Многие системные системный администраторы используют для удалённого доступа сотрудников в офис OpenVPN, который создаёт на сервере виртуальный tap-интерфейс.

Иногда возникает необходимость следить за трафиком, проходящим через OpenVPN, например с помощью MRTG. Если OpenVPN сервер и MRTG установлены на одном и том же сервере - задача решается с помощью несложных скриптов, которые уже описывались. Однако этот способ не подойдёт в том случае, если MRTG работает на отдельном сервере и наблюдает за интерфейсами офисного шлюза "издалека".

Далее будет показано как решить эту задачу для офисного шлюза, информацию о трафика через который снимает отдельный сервер мониторинга.

Как всегда начальные условия:

• Офисный шлюз с внутренним адресом 192.168.2.1 под управлением Ubuntu Server 8.10, имеющий два интерфейса: внешний - eth0 и внутренний - eth1. На нём так же развёрнут OpenVPN-сервер, который использует интерфейс tap0.
• Сервер мониторинга под управлением Debian Sid с IP-адресом 192.168.2.10.

Переходим к решению задачи. Для начала установим snmpd на офисном шлюзе:

apt-get install snmpd

Далее приводим файл /etc/default/snmpd к виду:

export MIBDIRS=/usr/share/snmp/mibs
SNMPDRUN=yes
SNMPDOPTS='-c /etc/snmp/snmpd.conf'
TRAPDRUN=no
TRAPDOPTS='-Lsd -p /var/run/snmptrapd.pid'
SNMPDCOMPAT=yes

Затем приводим файл к виду:

syslocation   Work
syscontact    user@some.host
sysservices   0
sysservices   12
rocommunity   public  192.168.2.10
syslocation:  Systemland, USA

И перезапускаем службу:

invoke-rc.d snmpd restart

Если у вас используются другие адреса - здесь и далее подставляйте свои значения.

Переходим к серверу мониторинга. Для начала установим на него mrtg:

apt-get install mrtg

Создадим начальную конфигурацию:

cfgmaker public@192.168.2.1 > /etc/mrtg.cfg

Далее выбросим из файла конфигурации всё то, что не относится к интерфейсам eth0 и eth1. Возможно вы так же захотите переопределить параметр WorkDir, определяющий место, куда MRTG будет складывать графики.

А вот теперь встаёт вопрос: что же делать с интерфейсом tap0? При сборе статистики по snmp к интерфейсам обращаются по их индексам, однако у tap0 индекс меняется с каждым перезапуском сервиса openvpn, а информация об имени интерфейса в snmp отсутствует.

Решение приходит в виде описанных ранее скриптов, которые с незначительными модификациями можно использовать и для решения этой задачи.

В модифицировнном вариате скрипт будет заходить на шлюз по SSH и уже там запускать утилиту ifconfig для получения информации об интерфейса tap0. Для этого нам понадобиться создать отдельного пользователя на шлюзе и настроить авторизацию по ключу.

Создаём на шлюзе пользователя:

adduser mrtg

Затем на сервере мониторинга от имени пользователя root гененируем новый ключ:

ssh-keygen -t dsa

Копируем его на шлюз:

ssh-copy-id -i ~/.ssh/id_dsa.pub mrtg@192.168.2.1

Теперь создаём скрипт, который будет забирать информацию со шлюза:

#!/bin/sh

IFACE="tap0"
INPUT=`ssh moose@192.168.2.1 /sbin/ifconfig ${IFACE} | grep bytes | awk '{print $2;}' | cut -d ':' -f2`
OUTPUT=`ssh moose@192.168.2.1 /sbin/ifconfig ${IFACE} | grep bytes | awk '{print $6;}' | cut -d ':' -f2`
DATE=`date +%s`
echo $INPUT
echo $OUTPUT
echo $DATE
echo $IFACE

И сохраняем его на сервер мониторинга под именем: /root/scripts/mrtg_get_openvpn_info.sh. Так же его нужно сделать исполняемым:

chmod +x /root/scripts/mrtg_get_openvpn_info.sh

После чего добавляем в файл конфигурации mrtg следующие строки:

Target[openvpn]: `/root/scripts/mrtg_get_openvpn_info.sh`
MaxBytes[openvpn]: 10000000
#XSize[openvpn]: 600
#YSize[openvpn]: 160
Title[openvpn]: OpenVPN
PageTop[openvpn]: <h1>OpenVPN traffic graph</h1>

Теперь у нас среди прочих графиков появится ещё и график загрузки интерфейса OpenVPN.

На этом всё. Приятной работы!