendação seria de enviar os eventos de log para a Console de Eventos do Checkmk, com isso da para correlacionar os eventos com seu PfSense e gerar alertas. Cheguei a explorar algumas opções como execução de comandos de maneira remotas mas não obtive sucesso ainda.
Hum… neste caso, acredito que o maximo que conseguiria monitorar, seria um UP e Down do Tunel. Bem, isso já é melhor que não enxergar nada.
Seria mais interessante usar o agent do CheckMK para pfSense (se é que existe) ou manter o SNMP?
1 Like
Para logs da pra usar o agente porem no caso do Pfsense da para habilitar o redirecionamento de logs pela própria interface, usando o syslog. Sobre a execução de comandos remotamente eu consegui executar o script de inventario, porem so funcionou uma vez 
Com os logs da pra criar varias regras, por exemplo se um usuário tentar conectar e der erro de senha daria para gerar um alerta ou mesmo caso o serviço não consiga ser iniciado. Eu usei a Console de Eventos apenas para testes mas creio que vai atender perfeitamente a este cenário.
Eu não entendi muito bem a proposta. Eu habilitaria o syslog para enviar as informações para checkmk, ao inves de usar um monitor diretamente, seja um agente ou ate mesmo o snmp?