Opengear ACM7000 Remote Site Gateway
Informazione di u produttu
Specificazioni:
- Pruduttu: ACM7000 Remote Site Gateway
- Mudellu: ACM7000-L Resilience Gateway
- Sistema di Gestione: Manager di l'infrastruttura IM7200
- Servitori di cunsola: CM7100
- Versione: 5.0 - 2023-12
Istruzzioni per l'usu di u produttu
Precauzioni di sicurezza:
Ùn cunnette micca o disconnect u servitore di cunsola durante una tempesta elettrica. Aduprate sempre un suppressore di surge o UPS per prutege l'equipaggiu da i transitori.
Avvisu FCC:
Stu dispusitivu hè conforme à a Parte 15 di e regule FCC. U funziunamentu di stu dispusitivu hè sottumessu à e seguenti cundizioni: (1) Stu dispusitivu ùn pò micca causari interferenze dannusu, è (2) stu dispusitivu deve accettà ogni interferenza chì pò causà operazione indesiderata.
FAQs
- Q: Puderaghju aduprà l'ACM7000 Remote Site Gateway durante una tempesta elettrica?
- A: No, hè cunsigliatu di ùn cunnette micca o disconnect u servitore di cunsola durante una tempesta elettrica per prevene danni.
- Q: Quale hè a versione di e regule di a FCC chì u dispositivu cunforme?
- A: U dispusitivu hè conforme à a Parte 15 di e regule FCC.
Manuale d'usu
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Versione 5.0 - 2023-12
Sicurezza
Seguite e precauzioni di sicurezza quì sottu quandu installate è operate u servitore di a cunsola: · Ùn sguassate micca i coperchi metallichi. Ùn ci sò micca cumpunenti di l'operatore à l'internu. L'apertura o l'eliminazione di u coperchiu pò esse espunutu à u voltage chì pò causà incendi o scossa elettrica. Riferite tutti i servizii à u persunale qualificatu Opengear. · Per evità scosse elettriche, u cunduttore protettivu di a terra di u cordone di alimentazione deve esse cunnessu à a terra. · Tira sempre u plug, micca u cable, quandu scollegate u cordone di alimentazione da a presa.
Ùn cunnette micca o disconnect u servitore di cunsola durante una tempesta elettrica. Aduprate ancu un suppressore di surge o UPS per prutege l'equipaggiu da i transitori.
Dichjarazione di avvertimentu FCC
Stu dispusitivu hè conforme à a Parte 15 di e regule FCC. U funziunamentu di stu dispusitivu hè sottumessu à i seguenti
cundizioni: (1) Stu dispusitivu ùn pò causari interferenza dannusu, è (2) stu dispusitivu deve accettà ogni interferenza chì pò causari operazione indesiderata.
I sistemi di salvezza adattati è i dispositi di sicurezza necessarii anu da esse utilizati per pruteggià da ferite, morte o danni à a pruprietà per fallimentu di u sistema. Tali prutezzione hè a responsabilità di l'utilizatori. Stu dispositivu di u servitore di cunsola ùn hè micca appruvatu per l'usu cum'è un sistema di supportu di vita o di sistema medico. Qualchese mudificazione o mudificazione fatta à stu dispositivu di u servitore di cunsola senza l'appruvazioni esplicite o l'accunsentu di Opengear annullerà Opengear di ogni responsabilità o rispunsabilità di ferita o perdita causata da qualsiasi malfunzionamentu. Stu equipamentu hè per usu interni è tutti i cablaggi di cumunicazione sò limitati à l'internu di l'edificiu.
2
Manuale d'usu
Copyright
©Opengear Inc. 2023. Tutti i diritti riservati. L'infurmazioni in stu documentu sò sottumessi à cambià senza avvisu è ùn rapprisentanu micca un impegnu da parte di Opengear. Opengear furnisce stu documentu "cum'è", senza guaranzia di alcun tipu, espressa o implicita, cumprese, ma senza limitazione, e garanzie implicite di idoneità o di cummercializazione per un scopu particulare. Opengear pò fà migliurà è / o cambiamenti in stu manuale o in u pruduttu (s) è / o u prugramma (s) descritti in stu manuale in ogni mumentu. Stu pruduttu puderia include imprecisioni tecniche o errori tipografici. I cambiamenti sò periodicamente fatti à l'infurmazioni quì; sti cambiamenti ponu esse incorporati in novi edizzioni di a publicazione.\
Capitulu 1
Stu Manuale
QUESTU MANUALE
Stu Manuale d'Usuariu spiega l'installazione, u funziunamentu è a gestione di i servitori di cunsola Opengear. Stu manuale assume chì site familiarizatu cù e rete Internet è IP, HTTP, FTP, operazioni di sicurezza basiche è a reta interna di a vostra urganizazione.
1.1 Tipi di utilizatori
U servitore di cunsola supporta duie classi d'utilizatori:
· Amministratori chì anu privileggi di cunfigurazione è gestione illimitati nantu à a cunsola
u servitore è i dispositi cunnessi è ancu tutti i servizii è i porti per cuntrullà tutti i dispositi cunnessi seriali è i dispositi cunnessi in rete (ospiti). L'amministratori sò stallati cum'è membri di u gruppu d'utilizatori admin. Un amministratore pò accede è cuntrullà u servitore di cunsola utilizendu l'utilità di cunfigurazione, a linea di cummanda Linux o a Console di Gestione basata in u navigatore.
· Utenti chì sò stati stallati da un amministratore cù limiti di u so accessu è l'autorità di cuntrollu.
L'utilizatori anu limitatu view di a Console di Gestione è ponu accede solu à i dispositi cunfigurati autorizati è review logs portu. Questi utenti sò cunfigurati cum'è membri di unu o più di i gruppi d'utilizatori preconfigurati cum'è PPTPD, dialin, FTP, pmshell, utilizatori, o gruppi d'utilizatori chì l'amministratore pò avè creatu. Sò autorizati solu à fà cuntrolli specifichi nantu à i dispositi cunnessi specifichi. L'utilizatori, quandu sò autorizati, ponu accede è cuntrullà i dispositi seriali o cunnessi à a rete utilizendu servizii specificati (per esempiu, Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). L'utilizatori remoti sò utilizatori chì ùn sò micca in u stessu segmentu LAN cum'è u servitore di cunsola. Un utilizatore remotu pò esse in strada cunnessu à i dispositi amministrati nantu à l'Internet publicu, un amministratore in un altru uffiziu cunnessu à u servitore di cunsola nantu à a VPN di l'impresa, o in a listessa stanza o in u stessu uffiziu ma cunnessu in una VLAN separata à a cunsola. servitore.
1.2 Console di gestione
A Consola di Gestione Opengear permette di cunfigurà è monitorà e funziunalità di u vostru servitore di cunsola Opengear. A Console di Gestione funziona in un navigatore è furnisce un view di u servitore di cunsola è tutti i dispositi cunnessi. L'amministratori ponu utilizà a Consola di Gestione per cunfigurà è gestisce u servitore di a cunsola, l'utilizatori, i porti, l'ospiti, i dispositi di putenza, è i logs è l'alerte assuciati. L'utilizatori non-admin ponu utilizà a Console di Gestione cù accessu à menu limitatu per cuntrullà i dispositi selezziunati, review i so logs, è accede à elli cù u built-in Web terminal.
U servitore di cunsola gestisce un sistema operatore Linux integratu, è pò esse cunfiguratu in a linea di cummanda. Pudete uttene l'accessu à a linea di cummanda per cellulari / dial-in, cunnessendu direttamente à u portu seriale di a consola / modem di u servitore di a consola, o usendu SSH o Telnet per cunnette à u servitore di cunsola nantu à a LAN (o cunnetta cù PPTP, IPsec o OpenVPN) .
6
Manuale d'usu
Per i cumandamenti di l'interfaccia di linea di cummanda (CLI) è l'istruzzioni avanzate, scaricate l'Opengear CLI è Scripting Reference.pdf da https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Più infurmazione
Per più infurmazione, cunsultate: · Prodotti Opengear Web Site: Vede https://opengear.com/products. Per uttene l'infurmazioni più recenti nantu à ciò chì hè inclusu cù u vostru servitore di cunsola, visitate a sezione Cosa hè inclusa per u vostru pruduttu particulare. · Guida Quick Start: Per uttene a Guida Quick Start per u vostru dispositivu vede https://opengear.com/support/documentation/. · Opengear Knowledge Base: visitate https://opengear.zendesk.com per accede à l'articuli tecnichi cumu, cunsiglii tecnulugichi, FAQ, è notifiche impurtanti. · Opengear CLI è Riferimentu di Scripting: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7
Capitulu 2:
Configurazione di u Sistema
CUNFIGURAZIONE DI U SISTEMA
Stu capitulu furnisce struzzioni step-by-step per a cunfigurazione iniziale di u vostru servitore di cunsola è a cunnessione à a LAN di Gestione o Operativa. I passi sò:
Attivà a Console di Gestione. Cambia a password di l'amministratore. Definite u portu LAN principale di u servitore di l'indirizzu IP di a consola. Selezziunate i servizii per esse attivati è accessu privilegii. Stu capitulu discute ancu i strumenti di u software di cumunicazione chì un amministratore pò aduprà per accede à u servitore di cunsola, è a cunfigurazione di i porti LAN supplementari.
2.1 Connessione Console di Gestione
U vostru servitore di cunsola vene cunfiguratu cù un indirizzu IP predeterminatu 192.168.0.1 è una maschera di subnet 255.255.255.0 per NET1 (WAN). Per a cunfigurazione iniziale, ricumandemu di cunnette un urdinatore direttamente à a cunsola. Se sceglite di cunnette a vostra LAN prima di compie i passi di cunfigurazione iniziale, assicuratevi chì:
· Ùn ci hè micca altri dispositi nantu à a LAN cù un indirizzu di 192.168.0.1. · U servitore di cunsola è l'urdinatore sò nantu à u stessu segmentu LAN, senza router interpostu
l'apparecchi.
2.1.1 Configurazione di l'urdinatore cunnessu Per cunfigurà u servitore di cunsola cù un navigatore, l'urdinatore cunnessu deve avè un indirizzu IP in u stessu intervallu di u servitore di cunsola (per es.ample, 192.168.0.100):
· Per cunfigurà l'indirizzu IP di u vostru urdinatore Linux o Unix, eseguite ifconfig. · Per i PC Windows:
1. Cliccate Start> Settings> Control Panel è cliccate doppiu cunnessi Network. 2. Right cliccate nant'à u Local Area Connection è sceglie Pruprietà. 3. Selezziunà Protocol Internet (TCP / IP) è cliccate Pruprietà. 4. Selezziunà Aduprà u seguente indirizzu IP è entre i seguenti ditagli:
o Indirizzu IP: 192.168.0.100 o Subnet mask: 255.255.255.0 5. Se vulete mantene i vostri paràmetri IP esistenti per questa cunnessione di a rete, cliccate Avanzate è aghjunghje sopra cum'è una cunnessione IP secundaria.
2.1.2 Cunnessione di u navigatore
Aprite un navigatore in u PC / stazione di travagliu cunnessu è entre https://192.168.0.1.
Accedi cù:
Username> root Password> default
8
Manuale d'usu
A prima volta chì accede, avete bisognu di cambià a password di root. Cliccate Invia.
Per compie u cambiamentu, inserite a nova password di novu. Cliccate Invia. A schermu di Benvenuta appare.
Se u vostru sistema hà un modem cellulare, vi sarà datu i passi per cunfigurà e funziunalità di u router cellulare: · Configurate a cunnessione di u modem cellulare (Sistema> Pagina di marcatu. Vede u Capitulu 4) · Permette di rinvià à a reta di destinazione cellulare (Sistema> Pagina Firewall. Vede u Capitulu 4) · Habilita l'IP masquerading per a cunnessione cellulare (Sistema > Pagina Firewall. Vede u Capitulu 4)
Dopu à compie ognuna di i passi sopra, pudete vultà à a lista di cunfigurazione clicchendu u logu Opengear in l'angulu superiore manca di u screnu. NOTA Se ùn pudete micca cunnette à a Console di Gestione à 192.168.0.1 o se u predefinitu
Username / Password ùn sò micca accettati, resettate u vostru servitore di cunsola (Vede u Capitulu 10).
9
Capitulu 2: Configurazione di u Sistema
2.2 Configurazione di l'amministratore
2.2.1 Cambia a password predeterminata di u sistema radicali Avete bisognu di cambià a password di a radica quandu avete prima login in u dispusitivu. Pudete cambià sta password in ogni mumentu.
1. Cliccate Serial & Network > Users & Groups o, nant'à u screnu Benvenuti, cliccate Cambia password di amministrazione predeterminata.
2. Scroll down and locate the root user user under Users è cliccate Edit. 3. Inserite a nova password in i campi Password è Cunfirmà.
NOTA A verificazione di Salvà a password in tutti i cancelli di firmware salva a password in modu chì ùn sia micca sguassata quandu u firmware hè resettatu. Sè sta password hè persa, u dispusitivu vi tuccherà à esse firmware ripresa.
4. Clicca Apply. Accedi cù a nova password 2.2.2 Configurate un novu amministratore Crea un novu utilizatore cù privilegi amministrativi è accede cum'è questu utilizatore per e funzioni di amministrazione, invece di utilizà root.
10
Manuale d'usu
1. Cliccate Serial & Network> Users & Groups. Scroll to the bottom of the page and click the Add User button.
2. Inserite un Username. 3. In a rùbbrica Groups, verificate a casella admin. 4. Inserite una password in i campi Password è Cunfirmà.
5. Pudete ancu aghjunghje SSH Authorized Keys è sceglite Disable Password Authentication per questu utilizatore.
6. Opzioni supplementari per questu utilizatore pò esse stabilitu in questa pagina cumpresi Opzioni di Dial-in, Hosts Accessibili, Ports Accessibili è Outlets RPC Accessibili.
7. Cliccate u buttone Apply in u fondu di u screnu per creà stu novu utilizatore.
11
Capitulu 2: Configurazione di u Sistema
2.2.3 Add System Name, System Description, è MOTD. 1. Selezziunà Sistema> Administration. 2. Inserite un System Name and System Description per u servitore di cunsola per dà un ID unicu è fà più faciule d'identificà. U nome di u sistema pò cuntene da 1 à 64 caratteri alfanumerichi è i caratteri speciali underscore (_), minus (-) è puntu (.). A Descrizzione di u Sistema pò cuntene sin'à 254 caratteri.
3. U Banner MOTD pò esse usatu per vede un missaghju di u testu di u ghjornu à l'utilizatori. Apparisce in u cima manca di u screnu sottu u logu Opengear.
4. Clicca Apply.
12
Capitulu 2: Configurazione di u Sistema
5. Selezziunà Sistema> Administration. 6. U Banner MOTD pò esse usatu per vede un missaghju di u testu di u ghjornu à l'utilizatori. Si vede nantu à u
suprana manca di u screnu sottu u logu Opengear. 7. Cliccate Apply.
2.3 Cunfigurazione di Rete
Inserite un indirizzu IP per u portu principale Ethernet (LAN / Network / Network1) in u servitore di cunsola o attivate u so cliente DHCP per ottene automaticamente un indirizzu IP da un servitore DHCP. Per automaticamente, u servitore di cunsola hà u so cliente DHCP attivatu è accetta automaticamente ogni indirizzu IP di a rete assignata da un servitore DHCP in a vostra reta. In questu statu iniziale, u servitore di a cunsola risponderà à u so indirizzu staticu predeterminatu 192.168.0.1 è u so indirizzu DHCP.
1. Cliccate Sistema > IP è cliccate nantu à a tabulazione Network Interface. 2. Sceglie o DHCP o Static per u Metudu di cunfigurazione.
Se sceglite Static, inserite l'indirizzu IP, a maschera di subnet, u Gateway è i dettagli di u servitore DNS. Questa scelta disattiva u cliente DHCP.
12
Manuale d'usu
3. U portu LAN di u servitore di cunsola detecta automaticamente a velocità di cunnessione Ethernet. Aduprate a lista a discesa Media per chjude l'Ethernet à 10 Mb/s o 100Mb/s è à Full Duplex o Half Duplex.
Se scontri a perdita di pacchetti o una scarsa prestazione di a rete cù l'impostazione Auto, cambiate i paràmetri Ethernet Media nantu à u servitore di cunsola è u dispositivu à quale hè cunnessu. In a maiò parte di i casi, cambiate i dui à 100baseTx-FD (100 megabits, full duplex).
4. Se selezziunate DHCP, u servitore di cunsola cercarà dettagli di cunfigurazione da un servitore DHCP. Questa selezzione disattiva ogni indirizzu staticu. L'indirizzu MAC di u servitore di cunsola pò esse truvatu nantu à una etichetta nantu à a basa.
5. Pudete entre un indirizzu secundariu o una lista di indirizzi separati da virgule in notazione CIDR, per esempiu 192.168.1.1/24 cum'è IP Alias.
6. Cliccate Apply 7. Reconnect u navigatore in l'urdinatore chì hè cunnessu à u servitore di a cunsola per entre
http://your new IP address.
Se cambiate l'indirizzu IP di u servitore di cunsola, avete bisognu di cunfigurà u vostru urdinatore per avè un indirizzu IP in u stessu intervallu di rete cum'è u novu indirizzu di u servitore di cunsola. Pudete stabilisce u MTU nantu à l'interfaccia Ethernet. Questa hè una opzione avanzata per esse aduprata se u vostru scenariu di implementazione ùn funziona micca cù u MTU predeterminatu di 1500 byte. Per stabilisce u MTU, cliccate Sistema> IP è cliccate nantu à a tabulazione Interfaccia di rete. Scorri finu à u campu MTU è inserisci u valore desideratu. I valori validi sò da 1280 à 1500 per interfacce 100-megabit, è da 1280 à 9100 per interfacce gigabit Se u ponte o ligame hè cunfiguratu, u MTU stabilitu nantu à a pagina di l'Interfaccia di Rete serà stabilitu nantu à l'interfacce chì facenu parte di u ponte o di u ligame. . NOTA In certi casi, u MTU specificatu da l'utente ùn pò micca esse effettu. Certi cunduttori NIC ponu arrotondare MTU oversized à u valore massimu permessu è altri tornanu un codice d'errore. Pudete ancu aduprà un cumandamentu CLI per gestisce MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 verificate
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider nimu config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode config senza stato .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13
Capitulu 2: Configurazione di u Sistema
2.3.1 Configurazione IPv6 L'interfaccia di u servitore di cunsola Ethernet supporta IPv4 per difettu. Puderanu esse cunfigurati per l'operazione IPv6:
1. Cliccate Sistema > IP. Cliccate a tabulazione General Settings è verificate Enable IPv6. Se vulete, cliccate nantu à a casella di spunta Disable IPv6 for Cellular.
2. Configurate i paràmetri IPv6 in ogni pagina di l'interfaccia. IPv6 pò esse cunfiguratu per u modu Automaticu, chì aduprà SLAAC o DHCPv6 per cunfigurà indirizzi, rotte è DNS, o modalità Statica, chì permette l'infurmazioni di l'indirizzu per esse inseriti manualmente.
2.3.2 Configurazione DNS Dinamica (DDNS) Cù DNS Dinamicu (DDNS), un servitore di cunsola chì l'indirizzu IP hè assignatu dinamicamente pò esse situatu cù un host fissu o un nome di duminiu. Crea un contu cù u fornitore di serviziu DDNS supportatu di a vostra scelta. Quandu cunfigurà u vostru contu DDNS, sceglite un nome d'utilizatore, una password è un nome d'ospitu chì utilizate cum'è u nome DNS. I fornitori di servizii DDNS vi permettenu di sceglie un nome d'ospite URL è stabilisce un indirizzu IP iniziale per currisponde à quellu hostname URL.
14
Manuale d'usu
Per attivà è cunfigurà DDNS nantu à qualsiasi cunnessione Ethernet o rete cellulare in u servitore di cunsola. 1. Cliccate Sistema> IP è scroll down the Dynamic DNS rùbbrica. Sceglite u vostru fornitore di serviziu DDNS
da a lista di DNS dinamica a discesa. Pudete ancu stabilisce l'infurmazioni DDNS sottu a tabulazione Modem Cellular sottu Sistema> Dial.
2. In DDNS Hostname, entre u nome d'ospite DNS cumplettamente qualificatu per u vostru servitore di cunsola, per esempiu, yourhostname.dyndns.org.
3. Inserite u Username DDNS è u Password DDNS per u contu di u serviziu di serviziu DDNS. 4. Specificate l'intervallu Massimu trà l'aghjurnamenti in ghjorni. Un aghjurnamentu DDNS serà mandatu ancu se u
l'indirizzu ùn hè micca cambiatu. 5. Specificate l'Intervallu Minimu trà i cuntrolli per l'indirizzi cambiati in seconde. L'aghjurnamenti seranu
esse mandatu se l'indirizzu hè cambiatu. 6. Specificate u Maximum tentativi per aghjurnamentu chì hè u numeru di volte à pruvà un aghjurnamentu
prima di rinunzià. Questu hè 3 per difettu. 7. Cliccate Apply.
15
Capitulu 2: Configurazione di u Sistema
2.3.3 Modu EAPoL per WAN, LAN è OOBFO
(OOBFO hè applicabile solu à l'IM7216-2-24E-DAC)
Overview di EAPoL IEEE 802.1X, o PNAC (Port-based Network Access Control) face usu di e caratteristiche d'accessu fisicu di l'infrastruttura LAN IEEE 802 per furnisce un mezzu di autentificazione è d'autorizazione di i dispositi attaccati à un portu LAN chì hà punti à puntu. caratteristiche di cunnessione di puntu, è di impedisce l'accessu à quellu portu in i casi chì l'autentificazione è l'autorizazione fallenu. Un portu in questu cuntestu hè un puntu unicu di attache à l'infrastruttura LAN.
Quandu un novu node wireless o cablatu (WN) dumanda l'accessu à una risorsa LAN, u puntu d'accessu (AP) dumanda l'identità di u WN. Nisun trafficu altru ch'è EAP hè permessu prima chì u WN hè autentificatu (u "portu" hè chjusu, o "non autenticatu"). U node wireless chì dumanda l'autentificazione hè spessu chjamatu Supplicant, u Supplicant hè rispunsevule per risponde à i dati di l'Authenticator chì stabiliscerà e so credenziali. U stessu passa per u puntu d'accessu; l'Authenticator ùn hè micca u puntu d'accessu. Piuttostu, u puntu d'accessu cuntene un Authenticator. L'Authenticator ùn hà micca bisognu à esse in u puntu d'accessu; pò esse un cumpunente esternu. I seguenti metudi di autenticazione sò implementati:
· Supplicant EAP-MD5 o U metudu EAP MD5-Challenge usa un nome d'utilizatore / password chjaru
· EAP-PEAP-MD5 o EAP PEAP (EAP Protettu) U metudu di autentificazione MD5 usa credenziali d'utilizatore è certificatu CA
· U metudu di autentificazione EAP-TLS o EAP TLS (Transport Layer Security) richiede certificatu CA, certificatu di cliente è una chjave privata.
U protokollu EAP, chì hè utilizatu per l'autentificazione, era inizialmente utilizatu per u PPP dial-up. L'identità era u nome d'utilizatore, è l'autentificazione PAP o CHAP hè stata utilizata per verificà a password di l'utilizatore. Cumu l'identità hè mandata in chjaru (micca criptatu), un sniffer maliziusu pò amparà l'identità di l'utilizatore. "Identity hiding" hè dunque usatu; l'identità vera ùn hè micca mandata prima chì u tunelu TLS criptatu hè sopra.
16
Manuale d'usu
Dopu chì l'identità hè stata mandata, u prucessu di autentificazione principia. U protocolu utilizatu trà u Supplicant è l'Autentificatore hè EAP, (o EAPoL). L'Authenticator re-incapsula i missaghji EAP in u furmatu RADIUS, è li passa à u Servitore di Autentificazione. Durante l'autentificazione, l'Autenticatore trasmette i pacchetti trà u Supplicant è u Servitore di Autentificazione. Quandu u prucessu di autentificazione hè cumpletu, u Servitore di Autentificazione manda un missaghju di successu (o fallimentu, se l'autentificazione falluta). L'Autentificatore apre u "portu" per u Supplicant. I paràmetri di autentificazione ponu accede da a pagina di paràmetri di EAPoL Supplicant. U statutu di l'EAPoL attuale hè visualizatu in dettagliu in a pagina di Statistiche di Status in a tabulazione EAPoL:
Una astrazione di EAPoL nantu à i ROLE di a rete hè visualizata in a sezione "Connection Manager" in l'interfaccia di Dashboard.
17
Capitulu 2: Configurazione di u Sistema
A mostra sottu hè un example di autentificazione successu:
Supportu IEEE 802.1x (EAPOL) nantu à i porti di commutazione di IM7216-2-24E-DAC è ACM7004-5: Per evità i loops, l'utilizatori ùn devenu micca inserisce più di un portu di switch à u stessu switch di livellu superiore.
18
Manuale d'usu
2.4 Accessu à u serviziu è Prutezzione di Forza Bruta
L'amministratore pò accede à u servitore di cunsola è à i porti seriali cunnessi è i dispositi amministrati utilizendu una gamma di protokolli / servizii d'accessu. Per ogni accessu
· U serviziu deve esse prima cunfiguratu è attivatu per eseguisce nantu à u servitore di cunsola. · L'accessu à traversu u firewall deve esse attivatu per ogni cunnessione di rete. Per attivà è cunfigurà un serviziu: 1. Cliccate Sistema > Servizi è cliccate nantu à a tabulazione Impostazioni di serviziu.
2. Habilita è cunfigurà i servizii basi:
HTTP
Per automaticamente, u serviziu HTTP hè in esecuzione è ùn pò micca esse completamente disattivatu. Per automaticamente, l'accessu HTTP hè disattivatu in tutte l'interfacce. Ricumandemu chì questu accessu resta disattivatu se u servitore di a cunsola hè accessu remotamente in Internet.
HTTP alternativu permette di cunfigurà un portu HTTP alternativu per sente. U serviziu HTTP continuarà à sente in u portu TCP 80 per CMS è cumunicazioni cunnessi, ma serà inaccessibile à traversu u firewall.
HTTPS
Per automaticamente, u serviziu HTTPS hè in esecuzione è attivatu in tutte l'interfacce di rete. Hè ricumandemu chì solu l'accessu HTTPS sia usatu se u servitore di a cunsola deve esse amministratu nantu à qualsiasi rete publica. Questu assicura chì l'amministratori anu accessu sicuru di u navigatore à tutti i menu nantu à u servitore di a cunsola. Permette ancu à l'utilizatori cunfigurati appropritamenti l'accessu sicuru di u navigatore à i menu Gestisce selezziunati.
U serviziu HTTPS pò esse disattivatu o riabilitatu cuntrollandu HTTPS Web A gestione è un portu alternativu specificatu (u portu predeterminatu hè 443).
Telnet
Per automaticamente, u serviziu Telnet hè in esecuzione ma disattivatu in tutte l'interfacce di rete.
Telnet pò esse usatu per dà un accessu amministratore à a shell di linea di cumanda di u sistema. Stu serviziu pò esse utile per l'amministratore locale è l'accessu di l'utilizatori à cunsole seriali selezziunate. Avemu cunsigliatu per disattivà stu serviziu se u servitore di cunsola hè amministratu remotamente.
A casella di spunta Enable Telnet command shell attivarà o disattiverà u serviziu Telnet. Un portu Telnet alternativu per sente pò esse specificatu in Port Telnet alternativu (portu predeterminatu hè 23).
17
Capitulu 2: Configurazione di u Sistema
SSH
Stu serviziu furnisce un accessu SSH sicuru à u servitore di cunsola è i dispositi attaccati
è per difettu u serviziu SSH hè in esecuzione è attivatu nantu à tutte l'interfacce. Hè
Hè cunsigliatu di sceglie SSH cum'è u protocolu induve un amministratore si cunnetta
u servitore di cunsola nantu à Internet o qualsiasi altra reta publica. Questu furnisce
cumunicazioni autentificate trà u prugramma di cliente SSH nantu à u remoto
computer è u servitore SSH in u servitore di cunsola. Per più infurmazione nantu à SSH
cunfigurazione Vede u Capitulu 8 - Autentificazione.
A casella di spunta Enable SSH command shell permetterà o disattivà stu serviziu. Un portu SSH alternativu per sente pò esse specificatu in u portu di shell di cumanda SSH (u portu predeterminatu hè 22).
3. Habilita è cunfigurà altri servizii:
TFTP/FTP Se una carta flash USB o un flash internu hè rilevatu in un servitore di cunsola, cuntrollà Abilita u serviziu TFTP (FTP) permette stu serviziu è cunfigurà u servitore tftp è ftp predeterminatu nantu à u flash USB. Questi servitori sò usati per almacenà a cunfigurazione files, mantene l'accessu è i logs di transazzione etc. Files trasferiti cù tftp è ftp seranu guardati in /var/mnt/storage.usb/tftpboot/ (o /var/mnt/storage.nvlog/tftpboot/ nantu à i dispositi ACM7000series). Unchecking Enable TFTP (FTP) service disattiverà u serviziu TFTP (FTP).
DNS Relay Checking Enable DNS Server/Relay permette a funzione di relé DNS per chì i clienti ponu esse cunfigurati cù l'IP di u servitore di a cunsola per u so paràmetru di u servitore DNS, è u servitore di a cunsola trasmetterà e dumande DNS à u servitore DNS veru.
Web Abilita a verificazione di u terminal Web Terminal permette web accessu à u navigatore à a shell di linea di cumanda di u sistema via Manage> Terminal.
4. Specificate numeri di portu alternativu per Raw TCP, diretta Telnet / SSH è servizii Telnet / SSH senza autenticazione. U servitore di cunsola usa intervalli specifichi per i porti TCP / IP per i diversi accessi
servizii chì l'utilizatori ponu utilizà per accede à i dispositi attaccati à i porti seriali (cum'è copre in Capitulu 3 Configure Serial Ports). L'amministratore pò stabilisce intervalli alternativi per questi servizii è questi porti secundarii seranu utilizati in più di i predeterminati.
L'indirizzu di u portu di basa TCP / IP predeterminatu per l'accessu Telnet hè 2000, è l'intervallu per Telnet hè Indirizzu IP: Port (2000 + serial port #) vale à dì 2001 2048. Se un amministratore hà da stabilisce 8000 cum'è una basa secundaria per Telnet, seriale. portu #2 nantu à u servitore di cunsola pò esse accessu Telnet à IP
Indirizzu: 2002 è à l'indirizzu IP: 8002. A basa predeterminata per SSH hè 3000; per Raw TCP hè 4000; è per RFC2217 hè 5000
5. L'altri servizii ponu esse attivati è cunfigurati da stu menù scegliendu Cliccate quì per cunfigurà:
Nagios Access à i demoni di monitoraghju Nagios NRPE
NUT
Accessu à u daemon di monitoraghju NUT UPS
SNMP Abilita snmp in u servitore di a cunsola. SNMP hè disattivatu per difettu
NTP
6. Cliccate Apply. Un missaghju di cunferma apparisce: Messaghju Cambiamenti à a cunfigurazione successu
I paràmetri di Accessu à i servizii ponu esse stallati per permette o bluccà l'accessu. Questu specifica chì l'amministratori di servizii abilitati ponu utilizà nantu à ogni interfaccia di rete per cunnette à u servitore di a cunsola è attraversu u servitore di a cunsola à i dispositi seriali è cunnessi in rete.
18
Manuale d'usu
1. Selezziunà a tabulazione Accessu à u serviziu nantu à a pagina Sistema > Servizi.
2. Questu mostra i servizii attivati per l'interfaccia di rete di u servitore di a consola. Sicondu u mudellu di u servitore di cunsola particulari, l'interfacce affissate ponu include: · Interfaccia di rete (per a cunnessione Ethernet principale) · Gestione LAN / OOB Failover (seconde cunnessione Ethernet) · Dialout / Cellulare (modem V90 è 3G) · Dial-in (internu). o modem V90 esternu) · VPN (connessione IPsec o Open VPN nantu à qualsiasi interfaccia di rete)
3. Verificate / desmarcate per ogni reta chì l'accessu di serviziu deve esse attivatu / disattivatu A Rispondi à l'eco ICMP (ie ping) l'opzioni d'accessu di serviziu chì ponu esse cunfigurate in questu stage. Questu permette à u servitore di cunsola per risponde à e richieste di eco ICMP entranti. Ping hè attivatu per difettu. Per una sicurità aumentata, duvete disattivà stu serviziu quandu avete cumpletu a cunfigurazione iniziale. Pudete permette à i dispositi di portu seriali per accede à l'interfacce di rete nominate cù Raw TCP, Telnet / SSH direttu, servizii Telnet / SSH senza autenticazione, etc.
4. Cliccate Apply Web Impostazioni di Gestione A casella di spunta Abilita HSTS permette a stretta sicurezza di trasportu HTTP. U modu HSTS significa chì un capu StrictTransport-Security deve esse mandatu nantu à u trasportu HTTPS. Un cumpletu web U navigatore si ricorda di sta intestazione, è quandu hè dumandatu à cuntattà u stessu òspite per HTTP (plain) cambierà automaticamente à
19
Capitulu 2: Configurazione di u Sistema
HTTPS prima di pruvà HTTP, sempre chì u navigatore hà accede à u situ sicuru una volta è hà vistu l'intestazione STS.
Prutezzione di a forza bruta A prutezzione di a forza bruta (Micro Fail2ban) blucca temporaneamente l'IP di fonte chì mostranu segni maliziusi, cum'è troppu fallimenti di password. Questu pò aiutà quandu i servizii di rete di u dispositivu sò esposti à una rete senza fiducia, cum'è a WAN publica è attacchi scripted o vermi di software stanu tentativu di indovinà (forza bruta) credenziali di l'utilizatori è acquistà un accessu micca autorizatu.
A Prutezzione di Forza Bruta pò esse attivata per i servizii elencati. Per automaticamente, una volta chì a prutezzione hè attivata, 3 o più tentativi di cunnessione falluti in 60 seconde da una fonte IP specifica attivanu per esse pruibitu di cunnette per un periodu di tempu configurabile. Limite di tentativu è Ban timeout pò esse persunalizati. I Bans Attivi sò ancu listati è ponu esse rinfrescati da ricaricà a pagina.
NOTA
Quandu eseguite nantu à una reta di fiducia, cunzidira l'usu di una varietà di strategie sò aduprate per chjude l'accessu remoto. Questu include l'autentificazione di chjave publica SSH, VPN, è Reguli di Firewall à
l'accessu remotu à a lista permessa solu da e rete fonte di fiducia. Vede u Opengear Knowledge Base per i dettagli.
2.5 Software di cumunicazione
Avete cunfiguratu protokolli d'accessu per u cliente di l'amministratore per aduprà quandu si cunnetta à u servitore di cunsola. I clienti di l'utilizatori utilizanu ancu questi protokolli quandu accede à i dispositi attaccati in serie di u servitore di console è l'ospiti attaccati à a rete. Avete bisognu di strumenti di software di cumunicazione stallati nantu à l'urdinatore di l'amministratore è di u cliente di l'utilizatori. Per cunnette vi pudete aduprà strumenti cum'è PuTTY è SSHTerm.
20
Manuale d'usu
I connettori dispunibili in u cummerciu accoppianu u protokollu di tunneling SSH di fiducia cù strumenti d'accessu populari cum'è Telnet, SSH, HTTP, HTTPS, VNC, RDP per furnisce l'accessu di gestione remota sicura puntu è cliccate à tutti i sistemi è i dispositi chì sò gestiti. L'infurmazioni nantu à l'usu di i cunnessi per l'accessu di u navigatore à a Consola di Gestione di u servitore di a consola, l'accessu Telnet / SSH à a linea di cummanda di u servitore di a consola, è a cunnessione TCP / UDP à l'ospiti chì sò in rete cunnessi à u servitore di a consola ponu esse truvati in u Capitulu 5. installatu nantu à i PC Windows, Mac OS X è in a maiò parte di i sistemi Linux, UNIX è Solaris.
2.6 Management Network Configuration
I servitori di cunsola anu porti di rete supplementari chì ponu esse cunfigurati per furnisce l'accessu LAN di gestione è / o failover o accessu fora di banda. 2.6.1 Attivà i servitori di a Console LAN di Gestione ponu esse cunfigurati in modu chì u sicondu portu Ethernet furnisce un gateway LAN di gestione. U gateway hà caratteristiche firewall, router è servitore DHCP. Avete bisognu di cunnette un switch LAN esternu à a Rete 2 per aghjunghje l'ospiti à questa LAN di gestione:
NOTA U secondu portu Ethernet pò esse cunfiguratu cum'è un portu di gateway LAN di gestione o cum'è un portu OOB/Failover. Assicuratevi chì ùn avete micca attribuitu NET2 cum'è l'Interfaccia Failover quandu avete cunfiguratu a cunnessione principale di a Rete in u Menu Sistema> IP.
21
Capitulu 2: Configurazione di u Sistema
Per cunfigurà a gateway LAN di Gestione: 1. Selezziunate a tabulazione Interfaccia LAN di Gestione in u Sistema > menu IP è deselezzi Disable. 2. Configurate l'indirizzu IP è a Subnet Mask per a LAN Management. Lasciate i campi DNS in biancu. 3. Cliccate Apply.
A funzione di gateway di gestione hè attivata cù u firewall predeterminatu è e regule di router cunfigurate cusì chì a LAN di gestione hè accessibile solu da u portu SSH. Questu assicura chì e cunnessione remota è lucale à i dispositi Managed in a LAN di Gestione sò sicuri. I porti LAN ponu ancu esse cunfigurati in modu ponte o ligatu o cunfigurati manualmente da a linea di cummanda. 2.6.2 Configurate u servitore DHCP U servitore DHCP permette a distribuzione automatica di l'indirizzi IP à i dispositi nantu à a LAN di Gestione chì eseguenu clienti DHCP. Per attivà u servitore DHCP:
1. Cliccate Sistema > Servitore DHCP. 2. In a tabulazione di l'Interfaccia di a Rete, Verificate Enable DHCP Server.
22
Manuale d'usu
3. Inserite l'indirizzu Gateway per esse emessu à i clienti DHCP. Se stu campu hè lasciatu in biancu, l'indirizzu IP di u servitore di cunsola hè utilizatu.
4. Inserite l'indirizzu DNS Primariu è DNS Secundariu per issuà i clienti DHCP. Se stu campu hè lasciatu in biancu, l'indirizzu IP di u servitore di a consola hè utilizatu.
5. Opcionalmente entre un suffissu di Domain Name per issuà i clienti DHCP. 6. Inserite u tempu di affittu predefinitu è u tempu massimu di affittu in seconde. Questu hè a quantità di tempu
chì un indirizzu IP assignatu dinamicamente hè validu prima chì u cliente deve dumandà di novu. 7. Cliccate Apply U servitore DHCP emette l'indirizzi IP da i pools d'indirizzi specificati: 1. Cliccate Aggiungi in u campu di Allocation Address Dynamic Pools. 2. Entre in u DHCP Pool Start Address è End Address. 3. Cliccate Apply.
23
Capitulu 2: Configurazione di u Sistema
U servitore DHCP supporta ancu pre-assigning indirizzi IP per esse attribuiti à indirizzi MAC specifichi è riservà indirizzi IP per esse utilizati da ospiti cunnessi cù indirizzi IP fissi. Per riservà un indirizzu IP per un host particulari:
1. Cliccate Aggiungi in u campu Indirizzi riservati. 2. Inserite u Hostname, l'indirizzu Hardware (MAC) è l'indirizzu IP Statically Reserved per
u cliente DHCP è cliccate Apply.
Quandu DHCP hà attribuitu l'indirizzi di l'ospiti, hè cunsigliatu di copià questi in a lista pre-assignata in modu chì u stessu indirizzu IP hè riallocatu in casu di reboot.
24
Manuale d'usu
2.6.3 Selezziunate Failover o I servitori di Console OOB di banda larga furniscenu una opzione di failover, cusì in casu di prublema cù a cunnessione LAN principale per accede à u servitore di a consola, hè utilizatu un percorsu d'accessu alternativu. Per attivà u failover:
1. Selezziunate a pagina di l'interfaccia di rete in u menù Sistema> IP 2. Selezziunate l'interfaccia di failover per esse usata in casu di untage nantu à a reta principale.
3. Cliccate Apply. U failover diventa attivu dopu avè specificatu i siti esterni per esse sondati per attivà u failover è stabilisce i porti di failover.
2.6.4 Aggregazione di i porti di a rete Per automaticamente, i porti di a rete LAN di Gestione di u servitore di a consola ponu accede cù tunneling SSH /port forwarding o stabilendu un tunnel VPN IPsec à u servitore di cunsola. Tutti i porti di rete cablati nantu à i servitori di a cunsola ponu esse aggregati per esse ponti o legati.
25
Manuale d'usu
· Per automaticamente, l'Aggregazione di l'Interfaccia hè disattivata in u Sistema> IP> Menu General Settings · Selezziunate Bridge Interfaces o Bond Interfaces
o Quandu u ponte hè attivatu, u trafficu di a rete hè trasmessu à tutti i porti Ethernet senza restrizioni di firewall. Tutti i porti Ethernet sò tutti cunnessi in modu trasparente à u livellu di ligame di dati (layer 2) cusì conservanu i so indirizzi MAC unichi.
o Cù u ligame, u trafficu di a rete hè purtatu trà i porti ma prisenti cù un indirizzu MAC
I dui modi eliminanu tutte e funzioni di l'Interfaccia LAN di Gestione è di l'Interfaccia Out-of-Band/Failover è disattivanu u Servitore DHCP · In u modu di aggregazione, tutti i porti Ethernet sò cunfigurati in modu cullettivu utilizendu u menu di l'Interfaccia di Rete.
25
Capitulu 2: Configurazione di u Sistema
2.6.5 Percorsi statici E rotte statiche furniscenu un modu assai rapidu per indirizzà e dati da una subnet à una subnet differente. Pudete codificà un percorsu chì dice à u servitore / router di a consola per ghjunghje à una certa subnet usendu una certa strada. Questu pò esse utile per accede à diverse subnets in un situ remoto quandu si usa a cunnessione OOB cellulare.
Per aghjunghje à a strada statica à a tabella di ruta di u Sistema:
1. Selezziunà a scheda Route Settings nant'à u System> IP General Settings menu.
2. Cliccate New Route
3. Inserite una Route Name per a strada.
4. In u campu di a rete di destinazione / host, inserite l'indirizzu IP di a reta di destinazione / host chì a strada furnisce l'accessu.
5. Inserite un valore in u campu di a rete di destinazione chì identifica a reta di destinazione o l'ospite. Qualchese numeru trà 0 è 32. A subnet mask di 32 identifica una ruta d'ospiti.
6. Entre in Route Gateway cù l'indirizzu IP di un router chì indirizzarà i pacchetti à a reta di destinazione. Questu pò esse lasciatu in biancu.
7. Selezziunà l 'Interface à aduprà à ghjunghje sin'à u destinazione, pò esse lassatu cum'è Nimu.
8. Inserite un valore in u campu Metric chì rapprisenta a metrica di sta cunnessione. Aduprate ogni numeru uguale o più grande di 0. Questu solu deve esse stabilitu se dui o più rotte cunflitti o avè target overlapping.
9. Clicca Apply.
NOTA
A pagina di dettagli di a ruta furnisce una lista di interfacce di rete è modem à quale una strada pò esse ligata. In u casu di un modem, a strada serà attaccata à qualsiasi sessione di dialup stabilita via quellu dispusitivu. Un itinerariu pò esse specificatu cù una porta, una interfaccia o i dui. Se l'interfaccia specificata ùn hè micca attiva, e rotte cunfigurate per quella interfaccia ùn saranu micca attive.
26
User Manual 3. PORT SERIAL, HOST, DEVICE & USER CONFIGURATION
U servitore di cunsola permette l'accessu è u cuntrollu di i dispositi attaccati in serie è di i dispositi attaccati à a rete (ospiti). L'amministratore deve cunfigurà i privilegii d'accessu per ognunu di sti dispositi è specificà i servizii chì ponu esse utilizati per cuntrullà i dispositi. L'amministratore pò ancu stabilisce novi utilizatori è specificà l'accessu individuale è i privilegi di cuntrollu di ogni utilizatore.
Stu capitulu copre ognuna di i passi in a cunfigurazione di i dispositi cunnessi in rete è attaccati in serie: · Porti seriali chì creanu protokolli utilizati dispositivi cunnessi in serie · Utenti è Gruppi chì configuranu l'utilizatori è definisce i permessi d'accessu per ognunu di questi utenti · Autentificazione questu hè cupartu in più dettagli in Capitulu 8 · Hosts di rete chì cunfiguranu l'accessu à l'urdinatori o l'apparecchi cunnessi à a rete locale (ospiti) · Configurazione di rete di fiducia - nominate indirizzi IP chì l'utilizatori di fiducia accede da · Cascata è redirezzione di porti di console seriali · Cunnessione à l'alimentazione (UPS, PDU, è Dispositivi IPMI) è di monitoraghju ambientale (EMD) · Redirezzione di u portu seriale cù e Windows PortShare è i clienti Linux · Dispositivi gestiti - presenta un cunsulidatu view di tutte e cunnessione · IPSec chì permette a cunnessione VPN · OpenVPN · PPTP
3.1 Configurate Ports Serial
U primu passu in a cunfigurazione di un portu seriale hè di stabilisce i paràmetri cumuni cum'è i protokolli è i paràmetri RS232 chì anu da esse usatu per a cunnessione di dati à quellu portu (per esempiu, baud rate). Selezziunate in quale modu u portu deve esse operatu. Ogni portu pò esse stallatu per sustene unu di sti modi operativi:
· U modu disattivatu hè u predeterminatu, u portu seriale hè inattivu
27
Capitulu 3:
Port Serial, Host, Dispositivu è Configurazione d'Usuariu
· U modu di servitore di cunsola permette l'accessu generale à u portu di a cunsola seriale nantu à i dispositi attaccati in serie
· U modu di u dispositivu stabilisce u portu seriale per cumunicà cù una PDU seriale intelligente cuntrullata, UPS o Dispositivi di monitoru ambientale (EMD)
· U modu di Terminal Server stabilisce u portu seriale per aspittà una sessione di login di terminal entrante · U modu Serial Bridge permette l'interconnessione trasparente di dui dispositivi di portu seriale nantu à un
rete.
1. Select Serial & Network> Serial Port per vede i dettagli di u portu seriale 2. Per automaticamente, ogni portu seriale hè stallatu in u modu di u servitore Console. Cliccate Edit accantu à u portu per esse
riconfiguratu. O cliccate Edite Multiple Ports è selezziunate i porti chì vulete cunfigurà cum'è un gruppu. 3. Quandu avete reconfiguratu i paràmetri cumuni è u modu per ogni portu, cunfigurà qualsiasi syslog remota (vede e seguenti sezzioni per infurmazione specifica). Cliccate Apply 4. Se u servitore di cunsola hè stata cunfigurata cù u monitoraghju Nagios distribuitu attivatu, utilizate l'opzioni di Nagios Settings per attivà i servizii nominati nantu à l'Ospitu per esse monitoratu 3.1.1 Paràmetri cumuni Ci hè una quantità di paràmetri cumuni chì ponu esse stabiliti per ogni seriale. portu. Quessi sò indipendenti di u modu in quale u portu hè adupratu. Questi paràmetri di u portu seriale deve esse stabilitu in modu chì currispondenu à i paràmetri di u portu seriale nantu à u dispusitivu chì aghjunghje à quellu portu:
28
Manuale d'usu
· Scrivite una etichetta per u portu · Selezziunate u Baud Rate, Parità, Bits di Dati, Stop Bits è Flow Control per ogni portu.
· Pone u Pinout Port. Questa voce di menu appare per i porti IM7200 induve u pin-out per ogni portu seriale RJ45 pò esse stabilitu cum'è X2 (Cisco Straight) o X1 (Cisco Rolled)
· Stallà u modu DTR. Questu permette di sceglie se DTR hè sempre affirmatu o solu affirmatu quandu ci hè una sessione d'utilizatore attiva
· Prima di prucede cù più cunfigurazione di u portu seriale, duvete cunnette i porti à i dispositi seriali chì anu da cuntrullà è assicuratevi di avè paràmetri currispondenti.
3.1.2
Modu di u Server Console
Selezziunà u Modu di u servitore Console per attivà l'accessu di gestione remota à a cunsola seriale chì hè attaccata à stu portu seriale:
Livellu di Logging Questu specifica u livellu di l'infurmazioni per esse registratu è monitoratu.
29
Capitulu 3: Serial Port, Host, Device & User Configuration
Livellu 0: Disattivà u logu (predeterminatu)
Livellu 1: Log LOGIN, LOGOUT è SIGNAL avvenimenti
Livellu 2: Log LOGIN, LOGOUT, SIGNAL, TXDATA è RXDATA avvenimenti
Livellu 3: Log LOGIN, LOGOUT, SIGNAL è RXDATA avvenimenti
Livellu 4: Log LOGIN, LOGOUT, SIGNAL è TXDATA avvenimenti
Input / RXDATA hè dati ricevuti da u dispusitivu Opengear da u dispusitivu seriale cunnessu, è output / TXDATA hè dati mandati da u dispusitivu Opengear (per esempiu, typed da l 'utilizatori) à u dispusitivu seriale cunnessu.
I cunsola di i dispositi sò tipicamente ecu di i caratteri cum'è sò digitati cusì TXDATA digitatu da un utilizatore hè successivamente ricevutu cum'è RXDATA, affissatu in u so terminal.
NOTA: Dopu avè dumandatu una password, u dispositivu cunnessu manda * caratteri per impedisce a password da esse visualizata.
Telnet Quandu u serviziu Telnet hè attivatu nantu à u servitore di cunsola, un cliente Telnet nantu à l'urdinatore di l'utilizatore pò cunnette à un dispositivu seriale attaccatu à stu portu seriale nantu à u servitore di cunsola. Perchè e cumunicazioni Telnet ùn sò micca criptate, stu protokollu hè cunsigliatu solu per e cunnessione locale o VPN tunnellate.
Se e cumunicazioni remoti sò tunnellate cù un connettore, Telnet pò esse usatu per accede in modu sicuru à questi dispositi attaccati.
NOTA
In u modu di u servitore di cunsola, l'utilizatori ponu utilizà un connettore per stabilisce e cunnessione Telnet sicure chì sò tunnellate SSH da i so computer client à u portu seriale in u servitore di a cunsola. I connettori ponu esse installati nantu à i PC Windows è a maiò parte di e plataforme Linux è permette à e cunnessioni Telnet sicure per esse selezziunate cù puntate è clic.
Per utilizà un connettore per accede à e console in i porti seriali di u servitore di cunsola, cunfigurà u connettore cù u servitore di cunsola cum'è una porta, è cum'è host, è attivate u serviziu Telnet in Port (2000 + portu seriale #) vale à dì 2001.
Pudete ancu aduprà pacchetti di cumunicazioni standard cum'è PuTTY per stabilisce una cunnessione diretta Telnet o SSH à i porti seriali.
NOTA In u modu di u servitore Console, quandu vi cunnettate à un portu seriale vi cunnetta via pmshell. Per generà un BREAK in u portu seriale, scrivite a sequenza di caratteri ~b. Sè vo fate questu sopra OpenSSH tipu ~~b.
SSH
Hè ricumandemu chì utilizate SSH cum'è u protokollu quandu l'utilizatori cunnettanu à u servitore di cunsola
(o cunnetta attraversu u servitore di cunsola à e console seriale attaccate) per Internet o qualsiasi
altra rete publica.
Per l'accessu SSH à e cunsola nantu à i dispositi attaccati à i porti seriali di u servitore di cunsola, pudete aduprà un connettore. Configurate u connettore cù u servitore di cunsola cum'è una porta, è cum'è un òspite, è attivate u serviziu SSH in Port (3000 + portu seriale #) vale à dì 3001-3048.
Pudete ancu aduprà pacchetti di cumunicazioni cumuni, cum'è PuTTY o SSHTerm à SSH cunnette à l'indirizzu di u portu Indirizzu IP _ Port (3000 + portu seriale #) vale à dì 3001
A cunnessione SSH pò esse cunfigurata cù u portu standard SSH 22. U portu seriale chì hè accessu hè identificatu appendu un descrittore à u nome d'utilizatore. Questa sintassi supporta:
:
:
30
Manuale d'usu
: : Per un utilizatore chjamatu chris per accede à u portu seriale 2, quandu stabilisce u SSHTerm o u cliente PuTTY SSH, invece di scrive username = chris è ssh port = 3002, l'alternativu hè di scrive username = chris:port02 (o username = chris: ttyS1) è ssh port = 22. O scrivite username=chris:serial è ssh port = 22, l'utilizatore hè prisentatu cù una opzione di selezzione di portu:
Questa sintassi permette à l'utilizatori di stallà tunnelli SSH à tutti i porti seriali cù un unicu portu IP 22 chì deve esse apertu in u so firewall / gateway.
NOTA In u modu di u servitore di cunsola, vi cunnette à un portu seriale via pmshell. Per generà un BREAK in u portu seriale, scrivite a sequenza di caratteri ~b. Sè vo fate questu nantu à OpenSSH, scrivite ~~b.
TCP
RAW TCP permette cunnessione à un socket TCP. Mentre i prugrammi di cumunicazione cum'è PuTTY
sustene ancu RAW TCP, stu protokollu hè generalmente utilizatu da una applicazione persunalizata
Per RAW TCP, l'indirizzu di u portu predeterminatu hè IP Address _ Port (4000 + serial port #) vale à dì 4001 4048
RAW TCP permette ancu chì u portu seriale sia tunelatu à un servitore di cunsola remota, cusì dui dispositi di portu seriale ponu interconnetta in modu trasparente nantu à una reta (vede Capitu 3.1.6 Serial Bridging)
RFC2217 A selezzione di RFC2217 permette a redirezzione di u portu seriale in quellu portu. Per RFC2217, l'indirizzu di u portu predeterminatu hè Indirizzu IP _ Port (5000 + portu seriale #) vale à dì 5001 5048
Un software cliente speciale hè dispunibule per Windows UNIX è Linux chì supporta i porti virtuali RFC2217, cusì un host remoto pò monitorà è gestisce i dispositi remoti attaccati in serie cum'è s'elli sò cunnessi à u portu seriale lucale (vede u Capitulu 3.6 Redirezzione di u portu seriale per i dettagli)
RFC2217 permette ancu chì u portu seriale sia tunnellatu à un servitore di cunsola remota, cusì dui dispositivi di portu seriale ponu interconnettà in modu trasparente nantu à una reta (vede u Capitulu 3.1.6 Serial Bridging)
Telnet Unautthenticated Questu permette l'accessu Telnet à u portu seriale senza credenziali di autentificazione. Quandu un utilizatore accede à u servitore di cunsola à Telnet à un portu seriale, riceve un prompt di login. Cù Telnet micca autenticatu, cunnettanu direttamente à u portu senza sfida di login di u servitore di cunsola. Se un cliente Telnet richiede l'autentificazione, qualsiasi dati inseriti permette a cunnessione.
31
Capitulu 3: Serial Port, Host, Device & User Configuration
Stu modu hè utilizatu cù un sistema esternu (cum'è conservatore) chì gestisce l'autentificazione di l'utilizatori è i privilegi d'accessu à u livellu di u dispositivu seriale.
A login in un dispositivu cunnessu à u servitore di a cunsola pò esse bisognu di autentificazione.
Per Telnet Unautthenticated, l'indirizzu di u portu predeterminatu hè IP Address _ Port (6000 + portu seriale #) vale à dì 6001 6048
SSH micca autenticatu Questu permette l'accessu SSH à u portu seriale senza credenziali di autentificazione. Quandu un utilizatore accede à u servitore di cunsola à Telnet à un portu seriale, riceve un prompt di login. Cù SSH micca autenticatu si cunnettanu direttamente à u portu senza alcuna sfida di login di u servitore di cunsola.
Stu modu hè utilizatu quandu avete un altru sistema chì gestisce l'autentificazione di l'utilizatori è i privilegi d'accessu à u livellu di u dispositivu seriale, ma vulete criptà a sessione in a reta.
A login in un dispositivu cunnessu à u servitore di a cunsola pò esse bisognu di autentificazione.
Per Telnet Unautthenticated, l'indirizzu di u portu predeterminatu hè IP Address _ Port (7000 + portu seriale #) vale à dì 7001 7048
U : u metudu d'accessu à u portu (cum'è descrittu in a sezione SSH sopra) sempre richiede l'autentificazione.
Web Terminal Questu permette web L'accessu di u navigatore à u portu seriale via Manage> Dispositivi: Serial usendu a Console di Gestione integrata in u terminal AJAX. Web U terminale si cunnetta cum'è l'utilizatore di a Console di Gestione attualmente autentificata è ùn si ri-autentifica. Vede a sezione 12.3 per più dettagli.
IP Alias
Permette l'accessu à u portu seriale cù un indirizzu IP specificu, specificatu in u formatu CIDR. Ogni portu seriale pò esse attribuitu unu o più alias IP, cunfigurati nantu à una basa di interfaccia di rete. Un portu seriale pò, per esempiuample, esse accessìbule sia à 192.168.0.148 (cum'è parte di a reta interna) è 10.10.10.148 (cum'è parte di a LAN Management). Hè ancu pussibule di rende un portu seriale dispunibule nantu à dui indirizzi IP in a listessa reta (per esample, 192.168.0.148 è 192.168.0.248).
Questi indirizzi IP ponu esse utilizati solu per accede à u portu seriale specificu, accessibile utilizendu u protocolu standard TCP numeri di portu di i servizii di u servitore di cunsola. Per esample, SSH nantu à u portu seriale 3 seria accessibile in u portu 22 di un alias IP di u portu seriale (mentre chì in l'indirizzu primariu di u servitore di a consola hè dispunibule nantu à u portu 2003).
Questa funzione pò ancu esse cunfigurata via a pagina di edizione multipla. In questu casu, l'indirizzi IP sò applicati in sequenza, cù u primu portu sceltu chì riceve l'IP inseritu è i successivi aumentanu, cù numeri saltati per qualsiasi porti non selezziunati. Per esample, se i porti 2, 3 è 5 sò scelti è l'alias IP 10.0.0.1/24 hè inseritu per l'interfaccia di a rete, i seguenti indirizzi sò attribuiti:
Port 2: 10.0.0.1/24
Port 3: 10.0.0.2/24
Port 5: 10.0.0.4/24
L'Alias IP supportanu ancu l'indirizzi alias IPv6. L'unica diferenza hè chì l'indirizzi sò numeri esadecimali, cusì u portu 10 pò currisponde à un indirizzu chì finisce in A, è 11 à unu chì finisce in B, invece di 10 o 11 cum'è IPv4.
32
Manuale d'usu
Encrypt Traffic / Authenticate Habilita a crittografia triviale è l'autentificazione di e cumunicazioni seriali RFC2217 utilizendu Portshare (per una criptografia forte usa VPN).
Periudu di Accumulazione Una volta chì una cunnessione hè stata stabilita per un portu seriale particulari (cum'è una redirezzione RFC2217 o una cunnessione Telnet à un computer remota), qualsiasi caratteri entranti in quellu portu sò trasmessi nantu à a reta nantu à una basa di caratteru per carattere. U periodu d'accumulazione specifica un periodu di tempu chì i caratteri entranti sò cullati prima di esse mandati cum'è un pacchettu nantu à a reta.
Carattere di fuga Cambia u caratteru utilizatu per mandà caratteri di scappata. U default hè ~. Replace Backspace Sustituisci u valore di backspace predeterminatu di CTRL + ? (127) cù CTRL + h (8). Power Menu U cumandamentu per appughjà u menù di putenza hè ~p è permette u cumandamentu di putenza di shell cusì a
L'utilizatore pò cuntrullà a cunnessione di energia à un dispositivu amministratu da a linea di cummanda quandu sò Telnet o SSH cunnessi à u dispusitivu. U dispositivu amministratu deve esse stallatu cù a so cunnessione di u portu Serial è a cunnessione Power cunfigurata.
Cunnessione unica Questa limita u portu à una sola cunnessione cusì se parechji utilizatori anu privileggi d'accessu per un portu particulari, solu un utilizatore à u mumentu pò accede à quellu portu (vale à dì u snooping portu ùn hè micca permessu).
33
Capitulu 3: Serial Port, Host, Device & User Configuration
3.1.3 Modu Dispositivu (RPC, UPS, Ambientale) Stu modu cunfigura u portu seriale sceltu per cumunicà cù un Alimentatore Uninterruptable Power Supply (UPS) cuntrullatu in seriale, Controller Remote Power / Unità di Distribuzione di Energia (RPC) o Dispositivu di Monitoraghju Ambientale (Ambiente)
1. Selezziunà u tipu di Dispositivu desideratu (UPS, RPC, o Ambientale)
2. Avanzate à a pagina di cunfigurazione di u dispositivu apprupriatu (Serial & Network> UPS Connections, RPC Connection or Environmental) cum'è detallatu in Capitulu 7.
3.1.4 ·
Modu Terminal Server
Selezziunà u Modu di Terminal Server è u Tipu di Terminal (vt220, vt102, vt100, Linux o ANSI) per attivà un getty in u portu seriale sceltu.
U getty cunfigura u portu è aspetta chì una cunnessione sia fatta. Una cunnessione attiva nantu à un dispositivu seriale hè indicata da u pin alzatu Data Carrier Detect (DCD) nantu à u dispositivu seriale. Quandu una cunnessione hè rilevata, u prugramma getty emette un login: prompt, è invoca u prugramma di login per trattà u login di u sistema.
NOTA A selezzione di u modu di Terminal Server disattiva Port Manager per quellu portu seriale, cusì i dati ùn sò più registrati per avvisi ecc.
34
Manuale d'usu
3.1.5 Modu Serial Bridging Cù serial bridging, i dati seriali nantu à un portu seriale numinatu in un servitore di cunsola sò incapsulati in pacchetti di rete è trasportati nantu à una reta à un servitore di seconda cunsola induve hè rapprisintatu cum'è dati seriali. I dui servitori di cunsola agiscenu cum'è un cable seriale virtuale nantu à una rete IP. Un servitore di cunsola hè cunfiguratu per esse u Servitore. U portu seriale di u Servitore per esse bridged hè stallatu in u modu di u servitore Console cù RFC2217 o RAW attivatu. Per u servitore di a cunsola di u Cliente, u portu seriale chì deve esse pontatu deve esse stabilitu in Modu Bridging:
· Selezziunà u Modu Serial Bridging è specificà l'indirizzu IP di u servitore di a consola Server è l'indirizzu di u portu TCP di u portu seriale remoto (per RFC2217 bridging questu serà 5001-5048)
· Per automaticamente, u cliente di ponte usa RAW TCP. Selezziunate RFC2217 s'ellu hè u modu di u servitore di cunsola chì avete specificatu nantu à u servitore di u servitore di u servitore
· Pudete assicurà e cumunicazioni nantu à l'Ethernet locale attivendu SSH. Generate è caricate chjave.
3.1.6 Syslog In più di u logu integratu è u monitoraghju chì pò esse appiicatu à l'accessi di gestione in serie è in rete, cum'è trattatu in u Capitulu 6, u servitore di cunsola pò ancu esse cunfiguratu per supportà u protocolu syslog remoto in un portu seriale. basi:
· Selezziunate i campi Syslog Facility/Priority per attivà u logu di u trafficu nantu à u portu seriale sceltu à un servitore syslog; è per sorte è agisce nantu à quelli messagi registrati (vale à dì redirigeli / mandate email d'alerta.)
35
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
Per esample, se l'urdinatore attaccatu à u portu seriale 3 ùn deve mai mandà nunda in u so portu di cunsola seriale, l'amministratore pò stabilisce a Facilità per quellu portu à local0 (local0 .. local7 sò destinati à i valori lucali di u situ), è a Priorità à critichi. . À questa priorità, se u servitore syslog di u servitore di cunsola riceve un messagiu, suscita una alerta. Vede u Capitulu 6. 3.1.7 Streaming NMEA L'ACM7000-L pò furnisce streaming di dati GPS NMEA da u GPS internu / modem cellulare. Stu flussu di dati presenta cum'è un flussu di dati seriale nantu à u portu 5 nantu à i mudelli ACM.
I Paràmetri cumuni (baud rate etc.) sò ignorati quandu cunfigurà u portu seriale NMEA. Pudete specificà a Frequenza di Fix (vale à dì sta tarifa di fissazione GPS determina quante volte sò ottenute correzioni GPS). Pudete ancu applicà tutti i paràmetri di u Modu di u Servitore di Console, Syslog è Serial Bridging à stu portu.
Pudete aduprà pmshell, webshell, SSH, RFC2217 o RawTCP per ghjunghje à u flussu:
Per esample, usendu u Web Terminal:
36
Manuale d'usu
3.1.8 Consoles USB
I servitori di cunsola cù porti USB supportanu cunnessione di cunsola USB à i dispositi di una larga gamma di venditori, cumprese Cisco, HP, Dell è Brocade. Questi porti USB ponu ancu funziunà cum'è porti seriali RS-232 chjaru quandu un adattatore USB à seriale hè cunnessu.
Questi porti USB sò dispunibuli cum'è porti regulari di portmanager è sò presentati numericamente in u web UI dopu à tutti i porti seriali RJ45.
L'ACM7008-2 hà ottu porti seriali RJ45 in a parte posteriore di u servitore di cunsola è quattru porti USB in fronte. In Serial & Network> Serial Port questi sò listati cum'è
Port # Connector
1
RJ45
2
RJ45
3
RJ45
4
RJ45
5
RJ45
6
RJ45
7
RJ45
8
RJ45
9
USB
10 USB
11 USB
12 USB
Se l'ACM7008-2 particulare hè un mudellu cellulare, u portu #13 - per u GPS - serà ancu listatu.
U 7216-24U hà 16 porti seriali RJ45 è 24 porti USB in a so faccia posteriore è ancu dui porti USB frontali è (in u mudellu cellulare) un GPS.
I porti seriali RJ45 sò presentati in Serial & Network> Serial Port cum'è numeri di portu 1. I porti USB 16 rearfacing piglianu i numeri di portu 24, è i porti USB frontali sò listati à i porti 17 è 40 rispettivamente. È, cum'è cù l'ACM41-42, se u 7008-2U particulari hè un mudellu cellulare, u GPS hè prisentatu à u portu numeru 7216.
I paràmetri cumuni (baud rate, etc.) sò usati per cunfigurà i porti, ma alcune operazioni ùn ponu micca funzionà secondu l'implementazione di u chip seriale USB sottostante.
3.2 Add and Edit Users
L'amministratore usa sta scelta di menu per creà, edità è sguassate l'utilizatori è per definisce i permessi d'accessu per ognunu di sti utilizatori.
37
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
L'utilizatori ponu esse autorizati à accede à i servizii specificati, porti seriali, dispositi di putenza è ospiti specifichi attaccati à a rete. Questi utilizatori ponu ancu esse datu u statutu di amministratore cumpletu (cù a cunfigurazione completa è a gestione è i privilegi d'accessu).
L'utilizatori ponu esse aghjuntu à i gruppi. Sei gruppi sò stallati per difettu:
amministratore
Fornisce privilegi di cunfigurazione è gestione illimitati.
pptpd
Permette l'accessu à u servitore VPN PPTP. L'utilizatori di stu gruppu anu a so password guardata in testu chjaru.
dialin
Permette l'accessu dialin via modem. L'utilizatori di stu gruppu anu a so password guardata in testu chjaru.
ftp
Permette l'accessu ftp è file accessu à i dispusitivi di almacenamento.
pmshell
Pone a shell predeterminata à pmshell.
utilizatori
Fornisce à l'utilizatori privilegi di gestione basi.
U gruppu di amministratore furnisce i membri privilegi di amministratore cumpletu. L'utilizatore amministratore pò accede à u servitore di cunsola utilizendu qualsiasi di i servizii chì sò stati attivati in Sistema> Servizi Puderanu ancu accede à qualsiasi di l'Ospiti cunnessi o di i dispositi di portu seriale chì utilizanu qualsiasi di i servizii chì sò stati attivati per queste cunnessione. Solu l'utilizatori di fiducia duveranu avè accessu amministratore
U gruppu d'utilizatori furnisce à i membri un accessu limitatu à u servitore di cunsola è l'ospiti cunnessi è i dispositi seriali. Questi utilizatori ponu accede solu à a sezione di Gestione di u menù di a Consola di Gestione è ùn anu micca accessu à a linea di cummanda à u servitore di a cunsola. Puderanu accede solu à quelli Hosts è i dispositi seriali chì sò stati verificati per elli, utilizendu servizii chì sò stati attivati.
L'utilizatori in i gruppi pptd, dialin, ftp o pmshell anu limitatu l'accessu di l'utilizatori di shell à i dispositi amministrati nominati, ma ùn anu micca accessu direttu à u servitore di cunsola. Per aghjunghje questu, l'utilizatori devenu ancu esse membri di l'utilizatori o gruppi di amministratori
L'amministratore pò stabilisce gruppi supplementari cù un dispositivu di putere specificu, un portu seriale è permessi d'accessu à l'ospiti. L'utilizatori in questi gruppi supplementari ùn anu micca accessu à u menù di a Consola di Gestione nè ùn anu micca accessu à a linea di cummanda à u servitore di a cunsola.
38
Manuale d'usu
L'amministratore pò cunfigurà l'utilizatori cù un dispositivu di putere specificu, un portu seriale è permessi d'accessu à l'ospiti chì ùn sò micca membri di alcun gruppu. Questi utilizatori ùn anu micca accessu à u menù di a Consola di Gestione nè accessu à a linea di cummanda à u servitore di a cunsola. 3.2.1 Crea un novu gruppu Per stabilisce novi gruppi è novi utilizatori, è per classificà l'utilizatori cum'è membri di gruppi particulari:
1. Selezziunà Serial & Network> Users & Groups per vede tutti i gruppi è l'utilizatori 2. Cliccate Add Group per aghjunghje un novu gruppu
3. Aghjunghjite un nome di Gruppu è una Descrizzione per ogni novu gruppu, è nominate l'Ospiti Accessibili, i Porti Accessibili è i Outlets RPC Accessibili chì l'utilizatori in stu novu gruppu puderanu accede.
4. Cliccate Apply 5. L'amministratore pò Edità o Sguassà ogni gruppu aghjuntu 3.2.2 Stallà novi utilizatori Per stallà novi utilizatori, è per classificà l'utilizatori cum'è membri di gruppi particulari: 1. Selezziunate Serial & Network > Users & Groups per vede. tutti i gruppi è utilizatori 2. Cliccate Add User
39
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3. Aghjunghjite un Username per ogni novu utilizatore. Pudete ancu include infurmazioni relative à l'utilizatore (per esempiu, dati di cuntattu) in u campu di Descrizzione. U Username pò cuntene da 1 à 127 caratteri alfanumerichi è i caratteri "-" "_" è ".".
4. Specificà quale Gruppi vulete chì l'utilizatore sia un membru di 5. Aghjunghjite una Password cunfirmata per ogni novu utilizatore. Tutti i caratteri sò permessi. 6. SSH pass-key autentificazione pò ièssiri usatu. Incolla i chjavi publichi di u publicu / privatu autorizatu
coppie di tasti per questu utilizatore in u campu Chjavi SSH Autorizate 7. Verificate Disable Password Authentication per permette solu l'autentificazione di chjave publica per questu utilizatore
quandu si usa SSH 8. Verificate Enable Dial-Back in u menù Dial-in Options per permette una cunnessione dial-back in uscita.
per esse attivatu da u login in stu portu. Inserite u Numeru di Telefuninu Dial-Back cù u numeru di telefunu per chjamà torna quandu l'utilizatore accede 9. Verificate l'Ospiti Accessibili è / o Porti Accessibili per numinà i porti seriali è l'ospiti cunnessi à a rete chì vulete chì l'utilizatore abbia privilegi d'accessu à 10. Se ci sò RPCs cunfigurati, verificate Accessibili RPC Outlets per specificà quali punti di vendita l'utilizatore hè capaci di cuntrullà (ie Power On / Off) 11. Cliccate Apply. U novu utilizatore hà da pudè accede à i Dispositivi Rete accessibili, Porti è RPC Outlets. Se l'utilizatore hè un membru di u gruppu, ponu ancu accede à qualsiasi altru dispositivu / portu / outlet accessibile à u gruppu
40
Manuale d'usu
Ùn ci hè micca limiti in u numeru di utilizatori chì pudete stallà o u numeru di utilizatori per portu seriale o host. Diversi utilizatori ponu cuntrullà / monitorà u portu o l'ospite. Ùn ci hè micca limiti in u numeru di gruppi è ogni utilizatore pò esse un membru di una quantità di gruppi. Un utilizatore ùn deve esse un membru di alcun gruppu, ma se l'utilizatore hè un membru di u gruppu d'utilizatori predeterminatu, ùn puderanu micca aduprà a Console di Gestione per gestisce i porti. Mentre ùn ci hè micca limiti, u tempu di ricunfigurazione aumenta cum'è u numeru è a cumplessità aumenta. Hè ricumandemu chì u numeru aggregatu di l'utilizatori è di i gruppi si mantene sottu à 250. L'amministratore pò ancu edità i paràmetri di accessu per qualsiasi utilizatori esistenti:
· Selezziunate Serial & Network> Users & Groups è cliccate Edite per mudificà i privilegi di l'accessu di l'utilizatori · Cliccate Delete per sguassà l'utilizatore · Cliccate Disable per bluccà temporaneamente i privilegi d'accessu
3.3 Autentificazione
Vede u Capitulu 8 per i dettagli di cunfigurazione di autentificazione.
3.4 Ospiti di rete
Per monitorà è accede remotamente à un urdinatore o un dispositivu in rete locale (riferitu cum'è Host) duvete identificà l'Host:
1. Selezziunate Serial & Network> Network Hosts presenta tutti l'Ospiti cunnessi à a reta chì sò stati attivati per l'usu.
2. Cliccate Add Host per attivà l'accessu à un novu Host (o selezziunate Edit per aghjurnà i paràmetri per l'Host esistenti)
41
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3. Se l'Host hè un PDU o un dispositivu di putenza UPS o un servitore cù cuntrollu di putenza IPMI, specificate RPC (per IPMI è PDU) o UPS è u Tipu di Dispositivu. L'amministratore pò cunfigurà sti dispusitivi è attivà quale l'utilizatori anu permessu di ciclu remotamente u putere, etc. Vede u Capitulu 7. Altrimenti lascià u Tipu di Dispositivu à Nimu.
4. Se u servitore di cunsola hè stata cunfigurata cù u monitoraghju Nagios distribuitu attivatu, vi vede ancu l'opzioni di Nagios Settings per attivà i servizii nominati nantu à l'Host per esse monitoratu.
5. Cliccate Apply. Questu crea u novu Host è ancu creà un novu dispositivu amministratu cù u stessu nome.
3.5 Reti di fiducia
A facilità di Rete Fiducia vi dà una opzione per numinà l'indirizzi IP chì l'utilizatori devenu esse situati, per avè accessu à i porti seriali di u servitore di cunsola:
42
Manuale d'usu
1. Select Serial & Network > Trusted Networks 2. Per aghjunghje una nova rete di fiducia, selezziunate Add Rule. In mancanza di Reguli, ùn ci hè micca accessu
limitazioni in quantu à l'indirizzu IP à quale l'utilizatori ponu esse situati.
3. Selezziunà i Porti Accessibili chì a nova regula deve esse appiicata
4. Inserite l'indirizzu di a reta di a subnet per esse permessu di accessu
5. Specificate a gamma di indirizzi chì deve esse permessa inserendu una maschera di rete per quellu intervallu IP permessu, p.e.
· Per permette à tutti l'utilizatori situati cù una cunnessione di rete di Classe C particulare à u portu nominatu, aghjunghje a seguente Regola di Rete Fiduciosa Nova:
Indirizzu IP di a rete
204.15.5.0
Maschera di Subnet
255.255.255.0
· Per permette solu un utilizatore situatu à un indirizzu IP specificu per cunnette:
Indirizzu IP di a rete
204.15.5.13
Maschera di Subnet
255.255.255.255
· Per permette à tutti l'utilizatori chì operanu da un intervallu specificu di indirizzi IP (per dì qualcunu di i trenta indirizzi da 204.15.5.129 à 204.15.5.158) per esse permessu di cunnessione à u portu nominatu:
Indirizzu Host / Subnet
204.15.5.128
Maschera di Subnet
255.255.255.224
6. Cliccate Apply
43
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3.6 Serial Port Cascading
Cascaded Ports vi permette di raggruppare i servitori di cunsola distribuiti in modu chì un gran numaru di porti seriali (finu à 1000) ponu esse cunfigurati è accede à traversu un indirizzu IP è gestitu da una Console di Gestione. Un servitore di cunsola, u Primariu, cuntrolla altri servitori di cunsola cum'è unità Node è tutti i porti seriali nantu à l'unità Node appariscenu cum'è s'elli sò parti di u Primariu. U clustering di Opengear cunnetta ogni Node à u Primariu cù una cunnessione SSH. Questu hè fattu cù l'autentificazione di chjave publica, cusì u Primariu pò accede à ogni Node utilizendu u paru di chjave SSH (piuttostu cà aduprà password). Questu assicura e cumunicazioni autentificate sicure trà u Primariu è i Nodi chì permettenu l'unità di u servitore di a cunsola Node per esse distribuite localmente in una LAN o remotamente in u mondu.
3.6.1 Generate è carica automaticamente e chjave SSH Per stabilisce l'autentificazione di chjave publica, deve prima generà una coppia di chjave RSA o DSA è caricate in i servitori di a cunsola Primaria è Node. Questu pò esse fattu automaticamente da u Primariu:
44
Manuale d'usu
1. Selezziunà Sistema> Amministrazione nantu à a Console di Gestione Primaria
2. Verificate Generate chjave SSH automaticamente. 3. Cliccate Apply
In seguitu, duvete selezziunate se generà chjave cù RSA è / o DSA (se ùn hè micca sicuru, selezziunate solu RSA). A generazione di ogni set di chjavi richiede dui minuti è i novi chjavi distrughjenu chjavi antichi di quellu tipu. Mentre a nova generazione hè in corso, e funzioni chì si basanu nantu à e chjave SSH (per esempiu, in cascata) ponu cessà di funziunà finu à ch'elli sò aghjurnati cù u novu settore di chjave. Per generà chjave:
1. Check boxes per e chjave chì vulete generà. 2. Clicca Apply
3. Una volta chì i novi chjave sò stati generati, cliccate nantu à u ligame Cliccate quì per vultà. I chjavi sò caricati
à i Nodi Primari è cunnessi.
3.6.2 Generate manualmente è caricate e chjave SSH In alternativa, se avete una coppia di chiavi RSA o DSA, pudete caricali à i servitori di cunsola Primaria è Node. Per carricà a coppia di chjave publica è privata à u servitore di a consola primaria:
1. Selezziunà Sistema> Amministrazione nantu à a Console di Gestione Primaria
2. Navigate à u locu chì avete guardatu RSA (o DSA) Chjave Pùbblica è caricala à SSH RSA (DSA) Chjave Pùbblica
3. Sfoglia à a Chjave Privata RSA (o DSA) almacenata è caricala à a Chjave Privata SSH RSA (DSA) 4. Cliccate Apply
45
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
Dopu, duvete registrà a Chjave Publica cum'è una Chjave Autorizata nantu à u Node. In u casu di un Primariu cù più Nodi, caricate una chjave publica RSA o DSA per ogni Nodu.
1. Selezziunate Sistema> Amministrazione nantu à a Console di Gestione di u Node 2. Navigate à a Chjave Pùblica RSA (o DSA) almacenata è caricala à a Chjave Autorizzata SSH di Node.
3. Cliccate Apply U prossimu passu hè di Fingerprint ogni nova cunnessione Node-Primary. Stu passu cunvalida chì site stabilitu una sessione SSH à quale pensate chì site. Nantu à a prima cunnessione, u Node riceve una impronta digitale da u Primariu utilizatu in tutte e future cunnessione: Per stabilisce l'impronta digitale prima log in u servitore Primariu cum'è root è stabilisce una cunnessione SSH à l'ospite remoto Node:
# ssh remhost Una volta chì a cunnessione SSH hè stata stabilita, vi hè dumandatu à accettà a chjave. Rispondi sì è l'impronta digitale hè aghjuntu à a lista di ospiti cunnisciuti. Se vi hè dumandatu di furnisce una password, ci hè statu un prublema di carica di e chjave. 3.6.3 Configurate i Nodi è i so porti seriali Accuminciate à cunfigurà i Nodi è cunfigurà i porti seriali Node da u servitore di a consola primaria:
1. Selezziunate Serial & Network > Cascaded Ports in a Console di Gestione Primaria: 2. Per aghjunghje un supportu di clustering, selezziunate Add Node
Ùn pudete micca aghjunghje Nodes finu à chì avete generatu chjave SSH. Per definisce è cunfigurà un Node:
46
Manuale d'usu
1. Inserite l'indirizzu IP remoto o u nome DNS per u servitore di cunsola Node 2. Inserite una breve Description è una breve Label per u Node 3. Inserite u numeru tutale di porti seriali nantu à l'unità Node in Number of Ports 4. Cliccate Apply. Questu stabilisce u tunnel SSH trà u Primariu è u novu Node
U menù Serial & Network > Cascaded Ports mostra tutti i nodi è i numeri di portu chì sò stati attribuiti à u Primariu. Se u servitore di cunsola Primariu hà 16 porti di u so propiu, i porti 1-16 sò preallocati à u Primariu, cusì u primu node aghjuntu hè assignatu u numeru di portu 17 in avanti. Una volta chì avete aghjustatu tutti i servitori di a cunsola Node, i porti seriali Node è i dispositi cunnessi sò configurabili è accessibili da u menù di a Console di Gestione Primaria è accessibile per l'indirizzu IP di u Primariu.
1. Selezziunà u Serial & Network apprupriati> Port Serial è Edit à cunfigurà i porti seriali nant'à u
Node.
2. Selezziunate u Serial & Network apprupriatu> Users & Groups per aghjunghje novi utilizatori cù privilegi d'accessu
à i porti seriali Node (o per allargà i privilegi di accessu di l'utilizatori esistenti).
3. Selezziunà u Serial & Network apprupriati> Networks Trusted à specificà indirizzi reta chì
pò accede à i porti seriali di nodi nominati. 4. Selezziunà u apprupriatu Alerts & Logging> Alerts per cunfigurà Node Port Connection, State
Avvisi di scontri di mudellu di cambiamentu. I cambiamenti di cunfigurazione fatti nantu à u Primariu sò propagati à tutti i nodi quandu cliccate Apply.
3.6.4 Managing Nodes U Primariu hè in cuntrollu di i porti seriali Node. Per esample, se cambia un privilegiu d'accessu d'utilizatore o edità qualsiasi paràmetru di portu seriale nantu à u Primariu, a cunfigurazione aghjurnata files sò mandati à ogni Node in parallel.Each Node face cambiamenti à e so cunfigurazioni lucali (è solu fà cambiamenti chì riguardanu i so porti seriali particulari). Pudete utilizà a Console di Gestione di Node locale per cambià i paràmetri nantu à qualsiasi portu seriale di u nodu (per esempiu, cambià i baud rates). Questi cambiamenti sò soprascritti a prossima volta chì u Primariu manda una cunfigurazione file aghjurnamentu. Mentre chì u Primariu hè in u cuntrollu di tutte e funzioni di u portu seriale di u nodu, ùn hè micca primariu nantu à e cunnessione di l'ospiti di a rete di nodi o nantu à u sistema di u Node Console Server. E funzioni di u nodu cum'è IP, SMTP & SNMP Settings, Data & Time, u servitore DHCP deve esse amministratu accedendu direttamente à ogni node è queste funzioni ùn sò micca scritte più quandu i cambiamenti di cunfigurazione sò propagati da u Primariu. L'Host di Rete di u Node è i paràmetri IPMI devenu esse cunfigurati in ogni nodu.
47
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
A Console di Gestione Primaria furnisce un cunsulidatu view di i paràmetri per u so propiu è i porti seriali di u Node. U Primariu ùn furnisce micca un cunsulidatu cumplettamente view. Per esample, sè vo vulete sapè quale hè cunnessu à i porti seriali cascati da u primariu, vi vede chì Status> Utenti attivi mostra solu quelli utilizatori attivi nantu à i porti di u Primariu, cusì pudete avè bisognu di scrive scripts persunalizati per furnisce questu. view.
3.7 Redirezzione di u portu seriale (PortShare)
U software Port Share d'Opengear furnisce a tecnulugia di portu seriale virtuale chì e vostre applicazioni Windows è Linux anu bisognu per apre i porti seriali remoti è leghje e dati da i dispositi seriali chì sò cunnessi à u vostru servitore di cunsola.
PortShare hè furnitu gratuitamente cù ogni servitore di cunsola è avete licenziatu per installà PortShare in unu o più computer per accede à qualsiasi dispositivu seriale cunnessu à un portu di u servitore di cunsola. PortShare per Windows U portshare_setup.exe pò esse scaricatu da u situ ftp. Vede u Manuale d'Usuariu di PortShare è Quick Start per i dettagli nantu à a stallazione è u funziunamentu. PortShare per Linux U driver PortShare per Linux mape u portu seriale di u servitore di cunsola à un portu di prova di l'ospite. Opengear hà liberatu u portshare-serial-client cum'è una utilità open source per Linux, AIX, HPUX, SCO, Solaris è UnixWare. Questa utilità pò esse scaricata da u situ ftp. Stu redirector di u portu seriale PortShare vi permette di utilizà un dispositivu seriale cunnessu à u servitore di cunsola remota cum'è s'ellu era cunnessu à u vostru portu seriale lucale. U portshare-serial-client crea un portu pseudo tty, cunnetta l'applicazione seriale à u portu pseudo tty, riceve dati da u portu pseudo tty, trasmette à u servitore di cunsola à traversu a rete è riceve dati da u servitore di cunsola à traversu a rete è trasmette. à u portu pseudo-tty. U .tar file pò esse scaricatu da u situ ftp. Vede u Manuale d'Usuariu di PortShare è Quick Start per i dettagli nantu à a stallazione è u funziunamentu.
48
Manuale d'usu
3.8 Dispositivi amministrati
A pagina di Dispositivi Gestionati presenta un cunsulidatu view di tutte e cunnessione à un dispositivu chì pò esse accessu è monitoratu attraversu u servitore di cunsola. À view i cunnessione à i dispusitivi, selezziunà Serial & Network> Managed Devices
Questa schermu mostra tutti i dispositi amministrati cù a so Descrizzione / Note è liste di tutte e Cunnessioni cunfigurate:
· Serial Port # (se cunnessu in serie) o · USB (se cunnessu USB) · Indirizzu IP (se cunnessu in rete) · Power PDU/outlet details (se applicabile) è qualsiasi cunnessione UPS I dispositi cum'è i servitori ponu avè più di una cunnessione di alimentazione. (per esempiu, doppia putenza furnita) è più di una cunnessione di rete (per esempiu per BMC / processore di serviziu). Tutti l'utilizatori ponu view sti cunnessioni aparechju amministratu da sceglie Manage> Dispositivi. L'amministratori ponu ancu edità è aghjunghje / sguassate sti dispositi amministrati è e so cunnessione. Per edità un dispositivu esistente è aghjunghje una nova cunnessione: 1. Selezziunate Edit in Serial & Network > Managed Devices è cliccate Add Connection 2. Sceglite u tipu di cunnessione per a nova cunnessione (Serial, Network Host, UPS o RPC) è selezziunate
a cunnessione da a lista presentata di hosts / ports / outlets cunfigurati micca allocati
49
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
Per aghjunghje un novu dispositivu amministratu cunnessu à a rete: 1. L'Amministratore aghjusta un novu dispositivu amministratu cunnessu à a rete utilizendu Add Host in u menu Serial & Network > Network Host. Questu crea automaticamente un novu dispositivu amministratu currispundente. 2. Quandu aghjunghje una nova reta cunnessu RPC o un dispositivu di putenza UPS, avete stallatu un Host Network, designate cum'è RPC o UPS. Andà à RPC Connections o UPS Connections per cunfigurà a cunnessione pertinente. Un novu dispositivu amministratu currispundente cù u stessu Nome / Descrizzione cum'è u RPC / UPS Host ùn hè micca creatu finu à chì stu passu di cunnessione hè cumpletu.
NOTA I nomi di u sboccu nantu à a PDU appena creata sò Outlet 1 è Outlet 2. Quandu si cunnetta un dispositivu gestitu particulari chì tira a putenza da a presa, l'outlet piglia u nome di u dispositivu gestitu alimentatu.
Per aghjunghje un novu dispositivu amministratu cunnessu in serie: 1. Configurate u portu seriale cù u menù Serial & Network > Serial Port (Vede a Sezione 3.1 Configurazione Serial Port) 2. Sceglite Serial & Network > Managed Devices è cliccate Add Device 3. Inserisci un Dispositivu Nome è Descrizione per u dispusitivu amministratu
4. Clicca Add Connection è selezziunà Serial è u Port chì culliga in u dispusitivu amministratu
5. Per aghjunghje una cunnessione di putenza UPS / RPC o cunnessione di rete o una altra cunnessione seriale cliccate Add Connection
6. Cliccate Apply
NOTA
Per stallà un dispositivu RPC UPS o EMD cunnessu in serie, cunfigurà u portu seriale, designalu cum'è Dispositivu, è inserite un Nome è una Descrizzione per quellu dispositivu in Serial & Network> RPC Connections (o UPS Connections or Environment). Questu crea un novu dispositivu amministratu currispundente cù u stessu Nome / Descrizzione cum'è l'Host RPC / UPS. I nomi di l'outlet nantu à questa PDU di nova creazione sò Outlet 1and Outlet 2. Quandu si cunnetta un dispositivu amministratu chì tira u putere da l'outlet, l'outlet piglia u nome di u Dispositivu gestitu alimentatu.
3.9 IPsec VPN
L'ACM7000, CM7100 è IM7200 includenu Openswan, una implementazione Linux di i protokolli IPsec (IP Security), chì pò esse usatu per cunfigurà una Rete Privata Virtual (VPN). A VPN permette à parechji siti o amministratori remoti per accede à u servitore di cunsola è i dispositi amministrati in modu sicuru in Internet.
50
Manuale d'usu
L'amministratore pò stabilisce cunnessioni VPN autentificate criptate trà i servitori di cunsola distribuiti in siti remoti è un gateway VPN (cum'è un router Cisco chì esegue IOS IPsec) in a so rete di l'uffiziu cintrali:
· L'utilizatori di l'uffiziu cintrali ponu accede in modu sicuru à i servitori di a cunsola remota è à i dispositi è e macchine di cunsola seriale cunnessi nantu à a subnet Management LAN in u locu remotu cum'è s'ellu eranu lucali.
· Tutti questi servitori di cunsola remoti ponu esse monitorati cù un CMS6000 nantu à a reta cintrali · Cù u ponte seriale, i dati seriali da u controller in a macchina di l'uffiziu cintrali ponu esse in modu sicuru.
cunnessu à i dispositi cuntrullati in serie in i siti remoti L'amministratore di u guerrieru di strada pò aduprà un cliente di software VPN IPsec per accede remotamente à u servitore di cunsola è ogni macchina nantu à a subnet Management LAN in u locu remoto.
A cunfigurazione di IPsec hè abbastanza cumplessa, cusì Opengear furnisce una interfaccia GUI per a cunfigurazione di basa cum'è descritta quì sottu. Per attivà u gateway VPN:
1. Selezziunà IPsec VPN nant'à u menu Serial & Networks
2. Cliccate Aggiungi è compie u screnu Aggiungi Tunnel IPsec 3. Inserite qualsiasi nome descrittivo chì vulete identificà u Tunnel IPsec chì aghjunghje cum'è
WestStOutlet-VPN
51
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
4. Selezziunate u Metudu di Autentificazione per esse utilizatu, sia firme digitali RSA, sia un sicretu Shared (PSK) o Se selezziunate RSA vi dumandate di cliccà quì per generà chjave. Questu genera una chjave publica RSA per u servitore di cunsola (a Chjave Publica Left). Locate a chjave per esse usata nantu à a porta remota, tagliate è incollà in a Chjave Publica Right
o Se selezziunate u secretu spartutu, inserite un secretu Pre-spartitu (PSK). U PSK deve currisponde à u PSK cunfiguratu à l'altra estremità di u tunnel
5. In u protocolu di autentificazione selezziunate u protocolu d'autentificazione per esse usatu. Sia autenticate cum'è parte di a criptografia ESP (Encapsulating Security Payload) o separatamente utilizendu u protocolu AH (Authentication Header).
52
Manuale d'usu
6. Entre in un ID Left è Right ID. Questu hè l'identificatore chì l'ospite / gateway Locale è l'ospite / gateway remoto utilizanu per a negoziazione è l'autentificazione IPsec. Ogni ID deve include un @ è pò include un nome di duminiu cumplettamente qualificatu (per esempiu left@example.com)
7. Inserite l'indirizzu IP publicu o DNS di questa porta Opengear VPN cum'è l'indirizzu di manca. Pudete lascià questu in biancu per utilizà l'interfaccia di a strada predeterminata
8. In Right Address entre in l'indirizzu IP publicu o DNS di l'estremità remota di u tunnel (solu se l'estremità remota hà un indirizzu static o DynDNS). Altrimenti lasciate questu in biancu
9. Se a porta VPN Opengear serve cum'è una porta VPN à una subnet locale (per esempiu, u servitore di cunsola hà una LAN di Gestione cunfigurata) inserite i dettagli di a subnet privata in Subnet Left. Aduprate a notazione CIDR (induve u numeru di l'indirizzu IP hè seguitu da una slash è u numeru di "un" bit in a notazione binaria di a maschera di rete). Per esample, 192.168.0.0/24 indica un indirizzu IP induve i primi 24 bit sò usati cum'è l'indirizzu di a reta. Questu hè u listessu cum'è 255.255.255.0. Se l'accessu VPN hè solu à u servitore di cunsola è à i so dispositi di cunsola seriale attaccati, lasciate a Subnet sinistra in biancu
10. Se ci hè una porta VPN à a fine remota, inserite i dettagli di a subnet privata in Right Subnet. Aduprate a notazione CIDR è lasciate in biancu s'ellu ci hè solu un host remoto
11. Selezziunà Initiate Tunnel se a cunnessione di u tunnel deve esse iniziata da a fine di u servitore di a consola Left. Questu pò esse iniziatu solu da a porta VPN (Left) se l'estremità remota hè cunfigurata cù un indirizzu IP staticu (o DynDNS).
12. Cliccate Apply per salvà i cambiamenti
NOTA I dettagli di cunfigurazione stallati nantu à u servitore di a cunsola (riferitu cum'è l'ospite di sinistra o lucale) deve currisponde à a cunfigurazione inserita durante a cunfigurazione di l'ospite / gateway Remote (Right) o client di software. Vede http://www.opengear.com/faq.html per i dettagli nantu à a cunfigurazione di sti fini remoti
3.10 OpenVPN
L'ACM7000, CM7100 è IM7200 cù firmware V3.2 è più tardi includenu OpenVPN. OpenVPN usa a libreria OpenSSL per a criptografia, l'autentificazione è a certificazione, chì significa chì usa SSL / TSL (Secure Socket Layer / Transport Layer Security) per u scambiu di chjave è pò criptà i dati è i canali di cuntrollu. Utilizà OpenVPN permette di custruisce VPN multipiattaforma, puntu à puntu utilizendu sia X.509 PKI (Infrastruttura di Chiavi Pubbliche) sia cunfigurazione persunalizata. files. OpenVPN permette un tunneling sicuru di dati attraversu un unicu portu TCP / UDP nantu à una rete micca sicura, furnisce cusì un accessu sicuru à parechji siti è amministrazione remota sicura à un servitore di cunsola in Internet. OpenVPN permette ancu l'usu di l'indirizzi IP dinamichi sia da u servitore sia da u cliente chì furnisce cusì a mobilità di u cliente. Per esampLe, un tunnel OpenVPN pò esse stabilitu trà un cliente Windows roaming è un servitore di cunsola Opengear in un centru di dati. A cunfigurazione di OpenVPN pò esse cumplessa, cusì Opengear furnisce una interfaccia GUI per a cunfigurazione di basa cum'è descritta quì sottu. L'infurmazione più dettagliata hè dispunibule à http://www.openvpn.net
3.10.1 Abilita l'OpenVPN 1. Selezziunate OpenVPN in u menù Serial & Networks
53
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
2. Cliccate Aggiungi è compie u screnu Add OpenVPN Tunnel 3. Inserite qualsiasi nome descrittivu chì vulete identificà u Tunnel OpenVPN chì aghjunghje, per ex.ample
NorthStOutlet-VPN
4. Selezziunà u mètudu autentificazione à esse usatu. Per autentificà cù i certificati, selezziunate PKI (Certificati X.509) o selezziunate Configurazione Personalizzata per carica a cunfigurazione persunalizata files. A cunfigurazione persunalizata deve esse guardata in /etc/config.
NOTA Se selezziunate PKI, stabilisce: Certificatu separatu (cunnisciutu ancu cum'è chjave publica). Stu Certificatu File hè un *.crt file tipu Private Key per u servitore è ogni cliente. Questa Chjave Privata File hè un *.key file tipu
Certificatu di l'Autorità di Certificazione Primaria (CA) è chjave chì hè aduprata per firmà ognunu di u servitore
è certificati di u cliente. Stu Certificatu CA Root hè un *.crt file tipu Per un servitore, pudete ancu bisognu di dh1024.pem (parametri Diffie Hellman). Vede http://openvpn.net/easyrsa.html per una guida per a gestione di chjave RSA di basa. Per i metudi di autentificazione alternativu vede http://openvpn.net/index.php/documentation/howto.html#auth.
5. Selezziunà u Driver Device à esse usatu, sia Tun-IP o Tap-Ethernet. I driver TUN (tunnel di rete) è TAP (tap di rete) sò driver di rete virtuale chì supportanu u tunneling IP è u tunneling Ethernet, rispettivamente. TUN è TAP sò parti di u kernel Linux.
6. Selezziunà u UDP o TCP cum'è u Protocol. UDP hè u protokollu predeterminatu è preferitu per OpenVPN. 7. Verificate o uncheck u buttone Cumpressione per attivà o disattivà cumpressione. 8. In Modu Tunnel, nominate s'ellu hè u Cliente o Servitore finale di u tunnel. Quandu corre cum'è
un servitore, u servitore di cunsola supporta parechji clienti chì cunnessu à u servitore VPN nantu à u stessu portu.
54
Manuale d'usu
3.10.2 Configurate cum'è Servitore o Cliente
1. Complete u Client Details o Server Details sicondu u Tunnel Mode sceltu. o Se u Cliente hè statu sceltu, l'indirizzu di u Servitore Primariu hè l'indirizzu di u Servitore OpenVPN. o Se u Server hè statu sceltu, inserite l'indirizzu IP Pool Network è a maschera IP Pool Network per l'IP Pool. A reta definita da l'indirizzu / maschera IP Pool Network hè utilizata per furnisce l'indirizzi per i clienti di cunnessione.
2. Cliccate Apply per salvà i cambiamenti
55
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3. À entre certificati autentificazione è files, selezziunà u Manage OpenVPN Files tab. Caricate o cercate i certificati di autentificazione pertinenti è files.
4. Apply à salvà cambiamenti. Salvatu files sò visualizati in rossu à u latu drittu di u buttone Caricà.
5. Per attivà OpenVPN, Edite u tunnel OpenVPN
56
Manuale d'usu
6. Verificate u buttone Enabled. 7. Applica per salvà i cambiamenti NOTA Assicuratevi chì u tempu di u sistema di u servitore di cunsola hè currettu quandu travaglia cù OpenVPN per evità
prublemi di autentificazione.
8. Selezziunà Statistiche nantu à u menù Status per verificà chì u tunnel hè operativu.
57
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3.10.3 Configurazione di u Cliente è u Servitore Windows OpenVPN Questa sezione delinea l'installazione è a cunfigurazione di un cliente Windows OpenVPN o un servitore Windows OpenVPN è stabilisce una cunnessione VPN à un servitore di cunsola. I servitori di cunsola generanu automaticamente a cunfigurazione di u cliente Windows da a GUI per Secret Pre-shared (Chiave Statica File) cunfigurazioni.
In alternativa, OpenVPN GUI per u software Windows (chì include u pacchettu standard OpenVPN più una GUI Windows) pò esse scaricatu da http://openvpn.net. Una volta installatu nantu à a macchina Windows, un icona OpenVPN hè aghjuntu à l'Area di Notificazione situata in u latu drittu di a barra di task. Cliccate nant'à sta icona per inizià è piantà e cunnessione VPN, edità cunfigurazioni, è view logs.
Quandu u software OpenVPN principia in esecuzione, u C:Program FileU cartulare sOpenVPNconfig hè scansatu per .opvn files. Stu cartulare hè ricontrollatu per a nova cunfigurazione files ogni volta chì l'icona OpenVPN GUI hè cliccà right. Una volta chì OpenVPN hè stallatu, crea una cunfigurazione file:
58
Manuale d'usu
Utilizendu un editore di testu, crea un xxxx.ovpn file è salvà in C:Program FilesOpenVPNconfig. Per esample, C: Prugramma FilesOpenVPNconfigclient.ovpn
Un esample di una configurazione di client OpenVPN Windows file hè mostratu quì sottu:
# description: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key persistd no persisted persisted key tun comp-lzo
Un esample di una configurazione OpenVPN Windows Server file hè mostratu quì sottu:
server 10.100.10.0 255.255.255.0 portu 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\nkeyserver\nkeyword\nkey. chjave dh c:\openvpnkeys\dh.pem comp-lzo verb 1 syslog IM4216_OpenVPN_Server
A cunfigurazione di u cliente / servitore Windows file l'opzioni sò:
Opzioni #descrizione: Client server proto udp proto tcp mssfix verbu
dev tun dev tap
Descrizzione Questu hè un cumentu chì descrive a cunfigurazione. E linee di cumentu cumincianu cù "#" è sò ignorate da OpenVPN. Specificate s'ellu serà una cunfigurazione di u cliente o di u servitore file. In a cunfigurazione di u servitore file, definisce u pool di indirizzu IP è a netmask. Per esample, server 10.100.10.0 255.255.255.0 Stabbilisce u protocolu à UDP o TCP. U cliente è u servitore deve aduprà i stessi paràmetri. Mssfix stabilisce a dimensione massima di u pacchettu. Questu hè solu utile per UDP se i prublemi sò.
Set log file livellu di verbosità. U livellu di verbosità di u logu pò esse stabilitu da 0 (minimu) à 15 (massimu). Per esample, 0 = silenziu eccettu per errori fatali 3 = output mediu, bonu per l'usu generale 5 = aiuta cù i prublemi di cunnessione di debugging 9 = verbose, eccellente per a risoluzione di i prublemi Selezziunà "dev tun" per creà un tunnel IP instradatu o "dev tap" per creà un tunnel Ethernet. U cliente è u servitore deve aduprà i stessi paràmetri.
59
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
luntani Port Keepalive
http-proxy cafile nome>
certfile nome>
chjavefile nome>
dhfile nome> Nobind persist-key persist-tun cipher BF-CBC Blowfish (default) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog
U hostname / IP di u servitore OpenVPN quandu opera cum'è cliente. Inserite u nome di host DNS o l'indirizzu IP staticu di u servitore. U portu UDP/TCP di u servitore. Keepalive usa ping per mantene a sessione OpenVPN viva. 'Keepalive 10 120' ping ogni 10 seconde è assume chì u peer remota hè falatu se ùn hè micca ricevutu ping in un periodu di 120 secondi. Se un proxy hè necessariu per accede à u servitore, inserite u nome DNS di u servitore proxy o l'IP è u numeru di portu. Inserite u certificatu CA file nome è locu. U stessu certificatu CA file pò esse usatu da u servitore è tutti i clienti. Nota: Assicuratevi chì ogni `' in u percorsu di u cartulare hè rimpiazzatu cù ` \'. Per esample, c:openvpnkeysca.crt diventerà c:\openvpnkeys\ca.crt Inserite u certificatu di u cliente o di u servitore file nome è locu. Ogni cliente deve avè u so propiu certificatu è chjave files. Nota: Assicuratevi chì ogni `' in u percorsu di u cartulare hè rimpiazzatu cù ` \'. Entre in file nome è locu di a chjave di u cliente o di u servitore. Ogni cliente deve avè u so propiu certificatu è chjave files. Nota: Assicuratevi chì ogni `' in u percorsu di u cartulare hè rimpiazzatu cù ` \'. Questu hè utilizatu solu da u servitore. Inserite u percorsu à a chjave cù i paràmetri Diffie-Hellman. "Nobind" hè utilizatu quandu i clienti ùn anu micca bisognu di ligà à un indirizzu locale o un numeru di portu lucale specificu. Questu hè u casu in a maiò parte di e cunfigurazioni di u cliente. Questa opzione impedisce a ricaricamentu di e chjavi attraversu i riavvii. Questa opzione impedisce a chjusa è riapertura di i dispositi TUN / TAP in riavvia. Sceglite un cifru criptograficu. U cliente è u servitore deve aduprà i stessi paràmetri.
Attivate a compressione nantu à u ligame OpenVPN. Questu deve esse attivatu nantu à u cliente è u servitore. Per automaticamente, i logs sò situati in syslog o, se funziona cum'è serviziu nantu à a finestra, in u prugramma FilesOpenVPNlog annuariu.
Per inizià u tunnel OpenVPN dopu a creazione di a cunfigurazione cliente / servitore files: 1. Cliccate nant'à l'icona OpenVPN in l'Area di Notificazione 2. Selezziunate a cunfigurazione di u cliente o di u servitore appena creatu. 3. Cliccate Cunnette
4. U logu file hè visualizatu cum'è a cunnessione hè stabilita
60
Manuale d'usu
5. Una volta stabilitu, l'icona OpenVPN mostra un missaghju chì indica una cunnessione successu è l'IP assignata. Questa infurmazione, cum'è u tempu chì a cunnessione hè stata stabilita, hè dispunibule scrolling over the OpenVPN icon.
3.11 PPTP VPN
I servitori di cunsola includenu un servitore PPTP (Protocolu di Tunneling Point-to-Point). PPTP hè utilizatu per cumunicazioni nantu à un ligame seriale fisicu o virtuale. L'endpoint PPP definiscenu un indirizzu IP virtuale per elli stessi. I rotte à e rete ponu esse definite cù questi indirizzi IP cum'è a porta d'ingressu, chì risultatu in u trafficu chì hè mandatu à traversu u tunnel. PPTP stabilisce un tunnel trà i punti finali PPP fisici è trasporta in modu sicuru e dati attraversu u tunnel.
A forza di PPTP hè a so facilità di cunfigurazione è integrazione in l'infrastruttura Microsoft esistente. Hè generalmente utilizatu per cunnette i clienti Windows remoti unichi. Se pigliate u vostru urdinatore portatile in un viaghju di cummerciale, pudete marcà un numeru lucale per cunnette cù u vostru fornitore di serviziu d'accessu à Internet (ISP) è creà una seconda cunnessione (tunnel) in a vostra reta di l'uffiziu in Internet è avè u stessu accessu à u vostru serviziu. reta corporativa cum'è s'è vo site cunnessu direttamente da u vostru uffiziu. I telecommuters ponu ancu stabilisce un tunnel VPN nantu à u so modem cable o ligami DSL à u so ISP locale.
61
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
Per stabilisce una cunnessione PPTP da un cliente Windows remoto à u vostru appliance Opengear è a rete locale:
1. Abilita è cunfigurà u servitore PPTP VPN nantu à u vostru appliance Opengear 2. Configurate cunti d'utilizatori VPN nantu à l'appliance Opengear è attivate l'appruvazioni adattati.
autentificazione 3. Configurate i clienti VPN in i siti remoti. U cliente ùn hà micca bisognu di software speciale cum'è
u PPTP Server supporta u software client PPTP standard inclusu cù Windows NT è più tardi 4. Cunnettete à a VPN remota 3.11.1 Attivate u servitore VPN PPTP 1. Selezziunate PPTP VPN in u menù Serial & Networks.
2. Selezziunate a casella di verificazione Enable per attivà u PPTP Server 3. Selezziunate l'Autentificazione Minimu Required. L'accessu hè denegatu à l'utilizatori remoti chì provanu
cunnette cù un schema di autentificazione più debule di u schema sceltu. I schemi sò descritti quì sottu, da u più forte à u più debule. · Autentificazione criptata (MS-CHAP v2): U tipu più forte di autentificazione per utilizà; què hè
l'opzione cunsigliata · Autenticazione Debule Cifrata (CHAP): Questu hè u tipu più debule di password cifrata
autentificazione per aduprà. Ùn hè cunsigliatu chì i clienti cunnetta cù questu, perchè furnisce assai poca prutezzione di password. Innota ancu chì i clienti chì si cunnettanu cù CHAP ùn sò micca capaci di criptà u trafficu
62
Manuale d'usu
· Autentificazione Unencrypted (PAP): Questa hè autentificazione di password di testu chjaru. Quandu si usa stu tipu d'autentificazione, a password di u cliente hè trasmessa senza criptu.
· Nisunu 4. Selezziunà u Livellu di Encryption Required. L'accessu hè denegatu à l'utilizatori remoti chì provanu à cunnette
chì ùn anu micca aduprà stu livellu di criptografia. 5. In Indirizzu Locale inserite l'indirizzu IP per assignà à a fine di u servitore di a cunnessione VPN 6. In Indirizzi Remoti entre in u pool di indirizzi IP per assignà à a VPN di u cliente entrante.
cunnessione (per esempiu 192.168.1.10-20). Questu deve esse un indirizzu IP liberu o una gamma di indirizzi da a reta chì l'utilizatori remoti sò assignati mentre sò cunnessi à l'apparechju Opengear 7. Inserite u valore desideratu di l'Unità di Trasmissione Massima (MTU) per l'interfacce PPTP in u campu MTU (predeterminatu à 1400) 8. In u campu di u Servitore DNS, inserite l'indirizzu IP di u servitore DNS chì assigna l'indirizzi IP à i clienti PPTP di cunnessione 9. In u campu di u Servitore WINS, inserite l'indirizzu IP di u servitore WINS chì assigna l'indirizzi IP à u cliente PPTP di cunnessione. 10. Habilita Verbose Logging per aiutà à debugging prublemi di cunnessione 11. Cliccate Apply Settings 3.11.2 Add a PPTP user 1. Select Users & Groups in u menù Serial & Networks è cumplete i campi cum'è cuparti in a sezione 3.2. 2. Assicurà chì u gruppu pptpd hè statu verificatu, per permette l'accessu à u servitore PPTP VPN. Nota - l'utilizatori di stu gruppu anu e so password guardate in testu chjaru. 3. Mantene a nota di u nome d'utilizatore è a password per quandu avete bisognu di cunnette à a cunnessione VPN 4. Cliccate Apply
63
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3.11.3 Configurate un cliente PPTP remoto Assicuratevi chì u PC client VPN remoto hà una cunnessione Internet. Per creà una cunnessione VPN à traversu l'Internet, duvete stabilisce duie cunnessione di rete. Una cunnessione hè per l'ISP, è l'altra cunnessione hè per u tunnel VPN à l'apparechju Opengear. NOTA Questa prucedura stabilisce un cliente PPTP in u sistema operatore Windows Professional. I passi
pò varià ligeramente secondu u vostru accessu à a rete o se aduprate una versione alternativa di Windows. Istruzzioni più dettagliate sò dispunibili da Microsoft web situ. 1. Accedi à u vostru cliente Windows cù privilegi di amministratore 2. Da u Centru Network & Sharing nant'à u Pannellu di cuntrollu, selezziunate Network Connections è crea una nova cunnessione
64
Manuale d'usu
3. Selezziunate Use My Internet Connection (VPN) è inserite l'indirizzu IP di l'apparechju Opengear Per cunnette i clienti VPN remoti à a reta lucale, avete bisognu di cunnosce u nome d'utilizatore è a password per u contu PPTP chì avete aghjustatu, è ancu l'IP Internet. indirizzu di l'apparechju Opengear. Se u vostru ISP ùn vi hà micca attribuitu un indirizzu IP staticu, cunzidira à utilizà un serviziu DNS dinamicu. Altrimenti duvete mudificà a cunfigurazione di u cliente PPTP ogni volta chì u vostru indirizzu IP Internet cambia.
65
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3.12 Chjama a casa
Tutti i servitori di cunsola includenu a funzione Call Home chì inizia a cunfigurazione di un tunnel SSH sicuru da u servitore di cunsola à un faro Opengear centralizatu. U servitore di cunsola si registra cum'è candidatu à u Lighthouse. Una volta accettatu quì, diventa un Servitore di Console Gestita.
Lighthouse monitoreghja u Servitore di Console Gestita è l'amministratori ponu accede à u Servitore di Console Gestita remota attraversu u Lighthouse. Stu accessu hè dispunibule ancu quandu u servitore di cunsola remota hè daretu à un firewall di terzu o hà un indirizzi IP privati non-routable.
NOTA
Lighthouse mantene e cunnessione SSH autentificate cù chjave publica à ognunu di i so Servitori di Console Gestita. Queste cunnessione sò aduprate per monitorà, dirigenu è accede à i Servitori di Console Managed è i dispositi amministrati cunnessi à u Servitore di Console Managed.
Per gestisce i Servitori di Console Locali, o servitori di cunsola chì sò accessibili da u Lighthouse, i SSHconnections sò iniziati da Lighthouse.
Per gestisce i Servitori di Console Remote, o i servitori di cunsola chì sò firewalled, micca routable, o altrimenti inaccessibili da u Lighthouse, i cunnessione SSH sò iniziati da u Managed ConsoleServer via una cunnessione iniziale di Call Home.
Questu assicura cumunicazioni sicure è autentificate è permette à e unità di i Servitori di Console Managed esse distribuite localmente in una LAN, o remotamente in u mondu.
3.12.1 Configurazione di u candidatu di Call Home Per cunfigurà u servitore di cunsola cum'è un candidatu di gestione di Call Home in u Lighthouse:
1. Selezziunà Call Home nant'à u menu Serial & Network
2. Se ùn avete micca digià generatu o caricatu un paru di chjave SSH per stu servitore di cunsola, fate cusì prima di prucede.
3. Cliccate Add
4. Inserite l'indirizzu IP o u nome DNS (per esempiu, l'indirizzu DNS dinamicu) di u Lighthouse.
5. Inserite u Password chì avete cunfiguratu in u CMS cum'è Call Home Password.
66
Manuale d'usu
6. Cliccate Apply Sti passi inizianu a cunnessione Call Home da u servitore di cunsola à u Lighthouse. Questu crea un portu SSHlistening in u Lighthouse è stabilisce u servitore di cunsola cum'è candidatu.
Una volta chì u candidatu hè statu accettatu nantu à u Lighthouse, un tunnel SSH à u servitore di a cunsola hè reindirizzatu à traversu a cunnessione Call Home. U servitore di cunsola hè diventatu un Servitore di Console Managed è u Faru pò cunnette è monitorà per questu tunnel. 3.12.2 Accetta u candidatu di Call Home cum'è Servitore di Console Gestita in Lighthouse Questa sezione dà una piùview nantu à a cunfigurazione di u Lighthouse per monitorà i servitori di cunsola Lighthouse chì sò cunnessi via Call Home. Per più dettagli vede a Guida di l'Usuariu di Lighthouse:
1. Inserisci un novu Call Home Password nant'à u Lighthouse. Sta password hè usata per accettà
Chjamate Homeconnections da i servitori di cunsola candidati
2. U Lighthouse pò esse cuntattatu da u servitore di a cunsola deve esse o avè una IP statica
indirizzu o, se DHCP, esse cunfigurati per utilizà un serviziu DNS dinamicu
A schermu Configurazione> Managed Console Servers nantu à u Lighthouse mostra u statutu di
Servitori è candidati di cunsola amministrata lucali è remoti.
A sezione di Servitori di Console Managed mostra i servitori di cunsola chì sò monitorati da u
Lighthouse. A sezione di Servers Console Detected cuntene:
o U menu a tendina di i Servitori di Console Locali chì elenca tutti i servitori di cunsola chì sò in u
listessa subnet cum'è u Faro, è ùn sò micca monitorati
67
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
o U menu a tendina Remote Console Servers chì lista tutti i servitori di cunsola chì anu stabilitu una cunnessione Call Home è ùn sò micca monitorati (vale à dì i candidati). Pudete cliccà Refresh per aghjurnà
Per aghjunghje un candidatu di u servitore di cunsola à a lista di u Servitore di Console Managed, selezziunate da a lista a tendina di Servitori di Console Remote è cliccate Aggiungi. Inserite l'indirizzu IP è u portu SSH (se questi campi ùn sò micca stati cumpletati automaticamente) è inserite una Descrizzione è un Nome unicu per u servitore di Console Gestita chì aghjunghje.
Inserite a Password Root Remote (vale à dì a Password di u Sistema chì hè stata stabilita in stu servitore di Console Managed). Questa password hè aduprata da u Lighthouse per propagà e chjave SSH generate automaticamente è ùn hè micca almacenata. Cliccate Apply. U Lighthouse stabilisce cunnessioni SSH sicure da è da u Servitore di Console Gestita è ricuperà i so Dispositivi Gestiti, i dettagli di u contu di l'utilizatori è l'alerte cunfigurate 3.12.3 Chjama à a Casa à un servitore SSH cintrali genericu Se vi cunnette à un servitore SSH genericu (micca Lighthouse) Pudete cunfigurà i paràmetri avanzati: · Inserite u Portu di u Servitore SSH è l'Usuariu SSH. · Inserite i dettagli per u portu SSH forward (s) per creà
Selezziunendu u Servitore d'Ascolta, pudete creà un portu Remote forward da u Server à sta unità, o un portu Local forward da questa unità à u Server:
68
Manuale d'usu
· Specificate un Portu d'Ascolta da invià, lasciate stu campu in biancu per assignà un portu inutilizatu · Inserisci u Servitore Target è u Portu Target chì serà u destinatariu di e cunnessione trasmesse
3.13 IP Passthrough
L'IP Passthrough hè utilizatu per fà una cunnessione modem (per esempiu, u modem cellulare internu) appare cum'è una cunnessione Ethernet regular à un router downstream di terzu, chì permette à u router downstream di utilizà a cunnessione modem cum'è una interfaccia WAN primaria o di salvezza.
U dispositivu Opengear furnisce l'indirizzu IP di u modem è i dettagli DNS à u dispositivu downstream nantu à DHCP è passa u trafficu di a rete da è da u modem è u router.
Mentre IP Passthrough trasforma un Opengear in un mezzu ponte modem-à-Ethernet, alcuni servizii di capa 4 (HTTP/HTTPS/SSH) ponu esse terminati à l'Opengear (Service Intercepts). Inoltre, i servizii chì funzionanu nantu à l'Opengear ponu inizià e cunnessione cellulare in uscita indipendentemente da u router downstream.
Questu permette à l'Opengear di cuntinuà à esse utilizatu per a gestione fora di a banda è l'alerta è ancu esse amministratu via Lighthouse, mentri in u modu IP Passthrough.
3.13.1 Configurazione di u Router Downstream Per utilizà a cunnessione di failover in u router downstream (aka Failover to Cellular o F2C), deve avè duie o più interfacce WAN.
NOTA U failover in u cuntestu IP Passthrough hè realizatu da u router downstream, è a logica di failover fora di banda integrata nantu à l'Opengear ùn hè micca dispunibule mentre in u modu IP Passthrough.
Cunnette una interfaccia Ethernet WAN in u router downstream à l'interfaccia di rete di Opengear o u portu LAN di gestione cù un cable Ethernet.
Configurate sta interfaccia nantu à u router downstream per riceve i so paràmetri di rete via DHCP. Se u failover hè necessariu, cunfigurà u router downstream per failover trà a so interfaccia primaria è u portu Ethernet cunnessu à l'Opengear.
3.13.2 IP Passthrough Pre-Configurazione Passi prerequisiti per attivà IP Passthrough sò:
1. Configurate l'Interfaccia di Rete è induve l'interfaccia di LAN di Gestione hè applicabile cù paràmetri di rete statica. · Cliccate Serial & Network > IP. · Per l'Interfaccia di Rete è, induve applicabile, LAN di Gestione, selezziunate Static per u Metudu di Configurazione è inserite i paràmetri di a rete (vede a sezione intitulata Configurazione di Rete per struzzioni dettagliate). · Per l'interfaccia cunnessa à u router downstream, pudete sceglie qualsiasi rete privata dedicata, sta rete esiste solu trà l'Opengear è u router downstream è ùn hè micca normalment accessibile. · Per l'altra interfaccia, cunfigurà cum'è per normale nantu à a reta lucale. · Per e duie interfacce, lasciate Gateway in biancu.
2. Configurate u modem in u modu Sempre On Out-of-band.
69
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
· Per una cunnessione cellulare, cliccate Sistema > Dial: Modem Cellular Internu. · Selezziunate Abilita Dial-Out è inserite i dettagli di u trasportatore cum'è APN (vede a sezione Modem Cellular
Cunnessione per istruzioni dettagliate). 3.13.3 Configurazione IP Passthrough Per cunfigurà IP Passthrough:
· Cliccate Serial & Network> IP Passthrough è verificate Enable. · Selezziunate u Modem Opengear da aduprà per a cunnessione upstream. · Opcionalmente, entre l'indirizzu MAC di l'interfaccia cunnessa di u router downstream. Se l'indirizzu MAC hè
micca specificatu, l'Opengear passerà à u primu dispositivu downstream chì dumanda un indirizzu DHCP. · Selezziunate l'interfaccia Ethernet Opengear da aduprà per a cunnessione à u router downstream.
· Cliccate Apply. 3.13.4 Service Intercepts Questi permettenu à l'Opengear di cuntinuà à furnisce servizii, per esempiuample, per a gestione fora di banda quandu in modu IP Passthrough. I cunnessione à l'indirizzu di modem nantu à u portu (s) di intercepte specificati sò trattati da l'Opengear invece di passà à u router downstream.
· Per u serviziu necessariu di HTTP, HTTPS o SSH, verificate Abilita · Opzionalmente mudificà u portu di intercettazione à un portu alternativu (per esempiu 8443 per HTTPS), questu hè utile se
vulete cuntinuà à permette à u router downstream per esse accessibile via u so portu regulare. 3.13.5 IP Passthrough Status Refresh the page to view a sezione Status. Mostra l'indirizzu IP Esternu di u modem chì hè passatu, l'indirizzu MAC Internu di u router downstream (pupulatu solu quandu u router downstream accetta l'affittu DHCP), è u statu di esecuzione generale di u serviziu IP Passthrough. Pudete esse avvisatu di u statutu di failover di u router downstream cunfigurà un Verificatu di l'Usage di Dati Routed in Alerts & Logging> Auto-Response. 3.13.6 Avvertenze Certi router downstream ponu esse incompatibili cù a strada di a porta. Questu pò accade quandu IP Passthrough hè un ponte di una rete cellulare 3G induve l'indirizzu di u gateway hè un indirizzu di destinazione puntu à puntu è nisuna infurmazione di subnet hè dispunibule. L'Opengear manda una maschera di rete DHCP di 255.255.255.255. I dispusitivi di solitu interpretanu questu cum'è una sola strada d'ospite nantu à l'interfaccia, ma alcuni dispositi più vechji in a valle pò avè prublemi.
70
Manuale d'usu
L'intercettazione per i servizii lucali ùn funziona micca se l'Opengear usa una strada predeterminata altru da u modem. Inoltre, ùn anu micca travagliatu, salvu chì u serviziu hè attivatu è l'accessu à u serviziu hè attivatu (vede Sistema> Servizi, sottu a tabulazione Accessu à u serviziu truvà Dialout/Cellular).
I cunnessioni in uscita da Opengear à i servizii remoti sò supportati (per esempiu, l'inviu di avvisi email SMTP, trappule SNMP, ottene u tempu NTP, tunnel IPSec). Ci hè un picculu risicu di fallimentu di cunnessione chì sia l'Opengear sia u dispusitivu downstream pruvate d'accede à u stessu portu UDP o TCP in u stessu host remotu à u stessu tempu quandu anu sceltu aleatoriamente u stessu numeru di portu lucale d'origine.
3.14 Configurazione nantu à DHCP (ZTP)
I dispositi Opengear ponu esse furniti durante u so boot iniziale da un servitore DHCPv4 o DHCPv6 utilizendu config-over-DHCP. L'approvvigionamentu nantu à e rete micca affidate pò esse facilitatu da furnisce chjavi nantu à una unità flash USB. A funziunalità ZTP pò ancu esse aduprata per realizà un aghjurnamentu di firmware nantu à a cunnessione iniziale à a reta, o per iscrive in una istanza Lighthouse 5.
Preparazione I passi tipici per a cunfigurazione nantu à una rete di fiducia sò:
1. Configurate un dispusitivu Opengear listessu-mudellu. 2. Salvà a so cunfigurazione cum'è una copia di salvezza Opengear (.opg) file. 3. Selezziunà System > Configuration Backup > Backup Remote. 4. Clicca Salvà Salvà. Una cunfigurazione di salvezza file - model-name_iso-format-date_config.opg - hè telecaricatu da u dispusitivu Opengear à u sistema lucale. Pudete salvà a cunfigurazione cum'è xml file: 1. Selezziunà System> Configuration Backup> Configurazione XML. Un campu editable chì cuntene u
cunfigurazione file in u furmatu XML appare. 2. Cliccate in u campu per fà attivu. 3. Sè vo site qualsiasi navigatore in Windows o Linux, cliccate right-click è sceglite Select All da u
menu contestuale o premete Control-A. Cliccate cù u dirittu è sceglite Copia da u menu contestuale o appughjà Control-C. 4. Sè vo aduprate qualsiasi navigatore in macOS, sceglite Edit> Selezziunà tuttu o appughjà Command-A. Sceglite Edit> Copia o appughjà Command-C. 5. In u vostru editore di testu preferitu, crea un novu documentu viotu, incollà i dati copiati in u documentu viotu è salvà u file. Qualunque cosa file-name chì sceglite, deve include u .xml filesuffissu di nome. 6. Copia u .opg o .xml salvatu file à un annuariu publicu nantu à a file servitore chì serve almenu unu di i protokolli seguenti: HTTPS, HTTP, FTP o TFTP. (Solu HTTPS pò esse usatu se a cunnessione trà u file servitore è un dispositivu Opengear da cunfigurà viaghjà nantu à una rete micca fiducia). 7. Configurate u vostru servitore DHCP per include una opzione "specifica di u venditore" per i dispositi Opengear. (Questu serà fattu in un modu specificu di u servitore DHCP.) L'opzione specifica di u venditore deve esse stabilita in una stringa chì cuntene u URL di u .opg o .xml publicatu file in u passu sopra. A stringa di l'opzione ùn deve micca più di 250 caratteri è deve finisce in .opg o .xml.
71
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
8. Cunnette un novu dispusitivu Opengear, sia usina-resetten o Config-Erased, à a reta è applicà u putere. Si pò piglià sin'à 5 minuti per u dispusitivu di reboot stessu.
ExampConfigurazione di u servitore ISC DHCP (dhcpd).
U seguitu hè un exampu frammentu di cunfigurazione di u servitore DHCP per serve una maghjina di cunfigurazione .opg via u servitore ISC DHCP, dhcpd:
opzione spaziu opengear codice larghezza 1 lunghezza larghezza 1; opzione opengear.config-url codice 1 = testu; classa "opengear-config-over-dhcp-test" {
match if option vendor-class-identifier ~~ "^Opengear/"; venditore-opzione-spaziu opengear; opzione opengear.config-url "https://example.com/opg/${class}.opg”; }
Questa configurazione pò esse mudificata per aghjurnà l'imagine di cunfigurazione usendu opengear.image-url opzione, è furnisce un URI à l'imagine di firmware.
Setup quandu a LAN ùn hè micca fiducia Se a cunnessione trà u file servitore è un dispositivu Opengear da cunfigurà include una reta micca fiducia, un approcciu à dui mani pò mitigà u prublema.
NOTA Stu approcciu introduce dui passi fisichi induve a fiducia pò esse difficiule, se micca impussibile, di stabilisce cumplettamente. Prima, a catena di custodia da a creazione di l'unità flash USB chì porta dati à a so implementazione. Siconda, e mani chì culliganu l'unità flash USB à u dispusitivu Opengear.
· Generate un certificatu X.509 per u dispusitivu Opengear.
· Concatenate u certificatu è a so chjave privata in una sola file chjamatu client.pem.
· Copia client.pem nantu à una unità flash USB.
· Configurate un servitore HTTPS cusì chì l'accessu à u .opg o .xml file hè ristrettu à i clienti chì ponu furnisce u certificatu di cliente X.509 generatu sopra.
· Mettite una copia di u certificatu CA chì hà firmatu u certificatu di u servitore HTTP - ca-bundle.crt - nantu à a unità flash USB chì porta client.pem.
· Inserite l'unità flash USB in u dispositivu Opengear prima di attaccà a putenza o a rete.
· Cuntinuà a prucedura da `Copia u .opg o .xml salvatu file à un annuariu publicu nantu à a file server' sopra utilizendu u protocolu HTTPS trà u cliente è u servitore.
Preparate una unità USB è crea u certificatu X.509 è a chjave privata
· Generate u certificatu CA in modu chì u cliente è u servitore Richieste di Firma di Certificatu (CSRs) ponu esse firmati.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=EsampleCA # cp demoCA/cacert.pem ca-bundle.crt
Questa prucedura genera un certificatu chjamatu ExampleCA ma qualsiasi nome di certificatu permessu pò esse usatu. Inoltre, sta prucedura usa openssl ca. Se a vostra urganizazione hà un prucessu di generazione di CA sicura in tutta l'impresa, chì deve esse usatu invece.
72
Manuale d'usu
· Generate u certificatu di u servitore.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
- chjavefile ca.key -policy policy_anything -batch -notext
NOTA U nome d'ospitu o l'indirizzu IP deve esse a stessa stringa utilizata in u serviziu URL. In l'example sopra, u nome di host hè demo.example.com.
· Generate u certificatu di u cliente.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
- chjavefile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formate una unità flash USB cum'è un unicu voluminu FAT32.
· Sposta u client.pem è ca-bundle.crt files nantu à u cartulare radice di l'unità flash.
Debugging ZTP issues Aduprate a funzione di log ZTP per debug issues ZTP. Mentre u dispusitivu prova di fà operazioni ZTP, l'infurmazioni di logu sò scritte in /tmp/ztp.log in u dispusitivu.
U seguitu hè un example di u logu file da un successu ZTP run.
# cat /tmp/ztp.log Wed Dec 13 22:22:17 UTC 2017 [5127 avis] odhcp6c.eth0: ristabilisce a cunfigurazione via DHCP Wed Dec 13 22:22:17 UTC 2017 [5127 avis] odhcp6c.eth0: odhcp10c.eth13: per a rete per stabilisce u mer di dicembre 22 22:27:2017 UTC 5127 [6 avvisu] odhcp0c.eth13: NTP saltatu: nisun servitore mer di dicembre 22 22:27:2017 UTC 5127 [6 info] odhcp0c.eth1 = 'vendorspec.07 http://[fd2218:1350:44:1::13]/tftpboot/config.sh' Mer Dec 22 22:27:2017 UTC 5127 [6 info] odhcp0c.eth2: vendorspec.13 (n/a) Mer Dic 22 22:27:2017 UTC 5127 [6 info] odhcp0c.eth3: vendorspec.13 (n/a) Mer Dec 22 22:27:2017 UTC 5127 [6 info] odhcp0c.eth4: vendorspec.13 (n/a) ) Mer Dec 22 22:27:2017 UTC 5127 [6 info] odhcp0c.eth5: vendorspec.13 (n/a) Mer Dec 22 22:28:2017 UTC 5127 [6 info] odhcp0c.eth6: vendorspec.13 (n/a) /a) Wed Dec 22 22:28:2017 UTC 5127 [6 info] odhcp0c.eth2: nisun firmware per scaricà (vendorspec.XNUMX) backup-url: prova à http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: furzà u modu di cunfigurazione wan à a copia di salvezza DHCP-url: stabilisce u nome di host à acm7004-0013c601ce97 backup-url: carica successu Wed Dec 13 22: 22: 36 UTC 2017 [5127 notice] odhcp6c.eth0: carica di cunfigurazione successu Wed Dec 13 22: 22: 36 UTC 2017 [5127 info] odhcp6c.eth0: nisuna configurazione di faro/vendorspec.3 4/5/6) Wed Dec 13 22: 22: 36 UTC 2017 [5127 notice] odhcp6c.eth0: provisioning cumpletu, micca rebooting
L'errori sò registrati in questu logu.
3.15 Iscrizzione in Lighthouse
Aduprate l'Iscrizione in Lighthouse per iscrive i dispositi Opengear in una istanza di Lighthouse, furnisce un accessu centralizatu à i porti di cunsola, è permette a cunfigurazione centrale di i dispositi Opengear.
Vede a Guida di l'Usuariu di Lighthouse per l'istruzzioni per a registrazione di i dispositi Opengear in Lighthouse.
73
Capitulu 3: Port Serial, Dispositivu è Configurazione d'Usuariu
3.16 Attivà DHCPv4 Relay
Un serviziu di relay DHCP trasmette i pacchetti DHCP trà i clienti è i servitori DHCP remoti. U serviziu di relé DHCP pò esse attivatu nantu à un servitore di cunsola Opengear, in modu chì i so ascolti per i clienti DHCP in interfacce inferiori designate, impacchendu è trasmette i so messagi à i servitori DHCP utilizendu un routing normale, o trasmette direttamente nantu à interfacce superiori designate. L'agente di relay DHCP riceve cusì messagi DHCP è genera un novu messagiu DHCP per mandà in una altra interfaccia. In i passi sottu, i servitori di cunsola ponu cunnette à circuit-ids, Ethernet o modem di cellula utilizendu u serviziu Relay DHCPv4.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Infrastruttura - Servitore DHCP locale, ACM7004-5 per relay, qualsiasi altri dispositi per i clienti. Ogni dispusitivu cù rolu LAN pò esse usatu cum'è un relay. In questu example, 192.168.79.242 hè l'indirizzu per l'interfaccia relayed di u cliente (cum'è definitu in a cunfigurazione di u servitore DHCP). file sopra) è u 192.168.79.244 hè l'indirizzu di l'interfaccia superiore di u relay box, è enp112s0 hè l'interfaccia downstream di u servitore DHCP.
1 Infrastruttura - DHCPv4 Relay + Opzione DHCP 82 (circuit-id)
Passi nantu à u Servitore DHCP 1. Configurate u servitore DHCP v4 locale, in particulare, deve cuntene una entrata "host" cum'è quì sottu per u cliente DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E : 41; host-identifier option agent.circuit-id "relay1"; indirizzu fissu 192.168.79.242; } Nota: a linea "hardware ethernet" hè cummentata off, cusì chì u servitore DHCP farà usu di l'impostazione "circuit-id" per assignà un indirizzu per u cliente pertinente. 2. Re-start Server DHCP per ricaricà a so cunfigurazione cambiata file. pkill -HUP dhcpd
74
Manuale d'usu
3. Aghjunghjite manualmente una strada d'ospiti à l'interfaccia "related" di u cliente (l'interfaccia daretu à u relay DHCP, micca altre interfacce chì u cliente pò ancu avè:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Questu aiuterà à evità u prublema di routing asimmetricu quandu u cliente è u servitore DHCP volenu accede l'un à l'altru via l'interfaccia relayed di u cliente, quandu u cliente hà altre interfacce in u stessu. subnet di u pool di indirizzu DHCP.
Nota: Stu passu hè un must-have per sustene u servitore dhcp è u cliente chì ponu accede à l'altru.
Passi nantu à a casella Relay - ACM7004-5
1. Setup WAN/eth0 in modu staticu o dhcp (micca unconfigured mode). Se in modu staticu, deve avè un indirizzu IP in u pool di indirizzi di u servitore DHCP.
2. Applicà sta cunfigurazione attraversu CLI (induve 192.168.79.1 hè l'indirizzu di u servitore DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. L'interfaccia più bassa di u relay DHCP deve avè un indirizzu IP staticu in u gruppu di indirizzu di u servitore DHCP. In questu example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=config statica -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Aspettate un pocu tempu per u cliente per acquistà un affittu DHCP via u relay.
Passi nantu à u Cliente (CM7116-2-dac in questu example o qualsiasi altra OG CS)
1. Inserite a LAN/eth1 di u cliente à a LAN/eth1 di u relay 2. Configurate a LAN di u cliente per uttene l'indirizzu IP via DHCP cum'è di solitu 3. Una volta u clie
Documenti / Risorse
 |
Opengear ACM7000 Remote Site Gateway [pdfManuale d'usu ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway |