Skip to end of metadata
Go to start of metadata


Beschreibung:
Dieses Dokument erläutert die Überwachungsfunktion der Aktionstabelle und die Benachrichtigung des Administrators per E-Mail und/oder SMS.
Info: 
Für die Benachrichtigung per SMS benötigen Sie LCOS ab Version 8.84 sowie einen LANCOM 3G- oder 4G-Router.

Voraussetzungen:


Szenario:
Der Ausfall einer VPN-Verbindung soll dem Administrator durch eine Mail mitgeteilt werden. Hierzu ist es notwendig, die Leitung durch ein Polling zu überwachen sowie eine Aktion zu definieren, die beim unbeabsichtigten Ausfall der Verbindung eine E-Mail oder eine SMS versendet. Geplante Verbindungsabbrüche (z.B.: Zwangstrennung der DSL-Verbindung durch den Provider) sollen hingegen ignoriert werden.
Es reicht aus, die Überwachung durch Polling und die entsprechende Benachrichtigung bei Ausfall der Verbindung nur auf der Zentrale zu konfigurieren. Hierdurch wird der Ausfall jeder VPN-Verbindung erkannt und die Information versand.
Allerdings sollte, um den DSL-Komplettausfall der Zentrale abzufangen (hierbei kann die Zentrale keine Infomail mehr versenden), mindestens eine der Filialen ebenfalls eine Benachrichtigung erzeugen.
Drei Formen des Pollings sind in einem LANCOM VPN-Router möglich.
  • PPP-LCP-Echo-Monitoring: Dies kann genutzt werden, wenn es sich um eine Dynamic-VPN-Verbindung über ICMP, den ISDN-D-Kanal oder ISDN-B-Kanal handelt.
  • Dead Peer Detection: Sendet "are you there" Pakete als Teil des IKE-Vorgangs
  • ICMP-Polling: Sendet ICMP-Pakete an eine IP-Adresse der Gegenseite (im Idealfall an die interne IP-Adresse der VPN-Gegenstelle)
Eine gleichzeitige Nutzung mehrerer Pollings ist möglich. Zur Erkennung des Verbindungsabbruchs ist nur je eine einzelne Variante notwendig.
In dem Beispielszenario wird von einem sternförmigen VPN-Verbindung mit drei Filialen und einer Zentrale ausgegangen. Der Verbindungsaufbau erfolgt automatisch durch die Filialen (Keep Alive).
Zentrale: Netz-ID: 192.168.0.0/24 Lokale IP: 192.168.0.1
Filiale 1: Netz-ID: 192.168.1.0/24 Lokale IP: 192.168.1.1
Filiale 2: Netz-ID: 192.168.2.0/24 Lokale IP: 192.168.2.1
Filiale 3: Netz-ID: 192.168.3.0/24 Lokale IP: 192.168.3.1


Vorgehensweise:
Die Konfiguration erfolgt über LANconfig und erfolgt am Beispiel der Zentrale und der Filiale1. Bei Einrichtung weiterer Filialen ist in der Zentrale analog zu verfahren.

1. Aktivierung des Pollings zur Überwachung der VPN-Verbindung
In diesem Szenario wird das DPD-Polling auf beiden Seiten verwendet. Dieses sendet „Are you there“ Pakete im IKE in einem einstellbaren Zeittakt. Es wird aktiviert durch Setzen eines Zeitwertes in der Verbindungsliste für den Parameter Dead Peer Detection.



2. Konfiguration der SMTP-Parameter
Unter Konfiguration -> Meldungen -> SMTP-Konto werden die SMTP-Daten eingepflegt.



3. Konfiguration des SMS-Moduls
Wenn Sie einen 3G- oder 4G-fähigen LANCOM Router mit LCOS ab Version 8.84 einsetzen, können Sie Benachrichtigungen auch per SMS versenden.
Dazu müssen Sie das SMS-Modul im Menü Konfiguration -> Meldungen -> SMS-Nachrichten konfigurieren.

  • Geben Sie unter Eingangs-Größe die maximale Anzahl an Kurznachrichten an, die das Gerät im Nachrichteneingang aufbewahrt. Beim Überschreiten der eingestellten Anzahl wird die älteste Nachricht gelöscht. In diesem Fall erfolgt kein SYSLOG-Eintrag. Der Wert 0 deaktiviert das Limit, d. h. Nachrichten werden im unbegrenzten Umfang aufbewahrt.
  • Legen Sie unter Löschen gesendeter Nachrichten fest, wie das Gerät mit versendeten Kurznachrichten umgeht.
    • Sofort: Versendete Kurznachrichten werden nicht gespeichert.
    • Nie: Versendete Kurznachrichten werden dauerhaft gespeichert.
  • Geben Sie unter Ausgangs-Größe die maximale Anzahl an Kurznachrichten an, die das Gerät im Nachrichtenausgang aufbewahrt. Beim Überschreiten der eingestellten Anzahl wird die älteste Nachricht gelöscht. In diesem Fall erfolgt kein SYSLOG-Eintrag. Der Wert 0 deaktiviert das Limit, d. h. Nachrichten werden im unbegrenzten Umfang aufbewahrt.
  • Legen Sie unter Syslog-Benachrichtigung fest, ob und wie das Gerät eingehende Kurznachrichten im SYSLOG protokolliert.
    • Nein: Im SYSLOG erfolgt für eingehende Kurznachrichten kein Eintrag.
    • Nur Absender/kein Inhalt: Der Eingang einer Kurznachricht wird zusammen mit der Absender-Rufnummer im SYSLOG erfasst.
    • Vollständig: Der Eingang einer Kurznachricht wird zusammen mit der Absender-Rufnummer und dem vollständigen Nachrichtentext im SYSLOG erfasst.
  • Optional: Geben Sie unter Mail-Weiterleitungs-Adresse die E-Mail-Adresse an, an die das Gerät eingehende Kurznachrichten weiterleiten soll. Damit die E-Mail-Weiterleitung funktioniert, muss ein gültiges SMTP-Konto im Gerät konfiguriert sein (siehe Schritt 2).


4. Konfiguration des Zeit-Servers (NTP-Client)
Damit der Router die korrekte Uhrzeit des Abbruchs mitteilen kann, muss er als NTP-Client eines Zeitservers konfiguriert werden. Dieses Feature erleichtert in den meisten Anwendungsfällen eine zeitlich korrekte Zuordnung des Logs bzw. der Überwachung.
Hierzu kann unter Konfiguration -> Datum-Zeit -> Synchronisierung ein NTP-Server angegeben werden. Es sind bereits die Adressen mehrerer bekannter NTP-Server hinterlegt. Aus Redundanzgründen können hier auch mehrere Adressen konfiguriert werden.



5. Generieren einer Benachrichtigung
Über die Aktions-Tabelle wird der Verbindungszustand der Gegenstellen nachgehalten. Bleibt die Antwort auf das Polling aus, soll eine hier definierte Aktion durchgeführt werden.
5.1 Benachrichtigung per E-Mail
Die Syntax für die Aktion lautet:
mailto:test@lancom.de?subject=VPN-Verbindung abgebrochen um %t?body=VPN-Verbindung zu Filiale 1 ging verloren
  • mailto: = Befehl
  • test@lancom.de = Zieladresse
  • ? = Trennzeichen
  • subject = Betreff
  • %t = Variable für die aktuelle Systemzeit (optional)
  • body = Textfeld





5.2 Benachrichtigung per SMS
Info: 
Für die Benachrichtigung per SMS benötigen Sie LCOS ab Version 8.84 sowie einen LANCOM 3G- oder 4G-Router.
Die Syntax für die Aktion lautet:
exec: smssend -d <Ziel-Rufnummer> -t <Text max. 160 Zeichen>
  • Beispiel: exec: smssend -d 017112345678 -t "Die VPN-Verbindung zu Filiale 1 ist abgebrochen."



6. Vermeidung einer Mail durch die Zwangstrennung der zugrundeliegenden DSL-Anbindung
Bei den meisten DSL-Verbindungen erfolgt alle 24 Stunden eine Zwangstrennung. Damit nicht auch diese eine Mail zum VPN-Abbruch generieren, kann man wie folgt vorgehen.
Die Zwangstrennung wird durch einen CRON-Job in Echtzeit auf 3 Uhr nachts verlegt.
Befehl: do /other/manual/disconnect <Gegenstellen-Name>
Vor der Durchführung der Trennung wird durch einen anderen CRON-Eintrag der Aktionstabelleneintrag zur Erzeugung der Abbruchsmail deaktiviert.
Befehl: set /setup/wan/action-table/X no
Der Platzhalter X steht für den Index-Eintrag in der Aktions-Tabelle (z.B. set /setup/wan/action-table/1 no)
Nach Durchführung der Zwangstrennung wird der Aktionstabelleneintrag wieder aktiviert.
Befehl: set /setup/wan/action-table/X yes
Der Platzhalter X steht für den Index-Eintrag in der Aktions-Tabelle (z.B. set /setup/wan/action-table/1 yes)