Una de estas cosas raras que te encuentras, resulta que han movido (sin avisar … como siempre) una DMZ que estaba pinchada en un ASA a un Checkpoint … y desde ese momento el agente de Nagios ha dejado de funcionar (solo el agente, los test de puertos si que funcionan). En el log todo se ve verde (el acceso al puerto 5666)…
El error que suelta Nagios es : «Could not complete SSL handshake» Y «apesta» a que el firewall lo esta parando …
# openssl s_client -connect xx.xx.xx.xx:443
CONNECTED(00000003)
write:errno=104
—
no peer certificate available
—
No client certificate CA names sent
—
SSL handshake has read 0 bytes and written 0 bytes
—
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
Después de un buen rato volviéndome loco … resulta que la solución no iba por ahí … el firewall no tenia nada que ver (esta vez), bueno … para ser justos algo si que tenia … resulta que «alguien» ha decidido que el acceso a esa DMZ tiene que ser a través de un NAT (aunque estés dentro de la red y seas la maquina de monitorización) así que … en vez de recibir la ip de verdad del servidor de Nagios el firewall le ponía una distinta …
Y el cliente de Nagios (el que corre en el servidor monitorizado) tenia puesta en su configuración:
only_from = xx.xx.xx.xx (la antigua ip de nagios).
Así que la solución es tan tonta como añadir la nueva ip, reiniciar el agente y a correr.
Otra solución algo mas drástica (que no es recomendable, pero que te puede servir para salir de algun apuro).
Desactivar el ssl 🙁
use_ssl=0 (dentro de NRPE).
Algunas pruebas mas que se pueden hacer …