Problemas com SNMP sobre OSPF
Bom dia,
Tenho duas RB450G configuradas com OSPF fazendo um link wireless full duplex simulado (manipulando o cost nas interfaces) e também como redundância, caso um ptp wireless fique off por algum motivo.
O problema que tá ocorrendo é o seguinte:
1. Quando o OSPF tá ativo com os 2 links, o SNMP da RB450G da outra ponta (final do ptp) pára de funcionar (a porta 161 fica filtered no nmap);
2. Quando o OSPF tá ativo com apenas 1 link (simulando uma falha em um dos links), o SNMP volta a funcionar normalmente.
Alguém já passou por um problema parecido?
Porque os demais serviços dessa RB (ssh, ftp...) continuam funcionando nas 2 situações?
Seria alguma limitação do UDP (pelo fato de ir por um lado e voltar por outro)?
Servidor Linux --- RB450G === 2 PTPs Wireless (bridge) === RB450G (outra ponta) --- Link Operadora
Re: Problemas com SNMP sobre OSPF
Citação:
Postado originalmente por
loxxxa
O problema que tá ocorrendo é o seguinte:
1. Quando o OSPF tá ativo com os 2 links, o SNMP da RB450G da outra ponta (final do ptp) pára de funcionar (a porta 161 fica filtered no nmap);
2. Quando o OSPF tá ativo com apenas 1 link (simulando uma falha em um dos links), o SNMP volta a funcionar normalmente.
Alguém já passou por um problema parecido?
Bom dia Diego.
Você constatou esse problema usando o endereço da interface loopback ou o endereço de uma das interfaces físicas?
Pelo comportamento que está tendo aí, parece não estar em uso o endereço de loopback. Leia a afirmação abaixo, extraída do Wiki[1] Oficial da MikroTik.
Citação:
The benefits are that loopback address is always up (active) and can’t be down as physical interface.
Citação:
Postado originalmente por
loxxxa
Porque os demais serviços dessa RB (ssh, ftp...) continuam funcionando nas 2 situações?
Seria alguma limitação do UDP (pelo fato de ir por um lado e voltar por outro)?
Essa é a parte estranha, pois deveria parar nos demais serviços. Mas enfim, vamos por partes. Primeiro vamos ver se há endereços loopback, e como fica o comportamento do SNMP com endereço de loopback.
[1] http://wiki.mikrotik.com/wiki/Manual:OSPF-examples
Saudações,
Trober
-
-
-
-
-
Re: Problemas com SNMP sobre OSPF
Em todos os ips da outra ponta, tanto no ip da loopback (1.1.1.2) quanto no ip interface q faz o ospf (10.254.254.253). Também tentei pelo ip da operadora que fica na RB... qualquer um dá como porta filtrada, e não responde ao snmpwalk (-v1 ou -v2c ou -v3).
Já revisei o exemplo no link que você passou, e minha loopback tá setada corretamente.
Estranho mesmo que só o SNMP parou...
Estava com mk 5.8, atualizei pra 5.14, mas não resolveu...
Citação:
Postado originalmente por
trober
Bom dia Diego.
Você constatou esse problema usando o endereço da
interface loopback ou o endereço de uma das
interfaces físicas?
Pelo comportamento que está tendo aí, parece não estar em uso o endereço de
loopback. Leia a afirmação abaixo, extraída do
Wiki[1] Oficial da
MikroTik.
Essa é a parte estranha, pois deveria parar nos demais serviços. Mas enfim, vamos por partes. Primeiro vamos ver se há endereços
loopback, e como fica o comportamento do SNMP com endereço de
loopback.
[1]
Manual:OSPF-examples - MikroTik Wiki
Saudações,
Trober
-
-
-
-
-
Re: Problemas com SNMP sobre OSPF
Citação:
Postado originalmente por
loxxxa
os demais serviços dessa RB (ssh, ftp...) continuam funcionando nas 2 situações?
Seria alguma limitação do UDP (pelo fato de ir por um lado e voltar por outro)?
Citação:
Postado originalmente por
loxxxa
Já revisei o exemplo no link que você passou, e minha loopback tá setada corretamente.
Estranho mesmo que só o SNMP parou...
Grato pelas informações.
Diego, você comentou sobre SSH e FTP estarem operantes. Esses são serviços TCP. O serviço SNMP é UDP. Por acaso, você não tem alguma regra de firewall, daquelas que nega acesso de tudo que for UDP, diferente de 53 (DNS), daquelas tipicamente usadas para filtrar P2P? Se sim, o SNMP não funcionará, já que o protocolo usa 161 UDP.
Se não for problema para você, informe as seguintes saídas dos comandos abaixos (só funcionam em RouterOS 5.12 ou superior).
Código :
/ip address export compact
/ip route export compact
/routing ospf export compact
/routing filter export compact
/ip firewall export compact
/ip service export compact
Saudações,
Trober
-
-
-
-
-
Re: Problemas com SNMP sobre OSPF
Não tenho firewall desse tipo, mesmo porque como citei o serviço SNMP funciona legal com apenas 1 link ativo, sem mexer em mais nada.
Segue abaixo as configs solicitadas:
Código :
/ip address
add address=172.16.8.2/30 comment="Gateway Remoto" interface=remote0
add address=10.254.254.253/24 comment="OSPF PTP Antigo" interface=ospf-wlan0
add address=10.254.253.253/24 comment="OSPF PTP Novo" interface=ospf-wlan1
add address=1.1.1.2/32 comment=Loopback interface=loopback network=1.1.1.2
add address=172.27.2.1/30 comment="VPN Autosales" interface=vpn-autosales
Código :
/ip route
add distance=1 gateway=172.16.8.1
add comment="VPN Autosales" distance=1 dst-address=172.27.2.4/30 gateway=\
x.x.x.x
Código :
/routing ospf instance
set [ find default=yes ] distribute-default=always-as-type-1 \
redistribute-connected=as-type-1 redistribute-static=as-type-1 router-id=\
1.1.1.2
/routing ospf interface
add authentication=md5 authentication-key=xxxxxxxxxxx cost=100 interface=\
ospf-wlan0 network-type=ptmp
add authentication=md5 authentication-key=xxxxxxxxxxx interface=ospf-wlan1 \
network-type=ptmp
/routing ospf network
add area=backbone network=10.254.254.0/24
add area=backbone network=10.254.253.0/24
Código :
# apr/04/2012 13:05:41 by RouterOS 5.14
# software id = xxxx-xxxx
#
/routing filter export compact
Código :
/ip firewall address-list
add address=x.x.x.x/25 comment="liberados para ssh" list=ssh_free
/ip firewall filter
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=!ssh_free
Código :
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set winbox disabled=yes