セグメントを超えた場合の設定
初めて投稿させて頂きます。
ZABBIXを使ったサーバの監視を検討しております。
監視端末(Zabbix-Server)はローカルのセグメントにあり、そこからVPNの拠点先やDMZなど多数のセグメントを監視したいと考えております。
試しにDMZセグメントへ、agentをインストール後、Zabbixの管理画面から、監視の設定を使用としたのですが、ホストのところに
「Assuming that agent dropped connection because of access permissions」と表示されてしまいます。
Agent側にも、/etc/zabbix/zabbix_agentd.confの"Server="にZabbixサーバがインストールされたIPを指定しております。
各セグメント間には、F/Wがありますが、ZabbixServerからの通信は全て通すように設定しております。
Server側とAgent側が同一セグメンテでない場合、何らかの追加設定が必要なのでしょうか?
ちなみに、ZabbixServerが入っている端末自体のAgentへの通信や、ZabbixServerと同一セグメント上にあるサーバにZabbixAgentには正常に情報が取得できることを確認しております。
ZabbixServer
Ver.1.6.5
OS.Redhat Enterprise Linux 5.3
ZabbixAgent(DMZセグメントにいるサーバ)
Ver.1.6.5
OS.Redhat Enterprise Linux 5.2
大変申し訳ございませんが、問題の切り分けか他党でも結構ですので、ご教授の程、お願いいたします。
kodai - 投稿数: 1341
こんにちは。
すでに設定されているとは思いますが、ZABBIXエージェントからZABBIXサーバへの戻りの通信()を許可しておく必要があります。
また、間にあるファイアーウォールではNATなどでアドレス変換が行われていたりしないでしょうか?
ZABBIXエージェントはzabbix_agentd.confのServer=に設定されたアドレスまたはホスト名からの監視の通信のみ応答するため、ZABBIXサーバとZABBIXエージェント間にNATが入る場合は、zabbix_agentd.confには変換後のアドレスを設定する必要があります。
doraemon - 投稿数: 4
お世話になっております。
早速アドバイスを頂きありがとうございました。
DMZから内部のセグメントは共にNATは掛かっておらずお互いが直接通信が出来るようになっております。
そこで、お互いのtracerouteで経路を確認したところ、どうもZabbix-Server側からの経路とDMZからの経路が異なっているようでうまくパケットが渡せていない状況を見つけました。
Zabbixサーバ側のデフォゲの設定変更で、何事もなかったかのように監視結果情報が表示されるようになりました!
基本的なところでお騒がせをし、大変申し訳ありませんでした。
これから、Zabbixをたっぷり堪能したいと思います。
どうぞ、今後ともよろしくお願い致します。