Мониторинг MikroTik SNMP v3 с Zabbix

Настройка мониторинга устройств MikroTik RouterOS v7 (протокол SNMP v3) используя Zabbix сервер (v6.2). Диагностика SNMP с помощью утилиты snmpwalk.

SNMPv3 предоставляет важные особенности безопасности:
Аутентификация — определение источника сообщения.
Конфиденциальность — шифрование пакетов для защиты от перехвата.
Целостность — предотвращение изменений сообщений в пути, включая дополнительный механизм защиты от повторной трансляции перехваченного пакета.

Wikipedia.org: SNMP

Я рекомендую для первоначальной настройки установить настройки указанные в статье (значения и пароли, кроме IP адресов), после того как вы убедитесь, что все работает корректно, изменяйте необходимые параметры на свои.

Статья на других языках:

Настройка MikroTik SNMP v3

Настройка Community

Откройте настройки Community и внесите следующие настройки:

[IP] — [SNMP] — [SNMP Settings] — [Communities] — [+]

NameИмя community (username), пример: snmp-v3
AddressesIP адрес сервера Zabbix, пример: 10.41.11.10
Securityprivate
AccessRead Access
Authentication protocolSHA1
Encryption protocolDES
Authentication passwordПример: Tn_FMD5_Bw
Encryption passwordПример: k7TW_Th8V_ay

✏️ Заметки:

  • Я не смог настроить работу MikroTik AES (encryption protocol) совместно с Zabbix (в Zabbix нет пункта AES, а в MikroTik нет возможности указать стойкость шифрования AES. Возможно это будет исправлено позже).
  • Для Authentication password и Encryption password я использую только буквы, цифры и символ «_», когда я использовал специальные символы я получал невозможность подключения сервера Zabbix к устройству MikroTik.

Настройка SNMP v3

Откройте настройки SNMP и внесите следующие настройки:

[IP] — [SNMP] — [SNMP Settings]

Использовать SNMPEnabled
ContactКонтакты (необязательно), пример: mikrotik@mhelp.pro
LocationРасположение устройства (необязательно), пример: Main Office
Engine IDЯ использую MAC адрес устройства, пример: DC2C6E2D4656
Trap TargetIP адрес сервера Zabbix, пример: 10.41.11.10
Trap CommunityИмя community, пример: snmp-v3
Trap VersionВерсия SNMP, наш пример: 3
Trap Generatorsinterfaces
Настройка MikroTik SNMP v3 - MHelp.pro
Настройка SNMP-v3 в RouterOS v7

✏️ Заметка: Engine ID — если не указать значение поля, может появится проблема, что Zabbix не может подключиться к устройству, если устройств MikroTik много (может быть исправлено позже).

Настройка Zabbix SNMP v3

Создайте новый host в Zabbix:

[Monitoring] — [Hosts] — [Create host]

Host nameПример: MHRT01
Visible nameПример: MHELP.PRO MAIN ROUTER 01
TemplatesВыберите шаблон, пример: MikroTik RB5009UG+S+IN SNMP
Host groupsDiscovered hosts
InterfacesДобавьте сервис SNMP, нажмите Add
SNMPIP адрес сервера Zabbix, пример: 10.41.40.1
SNMP versionВыберите SNMPv3
Context nameEngine ID устройства, пример: DC2C6E2D4656
Security nameИмя community, пример: snmp-v3
Security levelauthPriv
Authentication protocolСоответствует выбранному на устройстве MikroTik, пример: SHA1
Authentication passphraseПример: Tn_FMD5_Bw
Privacy protocolСоответствует выбранному на устройстве MikroTik, пример: DES
Privacy passphraseПример: k7TW_Th8V_ay
Настройка Zabbix для MikroTik SNMP v3
Настройка SNMP-v3 в Zabbix

✏️ Заметки:

  1. В Zabbix 6 имеются шаблоны на популярные устройства MikroTik, найдите модель вашего устройства в списке.
  2. В MikroTik нет возможности указать длину ключа AES, поэтому используем DES шифрование в Privacy protocol.
  3. Context name равно Engine ID, если не указать этот параметр, возникала проблема подключения устройств (Zabbix не подключался к устройствам), когда было несколько устройств.

Если все указано верно, примерно через 1 минуту статус в столбце Availability сменится на зеленый SNMP.

Успешный мониторинг MikroTik SNMP-v3 используя Zabbix сервер
Успешное подключение устройства MikroTik к мониторингу Zabbix

Если сервер Zabbix не смог получить доступ к вашему устройству, нажмите на имя устройства в списке и выполните команду ping.

Если сервер видит (ping) ваше устройство, попробуйте использовать утилиту snmpwalk, для проверки корректности настройки SNMPv3.

Диагностика snmpwalk

Для диагностики настроек устройств, установите утилиту snmpwalk:

yum install net-snmp-utils

Опросите устройство MikroTik используя следующую команду, где 10.41.11.10 — IP адрес устройства MikroTik.

snmpwalk -v 3 -u snmp-v3 -l authPriv -A Tn_FMD5_Bw -a SHA -X k7TW_Th8V_ay -x DES 10.41.11.200 | head -n 5

Следующий ответ говорит о корректности настроек конечного устройства и поиске проблемы в настройках host, на сервере Zabbix:

SNMPv2-MIB::sysDescr.0 = STRING: RouterOS RB5009UG+S+
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.14988.1
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (276641500) 32 days, 0:26:55.00
SNMPv2-MIB::sysContact.0 = STRING: mikrotik@mhelp.pro
SNMPv2-MIB::sysName.0 = STRING: MHRT01

Иначе вы получите ответ что устройство недоступно. Это говорит, что конечное устройство настроено неверно:

Timeout: No Response from 10.41.40.1

Источник: MHelp.pro