Новые ответы

zabbix-2.4 openvpn, несколько IP,

l8saerexhn1, 05-Июн-17, 18:59 [смотреть все]

Доброго времени суток, aLL
На офисах установлены удаленные шлюзы (debian-8.3) , подключаемые посредством openvpn к "центру". В конфиге каждого шлюзового vpn прописаны 2 адреса подключения. Подсети 10.30.0.0/16 и 10.40.0.0/16. У клиентов из шаблонов Template_OS_Linux и Template_App_Zabbix_Agent. Хосты добавлялись автодобавлением.
На заббикс-сервере у каждого клиента прописаны по два адреса из подсетей.
Создан комплексный экран со сводной информацией о подключениях. И вот что: когда клиент подключается по одному каналу (указанному в настройках узла на сервере как "Интерфейс по умолчанию" ) - все норм. Когда же происходит переподключение клиента на второй канал, сводка говорит, мол, хост отключен, Agent ping пишет, что нет хоста, данные не обновляются.
Возможно ли указать серверу, что нужно проверять данные со всех адресов подключения клиента, и уж если тогда нет информации - показывать, что шлюз недоступен?
конфиг клиента:
===
PidFile=/var/run/zabbix/zabbix_agentd.pid
LogFile=/var/log/zabbix-agent/zabbix_agentd.log
LogFileSize=100
DebugLevel=3
Server=<internal IP>
ListenPort=10050
StartAgents=3
ServerActive=<internal IP>
HostMetadata=Some_MetaData_Label
RefreshActiveChecks=60
Timeout=25
Include=/etc/zabbix/zabbix_agentd.conf.d/
===

Ответить | Сообщить модератору

zabbix-2.4 openvpn, несколько IP, Andrey Mitrofanov, 19:20 , 05-Июн-17 (1)
> Создан комплексный экран со сводной информацией о подключениях. И вот что: когда
> клиент подключается по одному каналу (указанному в настройках узла на сервере
> как "Интерфейс по умолчанию" ) - все норм. Когда же происходит
> переподключение клиента на второй канал, сводка говорит, мол, хост отключен, Agent
> ping пишет, что нет хоста, данные не обновляются.
zabbix знает про "переподключение", изменение роутингов и пр. прогрессивные перепетии при этом? знает ли zb вообще про второй ip?
> Возможно ли указать серверу, что нужно проверять данные со всех адресов подключения
> клиента, и уж если тогда нет информации - показывать, что шлюз
> недоступен?
можно сделать 2 айтема с pingicmp[] для 2ух разных ip, например.
С агентом будет хуже -- но и пинговать агентом два локальных интерфейса не особо имеет смысл. Агенту надо дать доступный "всегда" ip -- когда оба канала отвалятся, тогда, наверное и pingagent загорится...
> конфиг клиента:
> ===
> Server=<internal IP>
А это тож отдельная история... При переключениях "вид" сервера состороны агента не меняется?--- //А то вот, если на сервере тож 2 интерфейса в тех двух сетях, то... на один ip клиента он бужет ходить с одного своего ip, а на второй - с другого.
Ответить | Сообщить модератору

zabbix-2.4 openvpn, несколько IP, l8saerexhn1, 20:00 , 05-Июн-17 (2)
> zabbix знает про "переподключение", изменение роутингов и пр. прогрессивные перепетии
> при этом? знает ли zb вообще про второй ip?
Да, маршруты подсетям прописаны, свзяь есть. И в целом, автодобавление хостов прошло с адресами то из одной подсети, то из другой.
> можно сделать 2 айтема с pingicmp[] для 2ух разных ip, например.
Нечто подобное и пытаюсь сделать. Но то просто пинг. А хотелось бы еще и инфу о хосте получать, неважно, какой канал он - хост - сейчас использует...
> С агентом будет хуже -- но и пинговать агентом два локальных интерфейса
> не особо имеет смысл. Агенту надо дать доступный "всегда" ip --
> когда оба канала отвалятся, тогда, наверное и pingagent загорится...
В том-то и дело, что не выходит организовать каналы по типу "основной-резервный": оба канала одинаково нестабильны, постоянные проблемы. Плюс у офисов с каналами еще хуже (вплоть до направленного вифина точку в нескольких км). Так что всегда примерно пополам по каналам офисы работают, постоянно переподключаясь...
> А это тож отдельная история... При переключениях "вид" сервера состороны агента не
> меняется?--- //А то вот, если на сервере тож 2 интерфейса
> в тех двух сетях, то... на один ip клиента он бужет
> ходить с одного своего ip, а на второй - с другого.
Нет, для клиента адрес сервера и его "вид" одинаков.
Выходит, что под одним именем хоста никак не получится мониторить хосты с двумя исходящими адресами? Получается, вариант, создавать записи типа "хост1-канал1" и "хост1-канал2" и смотреть уже, на каком адресе он сейчас работает, так? Или я чего-то недопонимаю?
Ответить | Сообщить модератору

zabbix-2.4 openvpn, несколько IP, Andrey Mitrofanov, 20:26 , 05-Июн-17 (3)
> Выходит, что под одним именем хоста никак не получится мониторить хосты с
> двумя исходящими адресами? Получается, вариант, создавать записи типа "хост1-канал1"
Я ничего такого не говоррил.
Например, ничего не мешает поставить и настроить исходящий :))) haproxy, переключающий "бэкенды"-агенты на двух внешних ip каждого из клиентов. "Мы ж комсомольцы!"
Но, как говаривал тов.Деточкин "да, с дохлым аккумулятором это не жизнь". С каналом для мониторинга примерно так же, наверное.
> и "хост1-канал2" и смотреть уже, на каком адресе он сейчас работает,
> так? Или я чего-то недопонимаю?
Ответить | Сообщить модератору

zabbix-2.4 openvpn, несколько IP, l8saerexhn1, 20:42 , 05-Июн-17 (4)
>> Выходит, что под одним именем хоста никак не получится мониторить хосты с
>> двумя исходящими адресами? Получается, вариант, создавать записи типа "хост1-канал1"
> Я ничего такого не говоррил.
> Например, ничего не мешает поставить и настроить исходящий :))) haproxy, переключающий
> "бэкенды"-агенты на двух внешних ip каждого из клиентов. "Мы ж
> комсомольцы!"
Подобные решения лежат вне границ заббикса. Да, по-нормальному надо балансировку входящих каналов делать, шо б на серверы уже заходило "единый" Интернет, независимо от используемого сейчас провайдера. И тэдэ, и тэпэ. Но... Сейчас приходится выкручиваться полумерами и "неправильными" решениями.
Непонятно следующее: в настройках вида хоста на заббикс-сервере ведь можно добавить несколько IP-адресов. Раз так, значит как-то можно решить задачу из серии "ты опроси все введеные значения и, если, нет ответа ни от кого - тогда и пиши - хост недоступен"
> Но, как говаривал тов.Деточкин "да, с дохлым аккумулятором это не жизнь". С
> каналом для мониторинга примерно так же, наверное.
Чем богаты. В иных местах спасибо, что такие каналы есть. Это еще если их не глушат...
Ответить | Сообщить модератору

zabbix-2.4 openvpn, несколько IP, Andrey Mitrofanov, 09:09 , 06-Июн-17 (5)
> Непонятно следующее: в настройках вида хоста на заббикс-сервере ведь можно добавить несколько
> IP-адресов. Раз так, значит как-то можно
В "рамках zb"? практически нельзя.
Каждый айтем, и simple, как icmpping[], и агентовские, и пр. _привязываются_ [=статически, руками] к одному интерфейсу соотв.типа (пинговать, разве, можно с любого). Можешь сделать два [почти: ключи надо разные писать, например, icmpping и icmpping[,4]] айтема, но создавая хост из _шаблона_, например, нужно _не забыть_ в хосте в соотв. айтеме переключить интерфейс. С одним интерфейсом в хосте "оно само" -- поэтому этих проблем [обычно] не видно.
Ну, zabbix api ещё есть... ://
И традиционное "можно пропатчить заббикс". Сколько лет раюботаю с -- _отмазка_ железная.
> решить задачу из серии "ты
> опроси все введеные значения и, если, нет ответа ни от кого
> - тогда и пиши - хост недоступен"
"Они" сделали быстро и просто в основном-простом случае (1хост-1интерфейс), а проблемы индейцев - проблемы индейцев. Например, агентовские айтемы -- совсем не функция интерфейсов (на многоинтерфейсных роутерах, да, пинговать каждый из них - отдельная задача), но `disk free /` или `cpu user %` какой -- ф-ия хоста, не зависимо от интерфейса. Т.о. соединение к агенту надо бы переключать/балансировать не в Zb, а на уровне ip -- роутинги, vpn-ы [haproxy, конечно, чуть более over the top, но тож в ту сторону] и т.п.
Ответить | Сообщить модератору
zabbix-2.4 openvpn, несколько IP, Andrey Mitrofanov, 09:14 , 06-Июн-17 (6)
> Непонятно следующее: в настройках вида хоста на заббикс-сервере ведь можно добавить несколько
> IP-адресов. Раз так, значит как-то можно решить задачу из серии "ты
> опроси все введеные значения и, если, нет ответа ни от кого
> - тогда и пиши - хост недоступен"
Кста, увидел слово "openvpn" в сабже. Можно, например, опрашивать состояние соединения со "своей стороны" openvpn-а -- есть 2 соединения с [сетью NNNN ?] - хор, одно - хор, ни одного? уже 5+ минут? -- триггер.
Внешний скрипт, соединение на openvpn сервер, шелл - openvpn, статус, вывод - OK(0)|NOK(1).
Или даже крон-занание на опенвпне, "пушащее" zabbix_sender-ом статусы в траппер-айтемы хостов для всех vpn-визви.
Ответить | Сообщить модератору

zabbix-2.4 openvpn, несколько IP, Andrey, 11:21 , 06-Июн-17 (7)
>[оверквотинг удален]
> DebugLevel=3
> Server=<internal IP>
> ListenPort=10050
> StartAgents=3
> ServerActive=<internal IP>
> HostMetadata=Some_MetaData_Label
> RefreshActiveChecks=60
> Timeout=25
> Include=/etc/zabbix/zabbix_agentd.conf.d/
> ===
А если проверять доступность внутреннего IP шлюза на объекте? Соответсвенно и zabbix-agent прицепить к внутреннему IP?
Ответить | Сообщить модератору

zabbix-2.4 openvpn, несколько IP, l8saerexhn1, 21:59 , 07-Июн-17 (8)
Прежде всего, большое спасибо за развернутые и подробные ответы.
Ситуация вроде как проясняется. Я предполагал, что просто чего-то не знаю/не понимаю/не вижу в настройках заббикса, что в нем есть для решения моей задачи. Выходит, что, нет. Соответственно, придется изобретать что-то более детально, "ручками" так сказать..
> Кста, увидел слово "openvpn" в сабже. Можно, например, опрашивать состояние соединения со "своей
> стороны" openvpn-а -- есть 2 соединения с [сетью NNNN ?] - хор, одно - хор, ни одного? уже 5+ минут? --
> триггер.
...
К нечто подобному решению и прихожу. :)

> А если проверять доступность внутреннего IP шлюза на объекте? Соответсвенно и zabbix-agent
> прицепить к внутреннему IP?
Да, где-то на офисах подобное решение надо попробовать. Проще реализовать так, что б "сразу". Но сие не везде применимо, в других местах придется "велосипед" городить.
Сейчас пока сделал два хоста для каждого офиса - в зависимости от канала. По крайней мере я вижу их доступность, получаю оттуда инфу. Минус же - постоянно сыпятся события, мол, хост недоступен. А этот хост просто сменил канал.
Ответить | Сообщить модератору