Artículos relacionados
Zabbix: Monitorizar equipos de diferentes redes
Hoy os voy a explicar como monitorizar con un solo servidor Zabbix dos redes o más, con diferentes direccionamiento.
Mi router / firewall para la 192.168.2.0/24 es 192.168.2.69, que es el que tiene la conexión a Internet en la WAN. A su vez, tengo montado el SOC y las máquinas virtuales asociadas con un firewall OPNSense (192.168.2.163 en WAN) bajo Proxmox, con WAN como gateway 192.168.2.69 y LAN con direccionamiento 10.0.0.0/24 (OPNSense con IP 10.0.0.1 en LAN).
Mi idea es, que el Zabbix, que tiene IP 192.168.2.200 y está virtualizado en Unraid y no Proxmox, monitorice también las máquinas virtuales del SOC.
Configurar Zabbix para monitorizar dispositivos y servicios en diferentes redes implica algunos pasos adicionales para asegurar que Zabbix Server pueda comunicarse con todos los dispositivos a través de las diversas subredes. Aquí tienes una guía para configurar Zabbix en diferentes redes:
Paso 1: Requisitos Previos
- Zabbix Server: Instalado y configurado.
- Zabbix Agent: Instalado en todos los dispositivos que se monitorizarán.
- Conectividad de Red: Verifica que Zabbix Server pueda alcanzar todas las subredes.
- Configuración de Firewall: Asegúrate de que los puertos necesarios estén abiertos entre ambas redes a través de ambos firewalls y que tengan rutas para entenderse entre ellos (puerto 10050 para Zabbix Agent y puerto 10051 para Zabbix Server).
- Genero una ruta y regla en el mikrotik:
1 2 3 |
/ip route add dst-address=10.0.0.0/24 gateway=192.168.2.163 /ip firewall filter add chain=forward src-address=192.168.2.0/24 dst-address=10.0.0.0/24 protocol=tcp dst-port=10050-10051 action=accept /ip firewall filter add chain=forward src-address=10.0.0.0/24 dst-address=192.168.2.200 protocol=tcp dst-port=10050-10051 action=accept |
-
- A nivel de OPNSense:
-
-
- Agregar una regla en la interfaz LAN:
- Ve a Firewall -> Rules -> LAN.
- Agrega una regla para permitir el tráfico desde la red 10.0.0.0/24 hacia 192.168.2.200 en los puertos de Zabbix:
- Action: Pass
- Interface: LAN
- Source: 10.0.0.0/24
- Destination: 192.168.2.200
- Destination Port Range: 10050-10051
- Description: Permitir tráfico Zabbix a 192.168.2.200
- Agregar una regla en la interfaz WAN:
- Ve a Firewall -> Rules -> WAN.
- Agrega una regla para permitir el tráfico desde la red 192.168.2.0/24 hacia 10.0.0.0/24 en los puertos de Zabbix:
- Action: Pass
- Interface: WAN
- Source: 192.168.2.0/24
- Destination: 10.0.0.0/24
- Destination Port Range: 10050-10051
- Description: Permitir tráfico Zabbix desde 192.168.2.0/24
- Agregar una regla en la interfaz LAN:
-
-
- Validamos que llegamos desde una máquina de la red 10.0.0.0/24:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
root@WAZUH01:~# ping 192.168.2.200 PING 192.168.2.200 (192.168.2.200) 56(84) bytes of data. 64 bytes from 192.168.2.200: icmp_seq=1 ttl=63 time=0.936 ms 64 bytes from 192.168.2.200: icmp_seq=2 ttl=63 time=0.960 ms ^C --- 192.168.2.200 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1044ms rtt min/avg/max/mdev = 0.936/0.948/0.960/0.012 ms root@WAZUH01:~# telnet 192.168.2.200 10050 Trying 192.168.2.200... Connected to 192.168.2.200. Escape character is '^]'. ^CConnection closed by foreign host. root@WAZUH01:~# ^C root@WAZUH01:~# telnet 192.168.2.200 10051 Trying 192.168.2.200... Connected to 192.168.2.200. Escape character is '^]'. ^CConnection closed by foreign host. root@WAZUH01:~# traceroute 192.168.2.200 traceroute to 192.168.2.200 (192.168.2.200), 30 hops max, 60 byte packets 1 OPNsense.negu.local (10.0.0.1) 0.560 ms 0.536 ms 0.532 ms 2 192.168.2.69 (192.168.2.69) 0.644 ms 0.632 ms 0.634 ms 3 192.168.2.200 (192.168.2.200) 1.065 ms 1.059 ms * |
Paso 2: Configuración del Zabbix Proxy (opcional)
Si las redes están separadas por firewalls u otros dispositivos de seguridad que impiden la comunicación directa, puedes usar Zabbix Proxy para facilitar la monitorización. O si tienes un entorno grande, también es una buena opción. En mi caso, para el LAB no es necesario, pero os lo muestro:
Ventajas de Usar Zabbix Proxy
- Reducción de Carga en el Servidor Principal:
- El proxy recolecta datos de múltiples agentes y envía la información consolidada al servidor principal, reduciendo la carga de procesamiento y red en el servidor Zabbix.
- Supervisión de Redes Remotas:
- Facilita la supervisión de redes remotas o distribuidas donde el acceso directo desde el servidor Zabbix puede no ser posible o eficiente.
- Almacenamiento en Caché:
- En caso de pérdida de conexión entre el proxy y el servidor principal, el proxy puede almacenar temporalmente los datos y reenviarlos cuando se restablezca la conexión.
- Seguridad Mejorada:
- El uso de proxies puede reducir la superficie de ataque al minimizar el número de dispositivos que requieren acceso directo al servidor Zabbix a través del firewall.
- Facilidad de Administración:
- Simplifica la administración y el despliegue de agentes Zabbix en redes grandes o complejas.
Implementar Zabbix Proxy
- Instalar Zabbix Proxy en una máquina dentro de cada red que necesite monitorización.
1 2 |
sudo apt update sudo apt install zabbix-proxy-mysql |
Edite el archivo de configuración del proxy (/etc/zabbix/zabbix_proxy.conf):
1 |
sudo nano /etc/zabbix/zabbix_proxy.conf |
Configura los siguientes parámetros:
1 2 3 4 5 |
Server=<Zabbix_Server_IP> Hostname=<Proxy_Hostname> DBName=<Proxy_Database_Name> DBUser=<Proxy_Database_User> DBPassword=<Proxy_Database_Password> |
Configurar la Base de Datos:
Si usas MySQL, crea una base de datos para el proxy:
1 2 3 |
CREATE DATABASE zabbix_proxy CHARACTER SET utf8 COLLATE utf8_bin; GRANT ALL PRIVILEGES ON zabbix_proxy.* TO 'zabbix'@'localhost' IDENTIFIED BY 'password'; FLUSH PRIVILEGES; |
Importa el esquema de la base de datos:
1 |
zcat /usr/share/doc/zabbix-proxy-mysql/schema.sql.gz | mysql -u zabbix -p zabbix_proxy |
Iniciar Zabbix Proxy:
1 2 |
sudo systemctl start zabbix-proxy sudo systemctl enable zabbix-proxy |
Paso 3: Configurar Hosts en Zabbix Server (opcional)
- Añadir el Proxy a Zabbix Server:
- Navega a “Administration” -> “Proxies” en la interfaz de Zabbix.
- Haz clic en “Create proxy” y rellena los detalles del proxy que configuraste.
- Configurar Hosts para Usar el Proxy:
- Navega a “Configuration” -> “Hosts”.
- Edita o crea un host.
- En la sección “Host interfaces”, selecciona el proxy configurado en el paso anterior.
Paso 4: Configuración de Zabbix Agent en los Dispositivos
- Instalar y Configurar Zabbix Agent:
1 2 |
sudo apt update sudo apt install zabbix-agent |
Edita el archivo de configuración del agente (/etc/zabbix/zabbix_agentd.conf):
1 |
sudo nano /etc/zabbix/zabbix_agentd.conf |
Configura los siguientes parámetros:
1 2 3 |
Server=<Proxy_IP_or_Hostname> ServerActive=<Proxy_IP_or_Hostname> Hostname=<Agent_Hostname> |
Iniciar Zabbix Agent:
1 2 |
sudo systemctl start zabbix-agent sudo systemctl enable zabbix-agent |
Paso 5: Crear regla de descubrimiento en Zabbix
Finalmente, podéis hacer una regla de descubrimiento en Zabbix para la red 10.0.0.0/24. Os dejo la última entrada para esto, donde creo acciones al descubrimiento, grupo de equipos…:
Agregar automáticamente un PC Detectado en descubrimiento de LAN en Zabbix 7 LTS
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?