Cómo solucionar el error ‘Fallo en la autenticación del mensaje’ al realizar un SNMPv3 walk en el puerto de gestión de Fortinet

0
0
0

En este artículo se describe una solución para un escenario en el que se encuentra el error ‘La autenticación o verificación del mensaje falló (error general de snmp)’ al realizar un SNMPv3 walk. Este problema es relevante para los administradores de redes que utilizan dispositivos FortiGate, ya que afecta la capacidad de monitoreo y gestión de la red. El artículo proporcionará pasos claros para diagnosticar y resolver este problema, garantizando una correcta configuración y funcionalidad de SNMP en entornos de alta disponibilidad (HA).

Descripción del problema

El error ‘La autenticación o verificación del mensaje falló (error general de snmp)’ típicamente ocurre en configuraciones de alta disponibilidad (HA) cuando se intenta realizar un SNMP walk a través del puerto de gestión. Esto puede impedir la supervisión adecuada de los dispositivos, causando alertas sobre el estado de la red y afectando la eficacia de las operaciones de gestión.

Alcance

Este artículo se aplica a dispositivos FortiGate configurados en un entorno de alta disponibilidad donde se utiliza SNMPv3 para la supervisión de red.

Diagnóstico paso a paso

Para diagnosticar el problema, es útil habilitar la depuración para el demonio SNMP. A continuación, se presentan los comandos necesarios para obtener información sobre el error:

Salida del CLI:


date=2024-11-14 time=00:01:00 eventtime=1731522660931348589 tz="+0530" logid="0100029021" type="event" subtype="system" level="warning" vd="root" logdesc="SNMP query failed" dstip=10.210.1.3 dstport=161 srcip=10.210.2.56 srcport=27549 version="SNMP_v3" msg="Message authentication or checking failed (snmp general error)."

Salida de depuración:


FW1 # diagnose debug console timestamp en
FW1 # diagnose debug app snmpd -1
Debug messages will be on for 30 minutes.
FW1 # diagnose debug enable
2024-11-13 23:48:34 snmpd: updating cache: idx_cache (:)
...
2024-11-13 23:48:45 snmpd: v3 recv: parse failed. errno=-1 (snmp general error)

Este error es comúnmente encontrado en configuraciones HA donde el SNMP walk se realiza en el puerto de gestión. A continuación se presentan detalles sobre la configuración HA y la interfaz reservada de gestión que podrían estar involucrados en el problema.

Artículos relacionados  Cómo resolver el problema de cambio de IP de origen en FortiGate para enviar tráfico SNMP a través de VPN IPsec

Solución recomendada

Para solucionar este problema, se deben realizar las siguientes configuraciones en FortiGate:

Configuración de HA:


config system ha
    set group-name "HA"
    set mode a-p
    set password ENC
    set hbdev "ha" 0
    set session-pickup enable
    set ha-mgmt-status enable
    config ha-mgmt-interfaces
        edit 1
            set interface "mgmt"
            set gateway 10.210.1.1
        next
    end
    set override disable
    set priority 200
end

Interfaz reservada de gestión:


config system interface
    edit "mgmt"
        set vdom "root"
        set ip 10.210.1.3 255.255.255.0
        set allowaccess ping https ssh snmp http
        set type physical
        set role lan
        set snmp-index 1
    next
end

Por defecto, la interfaz reservada no estará disponible para el enrutamiento en el FortiGate para el tráfico de gestión, como SNMP. Para permitir que esta interfaz sea utilizada por SNMP, debe habilitarse ‘ha-direct‘.


config system snmp user
    edit "snmp_user"
        set notify-hosts 10.210.2.56
        set ha-direct enable
        set security-level auth-no-priv
        set auth-proto sha256
        set auth-pwd ENC XXXXXXXXXXYYYYYYYYYYYY
    next

Una vez habilitado ha-direct, FortiGate permite que la interfaz reservada de gestión HA envíe traps SNMP. Sin embargo, es crucial referirse a la Nota técnica: Envío de mensajes (logs, SNMP, RADIUS) directamente desde la interfaz de gestión HA antes de habilitar ha-direct.

Comandos CLI utilizados

Aquí se resumen los comandos CLI utilizados para la depuración y configuración:

  • diagnose debug console timestamp en – Habilita la marca de tiempo en la consola de depuración.
  • diagnose debug app snmpd -1 – Inicia la depuración para el demonio SNMP.
  • diagnose debug enable – Habilita la depuración en el FortiGate.

Buenas prácticas y recomendaciones

Para prevenir problemas en el futuro, se recomienda lo siguiente:

  • Revise regularmente la configuración de SNMP y HA en FortiGate.
  • Realice pruebas de conectividad a través del puerto de gestión.
  • Asegúrese de mantener una documentación clara de la configuración de la red.
Artículos relacionados  Cómo resolver el tráfico sin etiquetar en una interfaz de FortiGate

Notas adicionales

Es importante tener en cuenta que la configuración de HA y el uso de SNMP deben ser gestionados cuidadosamente para evitar conflictos. Monitorear las advertencias y errores registrados en el sistema es fundamental para el mantenimiento proactivo de la infraestructura de red.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *