Hallo allseits,
ich gebe zu, ich beschäftige mich selten mit Lancom Routern, ich habe hier jede Menge Equipment von Cisco. Und einen Lancom 8011 (FW 5.06), der mit einem 1611 (FW 5.06) in einer Außenstelle redet. Und die beiden wollte ich mal eben schnell in unser internes SNMP Überwachungssystem einbinden. Das war vor etwa drei Stunden ...
Der 8011 funktioniert wie gewünscht.
Wenn ich versuche, vom 1611 SNMP Werte abzufragen, generiert der Router eine "authentication failure" trap. Also kann er mit der "public" community nichts anfangen. Aber wieso???? Und warum an verschiedenen Stellen?
Folgende Konfiguration ist im Router (LanConfig):
Management
* Der Router hat ein langes, kryptisches Hauptgeräte-Passwort.
* Admin: "SNMP Lesezugriff nur mit Passwort": AUS.
* Admin: Zugriffsrechte lokales Netz: SNMP erlaubt
* Admin: Zugriffsrechte entferntes Netz: SNMP erlaubt
* Admin: Zugriffs-Stationen: IP AdresseSubnetz-Maske der Monitor-Station
Meldungen
* SNMP: Informationen über ... bla ... Traps: EIN
* SNMP: SNMP-Manager: IP Adresse meiner Monitor Station
Im SNMP Manager gebe ich als community "public" (alles klein) und die IP Adresse an, das sollte eigentlich reichen für die simple Konfiguration hier. Tut es aber nicht. Für mich schaut es fast so als als ob der Router einen anderen community-Namen als "public" hätte, aber ich habe nie einen besonderen vergeben, und auch keine Konfigurationsmöglichkeit dafür gefunden.
Wer hat eine Idee?
...Armin
Unter Experten-Konfig - Status - SNMP: Auth-Fail: 54
Lancom 1611 zickt bei SNMP
Moderator: Lancom-Systems Moderatoren
Moin,
die public-Community funktioniert bei LANCOMs *nur* für Lesezugriffe, wie
der Menüpunkt schon nahelegt. Schreibzugriffe müssen mit dem Paßwort
als Community erfolgen, und es muß dafür auch ein Paßwort gesetzt sein.
Gruß Alfred
die public-Community funktioniert bei LANCOMs *nur* für Lesezugriffe, wie
der Menüpunkt schon nahelegt. Schreibzugriffe müssen mit dem Paßwort
als Community erfolgen, und es muß dafür auch ein Paßwort gesetzt sein.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Ich versuche, nur zu lesen. Mehr ist nicht notwendig.alf29 hat geschrieben:Moin,
die public-Community funktioniert bei LANCOMs *nur* für Lesezugriffe, wie
der Menüpunkt schon nahelegt. Schreibzugriffe müssen mit dem Paßwort
als Community erfolgen, und es muß dafür auch ein Paßwort gesetzt sein.
Gruß Alfred
...Armin
Hi arminl
also wenn du das hier:
Trage als Adresse die Netzadresse ein oder setze die Netzmaske auf 255.255.255.255.
Desweiteren läßt das LANCOM vom WAN her nur Zugriffe mit einem Paßwort zu, lehnt dort "public" also ab. Wenn du nun nicht das Hauptpaßwort ständig durchs Netz laufen lassen willst, kannst du einen weiteren User einrichten (unter Admin -> weitere Administratoren), der nur Leserechte hat. Als Commuinty für die SNMP-Zugriffe verwendest du dann Username:Passwort
Gruß
Backslash
also wenn du das hier:
wirklich konfiguriert hast, dann muß es scheitern, weil die Abfrage Quelladresse & Accesslisten-Netzmaske == Accesslisten-Adresse so immer FALSE ergibt (selbst über Telnet oder LANconfig dürftest du jetzt keinen Zugriff mehr haben...)Admin: Zugriffs-Stationen: IP AdresseSubnetz-Maske der Monitor-Station
Trage als Adresse die Netzadresse ein oder setze die Netzmaske auf 255.255.255.255.
Desweiteren läßt das LANCOM vom WAN her nur Zugriffe mit einem Paßwort zu, lehnt dort "public" also ab. Wenn du nun nicht das Hauptpaßwort ständig durchs Netz laufen lassen willst, kannst du einen weiteren User einrichten (unter Admin -> weitere Administratoren), der nur Leserechte hat. Als Commuinty für die SNMP-Zugriffe verwendest du dann Username:Passwort
Gruß
Backslash
Hallo Backslash,
das wars! Doppelfehler! Jetzt funzts, und wenn Du jemals nach Augsburg kommst vergiss nicht, Dich von mir in Alkohol ertränken zu lassen
Allerdings: die Art, einen Usernamen und ein Passwort in einen Community-String finde ich ziemlich na sagen wir mal: mutig. Ist das irgendein Standard, oder einfach eine esoterische Idee von Lancom? Und nehmen wir mal an, ich hätte mich erst mal durch die Lancom Doku gewühlt ... hätte das Detail mit den Einschränkungen der public community und diese Art, Passwörter zu übergeben, irgendwo gestanden? Ich habe gestern die paar Seiten im Handbuch zur SNMP Konfiguration überflogen, aber derlei wäre mir nicht aufgefallen ...
...Armin
das wars! Doppelfehler! Jetzt funzts, und wenn Du jemals nach Augsburg kommst vergiss nicht, Dich von mir in Alkohol ertränken zu lassen
Allerdings: die Art, einen Usernamen und ein Passwort in einen Community-String finde ich ziemlich na sagen wir mal: mutig. Ist das irgendein Standard, oder einfach eine esoterische Idee von Lancom? Und nehmen wir mal an, ich hätte mich erst mal durch die Lancom Doku gewühlt ... hätte das Detail mit den Einschränkungen der public community und diese Art, Passwörter zu übergeben, irgendwo gestanden? Ich habe gestern die paar Seiten im Handbuch zur SNMP Konfiguration überflogen, aber derlei wäre mir nicht aufgefallen ...
...Armin
Hi arminl,
Daher hat LANCOM es einfach übernommen... (OK das hätte man auch noch Base64-Codieren können, wie beim Browser - aber auch das ist letztendlich nur Klartext und bringt keine weitere Sicherheit...)
Referenzhandbuch Seite 43...
Die Sache, daß der Zugriff vom WAN nicht ohne Paßwort möglich ist, ergibt sich indirekt aus dem Satz "ansonsten gelten die gleichen Rechtebeschränkungen wie unter Telnet" (das lehnt den Zugang vom WAN ohne Paßwort ab...)
Gruß
Backslash
nun ja, die Community ist erstmal nur eine beliebige Zeichenkette, daher darf da zunächst mal drin stehen, was man gerne hätte. Als zweites gibt man ja auch beim Browser vor der URL Userneme und Paßwort in dieser Form an: http:://user:passwort@www.meinserver.de...Allerdings: die Art, einen Usernamen und ein Passwort in einen Community-String finde ich ziemlich na sagen wir mal: mutig. Ist das irgendein Standard, oder einfach eine esoterische Idee von Lancom?
Daher hat LANCOM es einfach übernommen... (OK das hätte man auch noch Base64-Codieren können, wie beim Browser - aber auch das ist letztendlich nur Klartext und bringt keine weitere Sicherheit...)
Und nehmen wir mal an, ich hätte mich erst mal durch die Lancom Doku gewühlt ... hätte das Detail mit den Einschränkungen der public community und diese Art, Passwörter zu übergeben, irgendwo gestanden?
Referenzhandbuch Seite 43...
Die Sache, daß der Zugriff vom WAN nicht ohne Paßwort möglich ist, ergibt sich indirekt aus dem Satz "ansonsten gelten die gleichen Rechtebeschränkungen wie unter Telnet" (das lehnt den Zugang vom WAN ohne Paßwort ab...)
Gruß
Backslash