Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3183 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SNMP Access on External Link

silencert
I am using the ASG220 with firmware v7.102. I can access the snmp information on the internal interface but SNMP through external interface is not accessible.

snmpwalk output is no reponse from host.

I can't see the request in the packet filter log.

What do I need to do to make it work.


This thread was automatically locked due to age.
  • 0
    You just need to set up the appropriate access controls for the SNMP service.
  • 0 in reply to drees
    What do you mean by proper access control?

    I have done the following on the Web GUI

    Management -> SNMP -> Allowed Network -> "Local Network"
    Management -> SNMP -> Allowed Network -> "External Network"
    Management -> SNMP -> Community String -> mycommunity

    I can access SNMP from Local Network machines but when I do the same from external I get request has timed out.

    Is there something I am missing ??
  • 0 in reply to silencert
    Are the external machines you are trying to access SNMP from in the External Network, or some other public network?

    I suspect it is the latter, so you need to create another definition for that host/network and grant access.
  • 0 in reply to drees
    The machine I am accessing from is in the external network subnet. Do I need to make a specific host definition?

    I have tried the following on the Web GUI

    Management -> SNMP -> Allowed Network -> Any

    But still I can only access snmp from internal network and not from outside.
    Any insight would be highly appreciated
  • 0 in reply to silencert
    If you have any, then it should definitely work.

    I have found that some ISPs filter inbound SNMP. Perhaps you can check.
  • 0 in reply to drees
    I wouldn't allow access to SNMP from an unprotected network anyway... have you considered a site-to-site VPN to secure that traffic?
  • 0 in reply to BrucekConvergent
    I wouldn't allow access to SNMP from an unprotected network anyway... have you considered a site-to-site VPN to secure that traffic?

    Does that work in V7?

    I just tried it in V6, and for some weird reason the return SNMP packets get sent with a source IP address of the external interface instead of the one you sent the SNMP packets too and they get dropped.

    For example, let's say I have two firewalls with the following interface definitions:

    Ext 1: 1.1.1.1/32
    Lan 1: 10.1.1.1/24

    Ext 2: 2.2.2.2/32
    Lan 2: 10.2.2.2/24

    So I create a VPN between 10.1.1.0/24 and 10.2.2.0/24 and then allow SNMP access from each Lan subnet to SNMP.

    So when a client (say 10.2.2.3) on Lan 2 tries to access SNMP using 10.1.1.1 on firewall 1, firewall logs dropped packets that look like this:

    Time 1.1.1.1 161 -> 10.2.2.3 UDP 20 132 64 DF

    Obviously that's not going to work... Maybe if I create a rule for that, but it should not be necessary.

    Edit: Creating a rule to allow the dropped packet and turning off strict routing on the VPNs don't help, either.