opengear ACM7000 Remote Site Gateway Benutzerhandbuch

Während eines Gewitters dürfen Sie den Konsolenserver nicht anschließen oder trennen. Verwenden Sie immer einen Überspannungsschutz oder eine USV, um das Gerät vor Spannungsspitzen zu schützen.

FCC-Warnung:

Dieses Gerät entspricht Teil 15 der FCC-Bestimmungen. Der Betrieb dieses Geräts unterliegt den folgenden Bedingungen: (1) Dieses Gerät darf keine schädlichen Störungen verursachen und (2) dieses Gerät muss jegliche Störungen akzeptieren, die einen unerwünschten Betrieb verursachen können.

FAQs

F: Kann ich das ACM7000 Remote Site Gateway während eines Gewitters verwenden?
- A: Nein, es wird empfohlen, den Konsolenserver während eines Gewitters nicht anzuschließen oder zu trennen, um Schäden zu vermeiden.

F: Mit welcher Version der FCC-Vorschriften entspricht das Gerät?
- A: Das Gerät entspricht Teil 15 der FCC-Bestimmungen.

View Fullscreen

Bedienungsanleitung
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Konsolenserver
Version 5.0 – 2023-12

Sicherheit
Befolgen Sie bei der Installation und dem Betrieb des Konsolenservers die folgenden Sicherheitsvorkehrungen: · Entfernen Sie nicht die Metallabdeckungen. Im Inneren befinden sich keine vom Bediener zu wartenden Komponenten. Durch das Öffnen oder Entfernen der Abdeckung können Sie sich gefährlicher Luft aussetzentagDies kann zu Bränden oder Stromschlägen führen. Überlassen Sie alle Wartungsarbeiten qualifiziertem Opengear-Personal. · Um einen Stromschlag zu vermeiden, muss der Schutzerdungsleiter des Netzkabels mit der Erde verbunden sein. · Ziehen Sie immer am Stecker und nicht am Kabel, wenn Sie das Netzkabel aus der Steckdose ziehen.
Während eines Gewitters dürfen Sie den Konsolenserver nicht anschließen oder trennen. Verwenden Sie außerdem einen Überspannungsschutz oder eine USV, um das Gerät vor Spannungsspitzen zu schützen.
FCC-Warnhinweis
Dieses Gerät entspricht Teil 15 der FCC-Bestimmungen. Der Betrieb dieses Geräts unterliegt den folgenden Bestimmungen
Bedingungen: (1) Dieses Gerät darf keine schädlichen Störungen verursachen und (2) dieses Gerät muss jegliche Störungen akzeptieren, die einen unerwünschten Betrieb verursachen können.
Zum Schutz vor Verletzungen, Tod oder Sachschäden aufgrund von Systemausfällen sollten geeignete Backup-Systeme und erforderliche Sicherheitsvorrichtungen eingesetzt werden. Dieser Schutz liegt in der Verantwortung des Benutzers. Dieses Konsolenservergerät ist nicht für die Verwendung als lebenserhaltendes oder medizinisches System zugelassen. Jegliche Änderungen oder Modifikationen, die an diesem Konsolenservergerät ohne die ausdrückliche Genehmigung oder Zustimmung von Opengear vorgenommen werden, führen dazu, dass Opengear keinerlei Haftung oder Verantwortung für Verletzungen oder Verluste übernimmt, die durch Fehlfunktionen verursacht werden. Dieses Gerät ist für den Innenbereich bestimmt und alle Kommunikationskabel sind auf das Innere des Gebäudes beschränkt.
2

Bedienungsanleitung
Copyright
©Opengear Inc. 2023. Alle Rechte vorbehalten. Die Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden und stellen keine Verpflichtung seitens Opengear dar. Opengear stellt dieses Dokument „wie besehen“ zur Verfügung, ohne Gewährleistung jeglicher Art, weder ausdrücklich noch stillschweigend, einschließlich, aber nicht beschränkt auf stillschweigende Gewährleistungen der Eignung oder Marktgängigkeit für einen bestimmten Zweck. Opengear kann jederzeit Verbesserungen und/oder Änderungen an diesem Handbuch oder an den in diesem Handbuch beschriebenen Produkten und/oder Programmen vornehmen. Dieses Produkt kann technische Ungenauigkeiten oder Tippfehler enthalten. An den hierin enthaltenen Informationen werden regelmäßig Änderungen vorgenommen. Diese Änderungen können in neue Ausgaben der Publikation übernommen werden.\

Kapitel 1

Dieses Handbuch

DIESES HANDBUCH

Dieses Benutzerhandbuch erläutert die Installation, den Betrieb und die Verwaltung von Opengear-Konsolenservern. In diesem Handbuch wird davon ausgegangen, dass Sie mit dem Internet und IP-Netzwerken, HTTP, FTP, grundlegenden Sicherheitsvorgängen und dem internen Netzwerk Ihrer Organisation vertraut sind.
1.1 Arten von Benutzern
Der Konsolenserver unterstützt zwei Benutzerklassen:
· Administratoren, die über unbegrenzte Konfigurations- und Verwaltungsrechte für die Konsole verfügen
Server und angeschlossene Geräte sowie alle Dienste und Ports zur Steuerung aller seriell angeschlossenen Geräte und netzwerkgebundenen Geräte (Hosts). Administratoren werden als Mitglieder der Admin-Benutzergruppe eingerichtet. Ein Administrator kann über das Konfigurationsdienstprogramm, die Linux-Befehlszeile oder die browserbasierte Verwaltungskonsole auf den Konsolenserver zugreifen und ihn steuern.
· Benutzer, die von einem Administrator mit Einschränkungen ihrer Zugriffs- und Kontrollberechtigungen eingerichtet wurden.
Benutzer haben eine begrenzte Zeit view der Managementkonsole und kann nur auf autorisierte konfigurierte Geräte zugreifen und review Portprotokolle. Diese Benutzer werden als Mitglieder einer oder mehrerer vorkonfigurierter Benutzergruppen wie PPTPD, Dialin, FTP, PMShell, Benutzer oder Benutzergruppen eingerichtet, die der Administrator möglicherweise erstellt hat. Sie sind nur berechtigt, bestimmte Kontrollen an bestimmten angeschlossenen Geräten durchzuführen. Wenn Benutzer autorisiert sind, können sie über bestimmte Dienste (z. B. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control) auf seriell oder über das Netzwerk angeschlossene Geräte zugreifen und diese steuern. Remote-Benutzer sind Benutzer, die sich nicht im selben LAN-Segment wie der Konsolenserver befinden. Ein Remote-Benutzer kann unterwegs eine Verbindung zu verwalteten Geräten über das öffentliche Internet herstellen, ein Administrator in einem anderen Büro stellt über das Unternehmens-VPN eine Verbindung zum Konsolenserver her oder er befindet sich im selben Raum oder Büro, ist aber über ein separates VLAN mit der Konsole verbunden Server.
1.2 Verwaltungskonsole
Mit der Opengear-Verwaltungskonsole können Sie die Funktionen Ihres Opengear-Konsolenservers konfigurieren und überwachen. Die Managementkonsole läuft in einem Browser und bietet eine view des Konsolenservers und aller angeschlossenen Geräte. Administratoren können die Verwaltungskonsole verwenden, um den Konsolenserver, Benutzer, Ports, Hosts, Stromversorgungsgeräte sowie zugehörige Protokolle und Warnungen zu konfigurieren und zu verwalten. Benutzer ohne Administratorrechte können die Verwaltungskonsole mit eingeschränktem Menüzugriff verwenden, um ausgewählte Geräte zu steuernview ihre Protokolle und greifen Sie über die integrierte Funktion darauf zu Web Terminal.
Der Konsolenserver führt ein eingebettetes Linux-Betriebssystem aus und kann über die Befehlszeile konfiguriert werden. Sie können Befehlszeilenzugriff per Mobilfunk/Einwahl erhalten, indem Sie eine direkte Verbindung zum seriellen Konsolen-/Modem-Port des Konsolenservers herstellen oder indem Sie SSH oder Telnet verwenden, um über das LAN eine Verbindung zum Konsolenserver herzustellen (oder eine Verbindung mit PPTP, IPsec oder OpenVPN). .
6

Bedienungsanleitung
Für Befehle der Befehlszeilenschnittstelle (CLI) und erweiterte Anweisungen laden Sie die Opengear CLI and Scripting Reference.pdf von https://ftp.opengear.com/download/documentation/manual/ previous%20versions%20archived/ herunter.
1.3 Weitere Informationen
Weitere Informationen finden Sie unter: · Opengear Products Web Website: Siehe https://opengear.com/products. Um die aktuellsten Informationen darüber zu erhalten, was in Ihrem Konsolenserver enthalten ist, besuchen Sie den Abschnitt „Was ist im Lieferumfang enthalten“ für Ihr bestimmtes Produkt. · Kurzanleitung: Die Kurzanleitung für Ihr Gerät finden Sie unter https://opengear.com/support/documentation/. · Opengear-Wissensdatenbank: Besuchen Sie https://opengear.zendesk.com, um auf technische Anleitungsartikel, technische Tipps, FAQs und wichtige Benachrichtigungen zuzugreifen. · Opengear CLI- und Scripting-Referenz: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Kapitel 2:

Systemkonfiguration

SYSTEMKONFIGURATION

Dieses Kapitel enthält Schritt-für-Schritt-Anleitungen für die Erstkonfiguration Ihres Konsolenservers und dessen Verbindung mit dem Management- oder Betriebs-LAN. Die Schritte sind:
Aktivieren Sie die Managementkonsole. Ändern Sie das Administratorkennwort. Legen Sie den Haupt-LAN-Port des IP-Adresskonsolenservers fest. Wählen Sie die zu aktivierenden Dienste und Zugriffsrechte aus. In diesem Kapitel werden auch die Kommunikationssoftwaretools erläutert, die ein Administrator für den Zugriff auf den Konsolenserver verwenden kann, sowie die Konfiguration der zusätzlichen LAN-Ports.
2.1 Verbindung zur Managementkonsole
Ihr Konsolenserver ist standardmäßig mit der IP-Adresse 192.168.0.1 und der Subnetzmaske 255.255.255.0 für NET1 (WAN) konfiguriert. Für die Erstkonfiguration empfehlen wir Ihnen, einen Computer direkt an die Konsole anzuschließen. Wenn Sie sich entscheiden, Ihr LAN anzuschließen, bevor Sie die ersten Einrichtungsschritte abgeschlossen haben, stellen Sie sicher, dass:
· Es gibt keine anderen Geräte im LAN mit der Adresse 192.168.0.1. · Der Konsolenserver und der Computer befinden sich im selben LAN-Segment, ohne zwischengeschalteten Router
Haushaltsgeräte.
2.1.1 Einrichten des verbundenen Computers Um den Konsolenserver mit einem Browser zu konfigurieren, sollte der verbundene Computer eine IP-Adresse im gleichen Bereich wie der Konsolenserver haben (z. Bample, 192.168.0.100):
· Um die IP-Adresse Ihres Linux- oder Unix-Computers zu konfigurieren, führen Sie ifconfig aus. · Für Windows-PCs:
1. Klicken Sie auf Start > Einstellungen > Systemsteuerung und doppelklicken Sie auf Netzwerkverbindungen. 2. Klicken Sie mit der rechten Maustaste auf „LAN-Verbindung“ und wählen Sie „Eigenschaften“. 3. Wählen Sie Internetprotokoll (TCP/IP) und klicken Sie auf Eigenschaften. 4. Wählen Sie „Folgende IP-Adresse verwenden“ und geben Sie die folgenden Details ein:
o IP-Adresse: 192.168.0.100 o Subnetzmaske: 255.255.255.0 5. Wenn Sie Ihre vorhandenen IP-Einstellungen für diese Netzwerkverbindung beibehalten möchten, klicken Sie auf „Erweitert“ und fügen Sie das Obige als sekundäre IP-Verbindung hinzu.
2.1.2 Browserverbindung
Öffnen Sie einen Browser auf dem angeschlossenen PC/Arbeitsplatz und geben Sie https://192.168.0.1 ein.
Einloggen mit:
Benutzername > Root-Passwort > Standard
8

Bedienungsanleitung
Bei der ersten Anmeldung müssen Sie das Root-Passwort ändern. Klicken Sie auf Senden.
Um die Änderung abzuschließen, geben Sie das neue Passwort erneut ein. Klicken Sie auf Senden. Der Willkommensbildschirm erscheint.
Wenn Ihr System über ein Mobilfunkmodem verfügt, erhalten Sie die Schritte zum Konfigurieren der Mobilfunkrouterfunktionen: · Konfigurieren Sie die Mobilfunkmodemverbindung (Seite „System“ > „Wählen“. Siehe Kapitel 4). · Erlauben Sie die Weiterleitung an das Mobilfunkzielnetzwerk (Seite „System“ > „Firewall“). Siehe Kapitel 4) · Aktivieren Sie IP-Masquerading für Mobilfunkverbindungen (Seite „System“ > „Firewall“. Siehe Kapitel 4)
Nachdem Sie jeden der oben genannten Schritte abgeschlossen haben, können Sie zur Konfigurationsliste zurückkehren, indem Sie auf das Opengear-Logo in der oberen linken Ecke des Bildschirms klicken. HINWEIS Wenn Sie unter 192.168.0.1 keine Verbindung zur Verwaltungskonsole herstellen können oder die Standardeinstellung ist
Benutzername/Passwort werden nicht akzeptiert. Setzen Sie Ihren Konsolenserver zurück (siehe Kapitel 10).
9

Kapitel 2: Systemkonfiguration
2.2 Administrator-Einrichtung
2.2.1 Standard-Root-Systemkennwort ändern Sie müssen das Root-Kennwort ändern, wenn Sie sich zum ersten Mal am Gerät anmelden. Sie können dieses Passwort jederzeit ändern.
1. Klicken Sie auf Seriell und Netzwerk > Benutzer und Gruppen oder klicken Sie im Begrüßungsbildschirm auf Standardadministrationskennwort ändern.
2. Scrollen Sie nach unten, suchen Sie den Root-Benutzereintrag unter „Benutzer“ und klicken Sie auf „Bearbeiten“. 3. Geben Sie das neue Passwort in die Felder „Passwort“ und „Bestätigen“ ein.
HINWEIS Wenn Sie „Passwort über Firmware-Löschungen hinweg speichern“ aktivieren, wird das Passwort gespeichert, sodass es beim Zurücksetzen der Firmware nicht gelöscht wird. Wenn dieses Passwort verloren geht, muss die Firmware des Geräts wiederhergestellt werden.
4. Klicken Sie auf Übernehmen. Melden Sie sich mit dem neuen Passwort an. 2.2.2 Richten Sie einen neuen Administrator ein. Erstellen Sie einen neuen Benutzer mit Administratorrechten und melden Sie sich als dieser Benutzer für Verwaltungsfunktionen an, anstatt Root zu verwenden.
10

Bedienungsanleitung
1. Klicken Sie auf Seriell und Netzwerk > Benutzer und Gruppen. Scrollen Sie zum Ende der Seite und klicken Sie auf die Schaltfläche „Benutzer hinzufügen“.
2. Geben Sie einen Benutzernamen ein. 3. Aktivieren Sie im Abschnitt „Gruppen“ das Kontrollkästchen „Admin“. 4. Geben Sie in den Feldern „Passwort“ und „Bestätigen“ ein Passwort ein.
5. Sie können auch autorisierte SSH-Schlüssel hinzufügen und die Passwortauthentifizierung für diesen Benutzer deaktivieren.
6. Auf dieser Seite können zusätzliche Optionen für diesen Benutzer festgelegt werden, darunter Einwahloptionen, zugängliche Hosts, zugängliche Ports und zugängliche RPC-Ausgänge.
7. Klicken Sie unten auf dem Bildschirm auf die Schaltfläche „Übernehmen“, um diesen neuen Benutzer zu erstellen.
11

Kapitel 2: Systemkonfiguration
2.2.3 Systemnamen, Systembeschreibung und MOTD hinzufügen. 1. Wählen Sie System > Verwaltung. 2. Geben Sie einen Systemnamen und eine Systembeschreibung für den Konsolenserver ein, um ihm eine eindeutige ID zu geben und ihn leichter identifizieren zu können. Der Systemname kann 1 bis 64 alphanumerische Zeichen sowie die Sonderzeichen Unterstrich (_), Minus (-) und Punkt (.) enthalten. Die Systembeschreibung kann bis zu 254 Zeichen enthalten.
3. Das MOTD-Banner kann verwendet werden, um Benutzern einen Nachrichtentext des Tages anzuzeigen. Es erscheint oben links auf dem Bildschirm unter dem Opengear-Logo.
4. Klicken Sie auf „Übernehmen“.
12

Kapitel 2: Systemkonfiguration
5. Wählen Sie System > Verwaltung. 6. Das MOTD-Banner kann verwendet werden, um Benutzern einen Nachrichtentext des Tages anzuzeigen. Es erscheint auf der
oben links auf dem Bildschirm unter dem Opengear-Logo. 7. Klicken Sie auf Übernehmen.
2.3 Netzwerkkonfiguration
Geben Sie eine IP-Adresse für den Haupt-Ethernet-Port (LAN/Netzwerk/Netzwerk1) auf dem Konsolenserver ein oder aktivieren Sie dessen DHCP-Client, um automatisch eine IP-Adresse von einem DHCP-Server zu erhalten. Standardmäßig ist der DHCP-Client des Konsolenservers aktiviert und akzeptiert automatisch jede Netzwerk-IP-Adresse, die von einem DHCP-Server in Ihrem Netzwerk zugewiesen wurde. In diesem Anfangszustand antwortet der Konsolenserver sowohl auf seine standardmäßige statische Adresse 192.168.0.1 als auch auf seine DHCP-Adresse.
1. Klicken Sie auf System > IP und dann auf die Registerkarte Netzwerkschnittstelle. 2. Wählen Sie entweder DHCP oder Statisch als Konfigurationsmethode.
Wenn Sie „Statisch“ wählen, geben Sie die IP-Adresse, die Subnetzmaske, das Gateway und die DNS-Serverdetails ein. Diese Auswahl deaktiviert den DHCP-Client.
12

Bedienungsanleitung
3. Der LAN-Port des Konsolenservers erkennt automatisch die Ethernet-Verbindungsgeschwindigkeit. Verwenden Sie die Dropdown-Liste „Medien“, um das Ethernet auf 10 Mbit/s oder 100 Mbit/s und auf Vollduplex oder Halbduplex zu sperren.
Wenn bei der Einstellung „Auto“ ein Paketverlust oder eine schlechte Netzwerkleistung auftritt, ändern Sie die Ethernet-Medieneinstellungen auf dem Konsolenserver und dem Gerät, mit dem er verbunden ist. In den meisten Fällen wechseln Sie beide zu 100baseTx-FD (100 Megabit, Vollduplex).
4. Wenn Sie DHCP auswählen, sucht der Konsolenserver nach Konfigurationsdetails von einem DHCP-Server. Diese Auswahl deaktiviert alle statischen Adressen. Die MAC-Adresse des Konsolenservers finden Sie auf einem Etikett auf der Grundplatte.
5. Sie können eine sekundäre Adresse oder eine durch Kommas getrennte Liste von Adressen in CIDR-Notation eingeben, z. B. 192.168.1.1/24 als IP-Alias.
6. Klicken Sie auf „Übernehmen“. 7. Verbinden Sie den Browser erneut mit dem Computer, der mit dem Konsolenserver verbunden ist, indem Sie eingeben
http://your new IP address.
Wenn Sie die IP-Adresse des Konsolenservers ändern, müssen Sie Ihren Computer neu konfigurieren, damit er eine IP-Adresse im gleichen Netzwerkbereich wie die neue Konsolenserveradresse hat. Sie können die MTU auf Ethernet-Schnittstellen festlegen. Dies ist eine erweiterte Option, die Sie verwenden können, wenn Ihr Bereitstellungsszenario mit der Standard-MTU von 1500 Byte nicht funktioniert. Um die MTU festzulegen, klicken Sie auf System > IP und dann auf die Registerkarte Netzwerkschnittstelle. Scrollen Sie nach unten zum Feld MTU und geben Sie den gewünschten Wert ein. Gültige Werte liegen zwischen 1280 und 1500 für 100-Megabit-Schnittstellen und zwischen 1280 und 9100 für Gigabit-Schnittstellen. Wenn Bridging oder Bonding konfiguriert ist, wird die auf der Seite „Netzwerkschnittstelle“ festgelegte MTU für die Schnittstellen festgelegt, die Teil der Bridge oder des Bonds sind . HINWEIS In einigen Fällen ist die vom Benutzer angegebene MTU möglicherweise nicht wirksam. Einige NIC-Treiber runden übergroße MTUs möglicherweise auf den maximal zulässigen Wert, andere geben einen Fehlercode zurück. Sie können die MTU-Größe auch mit einem CLI-Befehl verwalten: configure
# config -s config.interfaces.wan.mtu=1380 prüfen
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider keine config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode zustandslose Konfiguration .interfaces.wan.media Auto config.interfaces.wan.mode statisch config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Kapitel 2: Systemkonfiguration
2.3.1 IPv6-Konfiguration Die Ethernet-Schnittstellen des Konsolenservers unterstützen standardmäßig IPv4. Sie können für den IPv6-Betrieb konfiguriert werden:
1. Klicken Sie auf System > IP. Klicken Sie auf die Registerkarte „Allgemeine Einstellungen“ und aktivieren Sie „IPv6 aktivieren“. Klicken Sie bei Bedarf auf das Kontrollkästchen IPv6 für Mobilfunk deaktivieren.
2. Konfigurieren Sie die IPv6-Parameter auf jeder Schnittstellenseite. IPv6 kann entweder für den automatischen Modus konfiguriert werden, der SLAAC oder DHCPv6 zum Konfigurieren von Adressen, Routen und DNS verwendet, oder für den statischen Modus, der die manuelle Eingabe der Adressinformationen ermöglicht.
2.3.2 Dynamic DNS (DDNS)-Konfiguration Mit Dynamic DNS (DDNS) kann ein Konsolenserver, dessen IP-Adresse dynamisch zugewiesen wird, über einen festen Host- oder Domänennamen gefunden werden. Erstellen Sie ein Konto beim unterstützten DDNS-Dienstanbieter Ihrer Wahl. Wenn Sie Ihr DDNS-Konto einrichten, wählen Sie einen Benutzernamen, ein Passwort und einen Hostnamen, die Sie als DNS-Namen verwenden. Bei DDNS-Dienstanbietern können Sie einen Hostnamen wählen URL und legen Sie eine anfängliche IP-Adresse fest, die diesem Hostnamen entspricht URL.
14

Bedienungsanleitung
Zum Aktivieren und Konfigurieren von DDNS für alle Ethernet- oder Mobilfunknetzwerkverbindungen auf dem Konsolenserver. 1. Klicken Sie auf System > IP und scrollen Sie im Abschnitt „Dynamic DNS“ nach unten. Wählen Sie Ihren DDNS-Dienstanbieter aus
aus der Dropdown-Dynamic-DNS-Liste. Sie können die DDNS-Informationen auch auf der Registerkarte Mobilfunkmodem unter System > Wählen festlegen.
2. Geben Sie unter DDNS-Hostname den vollständig qualifizierten DNS-Hostnamen für Ihren Konsolenserver ein, z. B. IhrHostname.dyndns.org.
3. Geben Sie den DDNS-Benutzernamen und das DDNS-Passwort für das DDNS-Dienstanbieterkonto ein. 4. Geben Sie das maximale Intervall zwischen Aktualisierungen in Tagen an. Ein DDNS-Update wird auch dann gesendet, wenn das
Adresse hat sich nicht geändert. 5. Geben Sie das Mindestintervall zwischen Prüfungen auf geänderte Adressen in Sekunden an. Updates werden
versendet werden, wenn sich die Adresse geändert hat. 6. Geben Sie „Maximale Versuche pro Aktualisierung“ an, d. h. wie oft versucht wird, eine Aktualisierung durchzuführen
bevor man aufgibt. Dies ist standardmäßig 3. 7. Klicken Sie auf Übernehmen.
15

Kapitel 2: Systemkonfiguration
2.3.3 EAPoL-Modus für WAN, LAN und OOBFO
(OOBFO gilt nur für den IM7216-2-24E-DAC)
Überview von EAPoL IEEE 802.1X oder PNAC (Port-based Network Access Control) nutzt die physischen Zugriffseigenschaften von IEEE 802-LAN-Infrastrukturen, um ein Mittel zur Authentifizierung und Autorisierung von Geräten bereitzustellen, die an einen LAN-Port angeschlossen sind, der Punkt-zu- Merkmale der Punktverbindung zu überwachen und den Zugriff auf diesen Port zu verhindern, wenn die Authentifizierung und Autorisierung fehlschlägt. Ein Port ist in diesem Zusammenhang ein einzelner Verbindungspunkt zur LAN-Infrastruktur.
Wenn ein neuer drahtloser oder kabelgebundener Knoten (WN) Zugriff auf eine LAN-Ressource anfordert, fragt der Access Point (AP) nach der Identität des WN. Vor der Authentifizierung des WN ist kein anderer Datenverkehr als EAP zulässig (der „Port“ ist geschlossen oder „nicht authentifiziert“). Der drahtlose Knoten, der eine Authentifizierung anfordert, wird oft als Supplicant bezeichnet. Der Supplicant ist dafür verantwortlich, auf Authentifikatordaten zu antworten, die seine Anmeldeinformationen festlegen. Das Gleiche gilt für den Zugangspunkt; Der Authenticator ist nicht der Zugangspunkt. Vielmehr enthält der Zugangspunkt einen Authentifikator. Der Authentifikator muss sich nicht im Zugangspunkt befinden; es kann eine externe Komponente sein. Die folgenden Authentifizierungsmethoden sind implementiert:
· EAP-MD5-Supplicant o Die EAP MD5-Challenge-Methode verwendet einfachen Benutzernamen/Passwort
· EAP-PEAP-MD5 o EAP PEAP (Protected EAP) MD5-Authentifizierungsmethode verwendet Benutzeranmeldeinformationen und CA-Zertifikat
· Die Authentifizierungsmethode EAP-TLS oder EAP TLS (Transport Layer Security) erfordert ein CA-Zertifikat, ein Client-Zertifikat und einen privaten Schlüssel.
Das EAP-Protokoll, das zur Authentifizierung verwendet wird, wurde ursprünglich für Einwahl-PPP verwendet. Die Identität war der Benutzername, und zur Überprüfung des Benutzerkennworts wurde entweder PAP- oder CHAP-Authentifizierung verwendet. Da die Identität unverschlüsselt (nicht verschlüsselt) gesendet wird, kann ein böswilliger Sniffer die Identität des Benutzers erfahren. Daher wird vom „Identity Hiding“ Gebrauch gemacht; Die tatsächliche Identität wird erst gesendet, wenn der verschlüsselte TLS-Tunnel aktiv ist.
16

Bedienungsanleitung
Nachdem die Identität übermittelt wurde, beginnt der Authentifizierungsprozess. Das zwischen dem Supplicant und dem Authenticator verwendete Protokoll ist EAP (oder EAPoL). Der Authentifikator kapselt die EAP-Nachrichten erneut in das RADIUS-Format und übergibt sie an den Authentifizierungsserver. Während der Authentifizierung leitet der Authenticator Pakete zwischen dem Supplicant und dem Authentication Server weiter. Wenn der Authentifizierungsprozess abgeschlossen ist, sendet der Authentifizierungsserver eine Erfolgsmeldung (oder eine Fehlermeldung, wenn die Authentifizierung fehlgeschlagen ist). Der Authenticator öffnet dann den „Port“ für den Supplicant. Auf die Authentifizierungseinstellungen kann über die Seite „EAPoL Supplicant Settings“ zugegriffen werden. Der Status des aktuellen EAPoL wird im Detail auf der Seite „Statusstatistik“ auf der Registerkarte „EAPoL“ angezeigt:
Eine Abstraktion von EAPoL auf Netzwerkrollen wird im Abschnitt „Verbindungsmanager“ der Dashboard-Oberfläche angezeigt.
17

Kapitel 2: Systemkonfiguration
Unten abgebildet ist ein Bspample der erfolgreichen Authentifizierung:
IEEE 802.1x (EAPOL)-Unterstützung auf den Switch-Ports von IM7216-2-24E-DAC und ACM7004-5: Um Schleifen zu vermeiden, sollten Benutzer nicht mehr als einen Switch-Port an denselben übergeordneten Switch anschließen.
18

Bedienungsanleitung
2.4 Dienstzugriff und Brute-Force-Schutz
Der Administrator kann über eine Reihe von Zugriffsprotokollen/-diensten auf den Konsolenserver und die angeschlossenen seriellen Ports sowie verwalteten Geräte zugreifen. Für jeden Zugriff
· Der Dienst muss zunächst für die Ausführung auf dem Konsolenserver konfiguriert und aktiviert werden. · Der Zugriff durch die Firewall muss für jede Netzwerkverbindung aktiviert sein. So aktivieren und konfigurieren Sie einen Dienst: 1. Klicken Sie auf System > Dienste und dann auf die Registerkarte Diensteinstellungen.

2. Basisdienste aktivieren und konfigurieren:

HTTP

Standardmäßig wird der HTTP-Dienst ausgeführt und kann nicht vollständig deaktiviert werden. Standardmäßig ist der HTTP-Zugriff auf allen Schnittstellen deaktiviert. Wir empfehlen, diesen Zugriff deaktiviert zu lassen, wenn remote über das Internet auf den Konsolenserver zugegriffen wird.
Mit Alternate HTTP können Sie einen alternativen HTTP-Port zum Abhören konfigurieren. Der HTTP-Dienst lauscht weiterhin auf TCP-Port 80 für CMS- und Connector-Kommunikation, ist jedoch über die Firewall nicht zugänglich.

HTTPS

Standardmäßig wird der HTTPS-Dienst auf allen Netzwerkschnittstellen ausgeführt und aktiviert. Es wird empfohlen, nur den HTTPS-Zugriff zu verwenden, wenn der Konsolenserver über ein öffentliches Netzwerk verwaltet werden soll. Dadurch wird sichergestellt, dass Administratoren sicheren Browserzugriff auf alle Menüs auf dem Konsolenserver haben. Darüber hinaus ermöglicht es entsprechend konfigurierten Benutzern sicheren Browserzugriff auf ausgewählte Verwaltungsmenüs.
Der HTTPS-Dienst kann durch Aktivieren von HTTPS deaktiviert oder wieder aktiviert werden Web Verwaltung und ein alternativer Port angegeben (Standardport ist 443).

Telnet

Standardmäßig läuft der Telnet-Dienst, ist aber auf allen Netzwerkschnittstellen deaktiviert.
Telnet kann verwendet werden, um einem Administrator Zugriff auf die Befehlszeilen-Shell des Systems zu gewähren. Dieser Dienst kann für lokale Administratoren und den Benutzerzugriff auf ausgewählte serielle Konsolen nützlich sein. Wir empfehlen, diesen Dienst zu deaktivieren, wenn der Konsolenserver remote verwaltet wird.
Das Kontrollkästchen „Telnet-Befehlsshell aktivieren“ aktiviert oder deaktiviert den Telnet-Dienst. Unter „Alternativer Telnet-Port“ kann ein alternativer Telnet-Port zum Abhören angegeben werden (Standardport ist 23).

Kapitel 2: Systemkonfiguration

SSH

Dieser Dienst bietet sicheren SSH-Zugriff auf den Konsolenserver und angeschlossene Geräte

und standardmäßig wird der SSH-Dienst auf allen Schnittstellen ausgeführt und aktiviert. Es ist

Wir empfehlen Ihnen, SSH als Protokoll zu wählen, mit dem ein Administrator eine Verbindung herstellt

den Konsolenserver über das Internet oder ein anderes öffentliches Netzwerk. Das wird sorgen

authentifizierte Kommunikation zwischen dem SSH-Client-Programm auf der Fernbedienung

Computer und dem SSH-Server im Konsolenserver. Weitere Informationen zu SSH

Konfiguration Siehe Kapitel 8 – Authentifizierung.

Das Kontrollkästchen „SSH-Befehlsshell aktivieren“ aktiviert oder deaktiviert diesen Dienst. Ein alternativer SSH-Port zum Abhören kann im SSH-Befehls-Shell-Port angegeben werden (Standardport ist 22).

3. Aktivieren und konfigurieren Sie andere Dienste:

TFTP/FTP Wenn eine USB-Flash-Karte oder ein interner Flash auf einem Konsolenserver erkannt wird, aktivieren Sie durch Markieren von „TFTP (FTP)-Dienst aktivieren“ diesen Dienst und richten Sie den Standard-TFTP- und FTP-Server auf dem USB-Flash ein. Diese Server werden zum Speichern der Konfiguration verwendet files, Verwaltung von Zugriffs- und Transaktionsprotokollen usw. FileMit TFTP und FTP übertragene Dateien werden unter /var/mnt/storage.usb/tftpboot/ (oder /var/mnt/storage.nvlog/tftpboot/ auf Geräten der ACM7000-Serie) gespeichert. Durch Deaktivieren des Kontrollkästchens „TFTP (FTP)-Dienst aktivieren“ wird der TFTP (FTP)-Dienst deaktiviert.

DNS-Relay-Überprüfung „DNS-Server/Relay aktivieren“ aktiviert die DNS-Relay-Funktion, sodass Clients mit der IP des Konsolenservers für ihre DNS-Servereinstellung konfiguriert werden können und der Konsolenserver die DNS-Anfragen an den echten DNS-Server weiterleitet.

Web Terminalüberprüfung aktivieren Web Terminal erlaubt web Browserzugriff auf die Befehlszeilen-Shell des Systems über Verwalten > Terminal.

4. Geben Sie alternative Portnummern für Raw-TCP, direkte Telnet/SSH-Dienste und nicht authentifizierte Telnet/SSH-Dienste an. Der Konsolenserver verwendet für die verschiedenen Zugriffe bestimmte Bereiche für die TCP/IP-Ports
Dienste, mit denen Benutzer auf Geräte zugreifen können, die an serielle Ports angeschlossen sind (wie in Kapitel 3 „Serielle Ports konfigurieren“ beschrieben). Der Administrator kann alternative Bereiche für diese Dienste festlegen und diese sekundären Ports werden zusätzlich zu den Standardports verwendet.

Die standardmäßige TCP/IP-Basisportadresse für den Telnet-Zugriff ist 2000, und der Bereich für Telnet ist IP-Adresse: Port (2000 + serielle Portnummer), also 2001 2048. Wenn ein Administrator 8000 als sekundäre Basis für Telnet festlegen würde, seriell Auf Port Nr. 2 auf dem Konsolenserver kann über Telnet über IP zugegriffen werden
Adresse: 2002 und IP-Adresse: 8002. Die Standardbasis für SSH ist 3000; für Raw TCP ist 4000; und für RFC2217 ist es 5000

5. Weitere Dienste können in diesem Menü aktiviert und konfiguriert werden, indem Sie „Zum Konfigurieren hier klicken“ auswählen:

Nagios Zugriff auf die Nagios NRPE-Überwachungs-Daemons

NUSS

Zugriff auf den NUT UPS-Überwachungsdaemon

SNMP Aktiviert SNMP im Konsolenserver. SNMP ist standardmäßig deaktiviert

NTP

6. Klicken Sie auf Übernehmen. Es erscheint eine Bestätigungsmeldung: Meldung Änderungen an der Konfiguration erfolgreich

Die Einstellungen für den Dienstzugriff können so eingestellt werden, dass der Zugriff zugelassen oder blockiert wird. Dies gibt an, welche aktivierten Dienste Administratoren über jede Netzwerkschnittstelle verwenden können, um eine Verbindung zum Konsolenserver und über den Konsolenserver zu angeschlossenen seriellen und über das Netzwerk verbundenen Geräten herzustellen.

Bedienungsanleitung
1. Wählen Sie auf der Seite „System“ > „Dienste“ die Registerkarte „Dienstzugriff“.
2. Hier werden die aktivierten Dienste für die Netzwerkschnittstellen des Konsolenservers angezeigt. Abhängig vom jeweiligen Konsolenservermodell können die angezeigten Schnittstellen Folgendes umfassen: · Netzwerkschnittstelle (für die Haupt-Ethernet-Verbindung) · Management-LAN/OOB-Failover (zweite Ethernet-Verbindungen) · Dialout/Mobilfunk (V90- und 3G-Modem) · Einwahl (intern). oder externes V90-Modem) · VPN (IPsec- oder Open VPN-Verbindung über eine beliebige Netzwerkschnittstelle)
3. Aktivieren/deaktivieren Sie für jedes Netzwerk, welcher Dienstzugriff aktiviert/deaktiviert werden soll. Die Dienstzugriffsoptionen „Auf ICMP-Echos reagieren (z. B. Ping)“ können hier konfiguriert werdentage. Dadurch kann der Konsolenserver auf eingehende ICMP-Echoanfragen reagieren. Ping ist standardmäßig aktiviert. Um die Sicherheit zu erhöhen, sollten Sie diesen Dienst deaktivieren, wenn Sie die Erstkonfiguration abschließen. Sie können zulassen, dass über festgelegte Netzwerkschnittstellen über Raw TCP, direktes Telnet/SSH, nicht authentifizierte Telnet/SSH-Dienste usw. auf Geräte mit seriellem Port zugegriffen wird.
4. Klicken Sie auf Übernehmen Web Verwaltungseinstellungen Das Kontrollkästchen „HSTS aktivieren“ aktiviert die strikte HTTP-Transportsicherheit. Der HSTS-Modus bedeutet, dass ein StrictTransport-Security-Header über den HTTPS-Transport gesendet werden sollte. Eine konforme web Der Browser merkt sich diesen Header und wechselt automatisch zu, wenn er aufgefordert wird, denselben Host über HTTP (einfach) zu kontaktieren
19

Kapitel 2: Systemkonfiguration
HTTPS, bevor Sie HTTP versuchen, sofern der Browser einmal auf die sichere Site zugegriffen und den STS-Header gesehen hat.
Brute-Force-Schutz Der Brute-Force-Schutz (Micro Fail2ban) blockiert vorübergehend Quell-IPs, die bösartige Anzeichen aufweisen, wie z. B. zu viele Passwortfehler. Dies kann hilfreich sein, wenn die Netzwerkdienste des Geräts einem nicht vertrauenswürdigen Netzwerk wie dem öffentlichen WAN ausgesetzt sind und skriptgesteuerte Angriffe oder Softwarewürmer versuchen, Benutzeranmeldeinformationen zu erraten (Brute Force) und sich unbefugten Zugriff zu verschaffen.

Für die aufgeführten Dienste kann der Brute-Force-Schutz aktiviert sein. Sobald der Schutz aktiviert ist, führen drei oder mehr fehlgeschlagene Verbindungsversuche innerhalb von 3 Sekunden von einer bestimmten Quell-IP dazu, dass die Verbindung für einen konfigurierbaren Zeitraum gesperrt wird. Versuchslimit und Sperrzeitlimit können angepasst werden. Aktive Sperren werden ebenfalls aufgelistet und können durch Neuladen der Seite aktualisiert werden.

NOTIZ

Bei der Ausführung in einem nicht vertrauenswürdigen Netzwerk sollten Sie verschiedene Strategien in Betracht ziehen, um den Fernzugriff zu sperren. Dazu gehören SSH-Public-Key-Authentifizierung, VPN und Firewall-Regeln
Setzen Sie den Fernzugriff nur über vertrauenswürdige Quellnetzwerke auf die Zulassungsliste. Weitere Informationen finden Sie in der Opengear-Wissensdatenbank.

2.5 Kommunikationssoftware
Sie haben Zugriffsprotokolle konfiguriert, die der Administrator-Client beim Herstellen einer Verbindung zum Konsolenserver verwenden soll. Benutzer-Clients verwenden diese Protokolle auch, wenn sie auf seriell angeschlossene Konsolenservergeräte und an das Netzwerk angeschlossene Hosts zugreifen. Sie benötigen Kommunikationssoftwaretools, die auf dem Computer des Administrators und des Benutzer-Clients eingerichtet sind. Zum Herstellen einer Verbindung können Sie Tools wie PuTTY und SSHTerm verwenden.

Bedienungsanleitung
Im Handel erhältliche Konnektoren koppeln das vertrauenswürdige SSH-Tunnelprotokoll mit gängigen Zugriffstools wie Telnet, SSH, HTTP, HTTPS, VNC und RDP, um einen sicheren Point-and-Click-Fernverwaltungszugriff auf alle verwalteten Systeme und Geräte zu ermöglichen. Informationen zur Verwendung von Konnektoren für den Browserzugriff auf die Verwaltungskonsole des Konsolenservers, den Telnet/SSH-Zugriff auf die Befehlszeile des Konsolenservers und die TCP/UDP-Verbindung zu Hosts, die über ein Netzwerk mit dem Konsolenserver verbunden sind, finden Sie in Kapitel 5. Konnektoren können sein installiert auf Windows-PCs, Mac OS X und auf den meisten Linux-, UNIX- und Solaris-Systemen.
2.6 Konfiguration des Verwaltungsnetzwerks
Konsolenserver verfügen über zusätzliche Netzwerkports, die so konfiguriert werden können, dass sie Management-LAN-Zugriff und/oder Failover oder Out-of-Band-Zugriff ermöglichen. 2.6.1 Aktivieren Sie das Management-LAN. Konsolenserver können so konfiguriert werden, dass der zweite Ethernet-Port ein Management-LAN-Gateway bereitstellt. Das Gateway verfügt über Firewall-, Router- und DHCP-Serverfunktionen. Sie müssen einen externen LAN-Switch an Netzwerk 2 anschließen, um Hosts an dieses Verwaltungs-LAN anzuschließen:
HINWEIS Der zweite Ethernet-Port kann entweder als Management-LAN-Gateway-Port oder als OOB/Failover-Port konfiguriert werden. Stellen Sie sicher, dass Sie NET2 nicht als Failover-Schnittstelle zugewiesen haben, als Sie die Hauptnetzwerkverbindung im Menü System > IP konfiguriert haben.
21

Kapitel 2: Systemkonfiguration
So konfigurieren Sie das Management-LAN-Gateway: 1. Wählen Sie im Menü „System“ > „IP“ die Registerkarte „Management-LAN-Schnittstelle“ und deaktivieren Sie „Deaktivieren“. 2. Konfigurieren Sie die IP-Adresse und Subnetzmaske für das Management-LAN. Lassen Sie die DNS-Felder leer. 3. Klicken Sie auf Übernehmen.
Die Management-Gateway-Funktion ist mit konfigurierten Standard-Firewall- und Router-Regeln aktiviert, sodass auf das Management-LAN nur über die SSH-Portweiterleitung zugegriffen werden kann. Dadurch wird sichergestellt, dass die Remote- und lokalen Verbindungen zu verwalteten Geräten im Management-LAN sicher sind. Die LAN-Ports können auch im Bridged- oder Bonded-Modus konfiguriert oder manuell über die Befehlszeile konfiguriert werden. 2.6.2 DHCP-Server konfigurieren Der DHCP-Server ermöglicht die automatische Verteilung von IP-Adressen an Geräte im Management LAN, auf denen DHCP-Clients ausgeführt werden. So aktivieren Sie den DHCP-Server:
1. Klicken Sie auf System > DHCP-Server. 2. Aktivieren Sie auf der Registerkarte „Netzwerkschnittstelle“ die Option „DHCP-Server aktivieren“.
22

Bedienungsanleitung
3. Geben Sie die Gateway-Adresse ein, die an die DHCP-Clients vergeben werden soll. Wenn dieses Feld leer bleibt, wird die IP-Adresse des Konsolenservers verwendet.
4. Geben Sie die primäre DNS- und sekundäre DNS-Adresse ein, um die DHCP-Clients auszustellen. Wenn dieses Feld leer bleibt, wird die IP-Adresse des Konsolenservers verwendet.
5. Geben Sie optional ein Domänennamenssuffix ein, um DHCP-Clients auszustellen. 6. Geben Sie die Standard-Lease-Zeit und die maximale Lease-Zeit in Sekunden ein. Dies ist die Zeitspanne
dass eine dynamisch zugewiesene IP-Adresse gültig ist, bevor der Client sie erneut anfordern muss. 7. Klicken Sie auf „Übernehmen“. Der DHCP-Server vergibt IP-Adressen aus angegebenen Adresspools: 1. Klicken Sie im Feld „Dynamic Address Allocation Pools“ auf „Hinzufügen“. 2. Geben Sie die Startadresse und Endadresse des DHCP-Pools ein. 3. Klicken Sie auf Übernehmen.
23

Kapitel 2: Systemkonfiguration
Der DHCP-Server unterstützt auch die Vorabzuweisung von IP-Adressen, die bestimmten MAC-Adressen zugewiesen werden, und die Reservierung von IP-Adressen für die Verwendung durch verbundene Hosts mit festen IP-Adressen. So reservieren Sie eine IP-Adresse für einen bestimmten Host:
1. Klicken Sie im Feld „Reservierte Adressen“ auf „Hinzufügen“. 2. Geben Sie den Hostnamen, die Hardwareadresse (MAC) und die statisch reservierte IP-Adresse ein
den DHCP-Client und klicken Sie auf Übernehmen.
Wenn DHCP Hostadressen zugewiesen hat, wird empfohlen, diese in die vorab zugewiesene Liste zu kopieren, damit bei einem Neustart dieselbe IP-Adresse neu zugewiesen wird.
24

Bedienungsanleitung
2.6.3 Wählen Sie Failover oder Breitband-OOB Konsolenserver bieten eine Failover-Option, sodass im Falle eines Problems bei der Verwendung der Haupt-LAN-Verbindung für den Zugriff auf den Konsolenserver ein alternativer Zugriffspfad verwendet wird. So aktivieren Sie das Failover:
1. Wählen Sie die Seite „Netzwerkschnittstelle“ im Menü „System > IP“. 2. Wählen Sie die Failover-Schnittstelle aus, die im Falle eines Ausfalls verwendet werden solltage im Hauptnetzwerk.
3. Klicken Sie auf Übernehmen. Failover wird aktiv, nachdem Sie die externen Sites angegeben haben, die zum Auslösen des Failovers überprüft werden sollen, und die Failover-Ports eingerichtet haben.
2.6.4 Aggregieren der Netzwerkports Standardmäßig kann auf die Management-LAN-Netzwerkports des Konsolenservers über SSH-Tunneling/Portweiterleitung oder durch den Aufbau eines IPsec-VPN-Tunnels zum Konsolenserver zugegriffen werden. Alle kabelgebundenen Netzwerkports auf den Konsolenservern können durch Bridged oder Bonding zusammengefasst werden.
25

Bedienungsanleitung
· Standardmäßig ist die Schnittstellenaggregation im Menü „System > IP > Allgemeine Einstellungen“ deaktiviert. · Wählen Sie „Bridge-Schnittstellen“ oder „Bond-Schnittstellen“.
o Wenn Bridging aktiviert ist, wird der Netzwerkverkehr ohne Firewall-Einschränkungen über alle Ethernet-Ports weitergeleitet. Alle Ethernet-Ports sind alle transparent auf der Datenverbindungsschicht (Schicht 2) verbunden, sodass sie ihre eindeutigen MAC-Adressen behalten
o Beim Bonding wird der Netzwerkverkehr zwischen den Ports übertragen, liegt jedoch mit einer MAC-Adresse vor
In beiden Modi werden alle Funktionen der Management-LAN-Schnittstelle und der Out-of-Band-/Failover-Schnittstelle entfernt und der DHCP-Server deaktiviert. · Im Aggregationsmodus werden alle Ethernet-Ports gemeinsam über das Menü „Netzwerkschnittstelle“ konfiguriert
25

Kapitel 2: Systemkonfiguration
2.6.5 Statische Routen Statische Routen bieten eine sehr schnelle Möglichkeit, Daten von einem Subnetz zu einem anderen Subnetz weiterzuleiten. Sie können einen Pfad fest codieren, der den Konsolenserver/Router anweist, über einen bestimmten Pfad zu einem bestimmten Subnetz zu gelangen. Dies kann für den Zugriff auf verschiedene Subnetze an einem entfernten Standort nützlich sein, wenn die Mobilfunk-OOB-Verbindung verwendet wird.

So fügen Sie die statische Route zur Routentabelle des Systems hinzu:
1. Wählen Sie im Menü „System“ > „Allgemeine IP-Einstellungen“ die Registerkarte „Routeneinstellungen“.
2. Klicken Sie auf Neue Route
3. Geben Sie einen Routennamen für die Route ein.
4. Geben Sie im Feld „Zielnetzwerk/-host“ die IP-Adresse des Zielnetzwerks/-hosts ein, auf das die Route Zugriff bietet.
5. Geben Sie im Feld Zielnetzmaske einen Wert ein, der das Zielnetzwerk oder den Zielhost identifiziert. Eine beliebige Zahl zwischen 0 und 32. Eine Subnetzmaske von 32 identifiziert eine Host-Route.
6. Geben Sie Route Gateway mit der IP-Adresse eines Routers ein, der Pakete an das Zielnetzwerk weiterleitet. Dies kann leer gelassen werden.
7. Wählen Sie die Schnittstelle aus, die zum Erreichen des Ziels verwendet werden soll. Belassen Sie den Wert möglicherweise auf „Keine“.
8. Geben Sie im Feld „Metrik“ einen Wert ein, der die Metrik dieser Verbindung darstellt. Verwenden Sie eine beliebige Zahl gleich oder größer als 0. Dies muss nur festgelegt werden, wenn zwei oder mehr Routen in Konflikt stehen oder überlappende Ziele haben.
9. Klicken Sie auf „Übernehmen“.

NOTIZ

Die Routendetailseite bietet eine Liste der Netzwerkschnittstellen und Modems, an die eine Route gebunden werden kann. Im Falle eines Modems wird die Route an jede über dieses Gerät eingerichtete DFÜ-Sitzung angehängt. Eine Route kann mit einem Gateway, einer Schnittstelle oder beidem angegeben werden. Wenn die angegebene Schnittstelle nicht aktiv ist, sind die für diese Schnittstelle konfigurierten Routen nicht aktiv.

Benutzerhandbuch 3. SERIELLER ANSCHLUSS, HOST, GERÄT UND BENUTZERKONFIGURATION
Der Konsolenserver ermöglicht den Zugriff und die Steuerung von seriell angeschlossenen Geräten und netzwerkgebundenen Geräten (Hosts). Der Administrator muss für jedes dieser Geräte Zugriffsrechte konfigurieren und die Dienste festlegen, die zur Steuerung der Geräte verwendet werden können. Der Administrator kann auch neue Benutzer einrichten und die individuellen Zugriffs- und Kontrollrechte jedes Benutzers festlegen.
In diesem Kapitel werden alle Schritte bei der Konfiguration von mit dem Netzwerk verbundenen und seriell angeschlossenen Geräten behandelt: · Serielle Ports, Protokolle für seriell angeschlossene Geräte einrichten · Benutzer und Gruppen, Benutzer einrichten und die Zugriffsberechtigungen für jeden dieser Benutzer definieren · Authentifizierung Dies wird weiter unten behandelt Einzelheiten finden Sie in Kapitel 8 · Netzwerkhosts, die den Zugriff auf mit dem lokalen Netzwerk verbundene Computer oder Geräte (Hosts) konfigurieren · Vertrauenswürdige Netzwerke konfigurieren – IP-Adressen benennen, über die vertrauenswürdige Benutzer zugreifen · Kaskadierung und Umleitung serieller Konsolenports · Anschließen an die Stromversorgung (USV, PDU usw.) IPMI) und Umgebungsüberwachungsgeräte (EMD) · Umleitung serieller Ports mithilfe der PortShare-Windows- und Linux-Clients · Verwaltete Geräte – präsentiert eine konsolidierte Version view aller Verbindungen · IPSec ermöglicht VPN-Verbindung · OpenVPN · PPTP
3.1 Serielle Ports konfigurieren
Der erste Schritt bei der Konfiguration eines seriellen Ports besteht darin, die allgemeinen Einstellungen wie die Protokolle und die RS232-Parameter festzulegen, die für die Datenverbindung zu diesem Port verwendet werden sollen (z. B. Baudrate). Wählen Sie aus, in welchem Modus der Port betrieben werden soll. Jeder Port kann so eingestellt werden, dass er einen dieser Betriebsmodi unterstützt:
· Der deaktivierte Modus ist die Standardeinstellung, der serielle Port ist inaktiv
27

Kapitel 3:

Konfiguration der seriellen Schnittstelle, des Hosts, des Geräts und des Benutzers

· Der Konsolenservermodus ermöglicht den allgemeinen Zugriff auf den seriellen Konsolenport der seriell angeschlossenen Geräte
· Der Gerätemodus richtet den seriellen Port für die Kommunikation mit einer intelligenten seriell gesteuerten PDU, USV oder einem EMD-Gerät (Environmental Monitor Device) ein.
· Der Terminalserver-Modus stellt den seriellen Anschluss so ein, dass er auf eine eingehende Terminal-Anmeldesitzung wartet. · Der serielle Bridge-Modus ermöglicht die transparente Verbindung zweier Geräte mit seriellem Anschluss über einen
Netzwerk.
1. Wählen Sie Seriell und Netzwerk > Serieller Port, um Details zum seriellen Port anzuzeigen. 2. Standardmäßig ist jeder serielle Port im Konsolenservermodus eingestellt. Klicken Sie neben dem gewünschten Port auf Bearbeiten
neu konfiguriert. Oder klicken Sie auf „Mehrere Ports bearbeiten“ und wählen Sie aus, welche Ports Sie als Gruppe konfigurieren möchten. 3. Wenn Sie die allgemeinen Einstellungen und den Modus für jeden Port neu konfiguriert haben, richten Sie ein beliebiges Remote-Syslog ein (spezifische Informationen finden Sie in den folgenden Abschnitten). Klicken Sie auf „Übernehmen“. 4. Wenn der Konsolenserver mit aktivierter verteilter Nagios-Überwachung konfiguriert wurde, verwenden Sie die Nagios-Einstellungsoptionen, um die Überwachung nominierter Dienste auf dem Host zu aktivieren. 3.1.1 Allgemeine Einstellungen Es gibt eine Reihe allgemeiner Einstellungen, die für jede Seriennummer festgelegt werden können Hafen. Diese sind unabhängig vom Modus, in dem der Port verwendet wird. Diese seriellen Port-Parameter müssen so eingestellt werden, dass sie mit den seriellen Port-Parametern auf dem Gerät übereinstimmen, das Sie an diesen Port anschließen:
28

Bedienungsanleitung

· Geben Sie eine Bezeichnung für den Port ein. · Wählen Sie für jeden Port die entsprechende Baudrate, Parität, Datenbits, Stoppbits und Flusskontrolle aus

· Stellen Sie die Port-Pinbelegung ein. Dieses Menüelement wird für IM7200-Ports angezeigt, bei denen die Pinbelegung für jeden seriellen RJ45-Port entweder auf X2 (Cisco Straight) oder X1 (Cisco Rolled) eingestellt werden kann.

· Stellen Sie den DTR-Modus ein. Dadurch können Sie auswählen, ob DTR immer aktiviert wird oder nur aktiviert wird, wenn eine aktive Benutzersitzung vorliegt

· Bevor Sie mit der weiteren Konfiguration des seriellen Ports fortfahren, sollten Sie die Ports mit den seriellen Geräten verbinden, die sie steuern möchten, und sicherstellen, dass sie über übereinstimmende Einstellungen verfügen

3.1.2

Konsolenservermodus
Wählen Sie den Konsolenservermodus aus, um den Fernverwaltungszugriff auf die serielle Konsole zu aktivieren, die an diesen seriellen Port angeschlossen ist:

Protokollierungsebene Dies gibt die Ebene der Informationen an, die protokolliert und überwacht werden sollen.
29

Kapitel 3: Serielle Schnittstelle, Host, Gerät und Benutzerkonfiguration
Stufe 0: Protokollierung deaktivieren (Standard)
Ebene 1: Protokollieren Sie LOGIN-, LOGOUT- und SIGNAL-Ereignisse
Ebene 2: Protokollieren Sie LOGIN-, LOGOUT-, SIGNAL-, TXDATA- und RXDATA-Ereignisse
Ebene 3: Protokollieren Sie LOGIN-, LOGOUT-, SIGNAL- und RXDATA-Ereignisse
Ebene 4: Protokollieren Sie LOGIN-, LOGOUT-, SIGNAL- und TXDATA-Ereignisse
Eingabe/RXDATA sind Daten, die das Opengear-Gerät vom angeschlossenen seriellen Gerät empfängt, und Ausgabe/TXDATA sind Daten, die vom Opengear-Gerät (z. B. vom Benutzer eingegeben) an das angeschlossene serielle Gerät gesendet werden.
Gerätekonsolen geben normalerweise Zeichen zurück, während sie eingegeben werden, sodass von einem Benutzer eingegebene TXDATA anschließend als RXDATA empfangen und auf ihrem Terminal angezeigt werden.
HINWEIS: Nach der Aufforderung zur Eingabe eines Passworts sendet das verbundene Gerät *-Zeichen, um zu verhindern, dass das Passwort angezeigt wird.

Telnet Wenn der Telnet-Dienst auf dem Konsolenserver aktiviert ist, kann ein Telnet-Client auf dem Computer eines Benutzers eine Verbindung zu einem seriellen Gerät herstellen, das an diesen seriellen Port auf dem Konsolenserver angeschlossen ist. Da die Telnet-Kommunikation unverschlüsselt ist, wird dieses Protokoll nur für lokale oder VPN-Tunnelverbindungen empfohlen.
Wenn die Fernkommunikation über einen Connector getunnelt wird, kann Telnet für den sicheren Zugriff auf diese angeschlossenen Geräte verwendet werden.

NOTIZ

Im Konsolenservermodus können Benutzer einen Connector verwenden, um sichere Telnet-Verbindungen einzurichten, die über SSH von ihren Clientcomputern zum seriellen Port des Konsolenservers getunnelt werden. Connectors können auf Windows-PCs und den meisten Linux-Plattformen installiert werden und ermöglichen die Auswahl sicherer Telnet-Verbindungen per Point-and-Click.

Um einen Connector für den Zugriff auf Konsolen an den seriellen Ports des Konsolenservers zu verwenden, konfigurieren Sie den Connector mit dem Konsolenserver als Gateway und als Host und aktivieren Sie den Telnet-Dienst auf Port (2000 + serielle Portnummer), also 2001.

Sie können auch Standard-Kommunikationspakete wie PuTTY verwenden, um eine direkte Telnet- oder SSH-Verbindung zu den seriellen Ports einzurichten.

HINWEIS Wenn Sie im Konsolenservermodus eine Verbindung zu einem seriellen Port herstellen, erfolgt die Verbindung über pmshell. Um einen BREAK an der seriellen Schnittstelle zu generieren, geben Sie die Zeichenfolge ~b ein. Wenn Sie dies über OpenSSH tun, geben Sie ~~b ein.

SSH

Es wird empfohlen, SSH als Protokoll zu verwenden, wenn Benutzer eine Verbindung zum Konsolenserver herstellen

(oder stellen Sie über den Konsolenserver eine Verbindung zu den angeschlossenen seriellen Konsolen her) über das Internet oder ein anderes

anderes öffentliches Netzwerk.

Für den SSH-Zugriff auf die Konsolen auf Geräten, die an die seriellen Ports des Konsolenservers angeschlossen sind, können Sie einen Connector verwenden. Konfigurieren Sie den Connector mit dem Konsolenserver als Gateway und als Host und aktivieren Sie den SSH-Dienst auf Port (3000 + serielle Portnummer), also 3001–3048.

Sie können auch gängige Kommunikationspakete wie PuTTY oder SSHTerm verwenden, um eine SSH-Verbindung zur Portadresse IP-Adresse_Port (3000 + Nummer des seriellen Ports) herzustellen, z. B. 3001

SSH-Verbindungen können über den Standard-SSH-Port 22 konfiguriert werden. Der serielle Port, auf den zugegriffen wird, wird durch Anhängen eines Deskriptors an den Benutzernamen identifiziert. Diese Syntax unterstützt:

Bedienungsanleitung
: : Damit ein Benutzer namens chris beim Einrichten des SSHTerm- oder PuTTY-SSH-Clients auf den seriellen Port 2 zugreifen kann, können Sie anstelle von Benutzername = chris und SSH-Port = 3002 alternativ Benutzername = chris:port02 (oder Benutzername = chris:) eingeben. ttyS1) und SSH-Port = 22. Oder indem Sie username=chris:serial und SSH-Port = 22 eingeben, wird dem Benutzer eine Portauswahloption angezeigt:

Mit dieser Syntax können Benutzer SSH-Tunnel zu allen seriellen Ports einrichten, wobei ein einziger IP-Port 22 in ihrer Firewall/Gateway geöffnet werden muss
HINWEIS Im Konsolenservermodus stellen Sie über pmshell eine Verbindung zu einem seriellen Port her. Um einen BREAK an der seriellen Schnittstelle zu generieren, geben Sie die Zeichenfolge ~b ein. Wenn Sie dies über OpenSSH tun, geben Sie ~~b ein.

TCP

RAW TCP ermöglicht Verbindungen zu einem TCP-Socket. Während Kommunikationsprogramme wie PuTTY

unterstützt auch RAW TCP. Dieses Protokoll wird normalerweise von einer benutzerdefinierten Anwendung verwendet

Für RAW TCP ist die Standard-Portadresse IP-Adresse _ Port (4000 + serielle Portnummer), also 4001 4048

RAW TCP ermöglicht auch die Tunnelung des seriellen Ports zu einem Remote-Konsolenserver, sodass zwei Geräte mit seriellem Port transparent über ein Netzwerk miteinander verbunden werden können (siehe Kapitel 3.1.6 Serial Bridging).

RFC2217 Durch Auswahl von RFC2217 wird die Umleitung des seriellen Ports an diesem Port aktiviert. Für RFC2217 ist die Standard-Portadresse IP-Adresse _ Port (5000 + serielle Portnummer), also 5001 5048
Für Windows UNIX und Linux ist spezielle Client-Software verfügbar, die virtuelle RFC2217-COM-Ports unterstützt, sodass ein Remote-Host seriell angeschlossene Remote-Geräte überwachen und verwalten kann, als ob sie mit dem lokalen seriellen Port verbunden wären (Einzelheiten finden Sie in Kapitel 3.6 Umleitung serieller Ports).
RFC2217 ermöglicht außerdem die Tunnelung des seriellen Ports zu einem Remote-Konsolenserver, sodass zwei Geräte mit seriellem Port transparent über ein Netzwerk miteinander verbunden werden können (siehe Kapitel 3.1.6 Serial Bridging).

Nicht authentifiziertes Telnet Dies ermöglicht den Telnet-Zugriff auf den seriellen Port ohne Authentifizierungsdaten. Wenn ein Benutzer über Telnet über einen seriellen Port auf den Konsolenserver zugreift, erhält er eine Anmeldeaufforderung. Mit nicht authentifiziertem Telnet stellen sie eine direkte Verbindung zum Port her, ohne dass eine Anmeldung beim Konsolenserver erforderlich ist. Wenn ein Telnet-Client zur Authentifizierung auffordert, ermöglichen alle eingegebenen Daten die Verbindung.

Kapitel 3: Serielle Schnittstelle, Host, Gerät und Benutzerkonfiguration
Dieser Modus wird mit einem externen System (z. B. einem Conserver) verwendet, das die Benutzerauthentifizierung und Zugriffsrechte auf der Ebene des seriellen Geräts verwaltet.
Für die Anmeldung an einem mit dem Konsolenserver verbundenen Gerät ist möglicherweise eine Authentifizierung erforderlich.
Für nicht authentifiziertes Telnet ist die Standard-Portadresse IP-Adresse _ Port (6000 + serielle Portnummer), also 6001 6048

Nicht authentifiziertes SSH Dies ermöglicht den SSH-Zugriff auf den seriellen Port ohne Authentifizierungsdaten. Wenn ein Benutzer über Telnet über einen seriellen Port auf den Konsolenserver zugreift, erhält er eine Anmeldeaufforderung. Mit nicht authentifiziertem SSH stellen sie eine direkte Verbindung zum Port her, ohne dass eine Anmeldung beim Konsolenserver erforderlich ist.
Dieser Modus wird verwendet, wenn Sie über ein anderes System verfügen, das die Benutzerauthentifizierung und Zugriffsrechte auf der Ebene des seriellen Geräts verwaltet, die Sitzung jedoch über das Netzwerk verschlüsseln möchten.
Für die Anmeldung an einem mit dem Konsolenserver verbundenen Gerät ist möglicherweise eine Authentifizierung erforderlich.
Für nicht authentifiziertes Telnet ist die Standard-Portadresse IP-Adresse _ Port (7000 + serielle Portnummer), also 7001 7048
Der : Die Methode des Portzugriffs (wie im obigen SSH-Abschnitt beschrieben) erfordert immer eine Authentifizierung.

Web Terminal Dies ermöglicht web Browserzugriff auf den seriellen Port über Verwalten > Geräte: Seriell über das integrierte AJAX-Terminal der Managementkonsole. Web Das Terminal stellt eine Verbindung als aktuell authentifizierter Managementkonsolenbenutzer her und führt keine erneute Authentifizierung durch. Weitere Einzelheiten finden Sie in Abschnitt 12.3.

IP-Alias

Ermöglichen Sie den Zugriff auf den seriellen Port über eine bestimmte IP-Adresse, angegeben im CIDR-Format. Jedem seriellen Port können ein oder mehrere IP-Aliasnamen zugewiesen werden, die für jede einzelne Netzwerkschnittstelle konfiguriert werden. Eine serielle Schnittstelle kann z.Bample, sowohl unter 192.168.0.148 (als Teil des internen Netzwerks) als auch 10.10.10.148 (als Teil des Management LAN) zugänglich gemacht werden. Es ist auch möglich, einen seriellen Port an zwei IP-Adressen im selben Netzwerk verfügbar zu machen (z. Bample, 192.168.0.148 und 192.168.0.248).

Diese IP-Adressen können nur für den Zugriff auf den spezifischen seriellen Port verwendet werden, der über die Standardprotokoll-TCP-Portnummern der Konsolenserverdienste zugänglich ist. Zum Beispielample, SSH am seriellen Port 3 wäre über Port 22 eines seriellen Port-IP-Alias zugänglich (während es an der primären Adresse des Konsolenservers über Port 2003 verfügbar ist).

Diese Funktion kann auch über die Bearbeitungsseite für mehrere Ports konfiguriert werden. In diesem Fall werden die IP-Adressen nacheinander angewendet, wobei der erste ausgewählte Port die eingegebene IP-Adresse erhält und die folgenden inkrementiert werden, wobei die Nummern für alle nicht ausgewählten Ports übersprungen werden. Zum BeispielampWenn die Ports 2, 3 und 5 ausgewählt sind und für das Netzwerkinterface der IP-Alias 10.0.0.1/24 eingetragen ist, werden folgende Adressen zugewiesen:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

IP-Aliase unterstützen auch IPv6-Aliasadressen. Der einzige Unterschied besteht darin, dass Adressen hexadezimale Zahlen sind, sodass Port 10 einer Adresse entsprechen kann, die auf A endet, und 11 einer Adresse, die auf B endet, und nicht 10 oder 11 gemäß IPv4.

Bedienungsanleitung
Datenverkehr verschlüsseln/authentifizieren. Ermöglichen Sie die einfache Verschlüsselung und Authentifizierung der seriellen RFC2217-Kommunikation mithilfe von Portshare (für starke Verschlüsselung verwenden Sie VPN).
Akkumulationszeitraum Sobald eine Verbindung für einen bestimmten seriellen Port hergestellt wurde (z. B. eine RFC2217-Umleitung oder eine Telnet-Verbindung zu einem Remotecomputer), werden alle an diesem Port eingehenden Zeichen zeichenweise über das Netzwerk weitergeleitet. Der Akkumulationszeitraum gibt einen Zeitraum an, in dem eingehende Zeichen gesammelt werden, bevor sie als Paket über das Netzwerk gesendet werden
Escape-Zeichen Ändern Sie das Zeichen, das zum Senden von Escape-Zeichen verwendet wird. Der Standardwert ist ~. Rücktaste ersetzen Ersetzen Sie den Standardwert für die Rücktaste von STRG+? (127) mit STRG+h (8). Power-Menü Der Befehl zum Aufrufen des Power-Menüs ist ~p und aktiviert den Shell-Power-Befehl so a
Benutzer können die Stromverbindung zu einem verwalteten Gerät über die Befehlszeile steuern, wenn sie über Telnet oder SSH mit dem Gerät verbunden sind. Das verwaltete Gerät muss so eingerichtet werden, dass sowohl seine serielle Anschlussverbindung als auch seine Stromverbindung konfiguriert sind.
Einzelverbindung Dadurch wird der Port auf eine einzelne Verbindung beschränkt. Wenn also mehrere Benutzer Zugriffsrechte für einen bestimmten Port haben, kann jeweils nur ein Benutzer auf diesen Port zugreifen (dh Port-Snooping ist nicht zulässig).
33

Kapitel 3: Serielle Schnittstelle, Host, Gerät und Benutzerkonfiguration
3.1.3 Gerätemodus (RPC, USV, Umgebung) Dieser Modus konfiguriert den ausgewählten seriellen Port für die Kommunikation mit einer seriell gesteuerten unterbrechungsfreien Stromversorgung (USV), einem Remote Power Controller/Power Distribution Units (RPC) oder einem Umgebungsüberwachungsgerät (Environmental).

1. Wählen Sie den gewünschten Gerätetyp (USV, RPC oder Umwelt)
2. Fahren Sie mit der entsprechenden Gerätekonfigurationsseite fort (Seriell und Netzwerk > USV-Verbindungen, RPC-Verbindung oder Umgebung), wie in Kapitel 7 beschrieben.

3.1.4 ·

Terminalservermodus
Wählen Sie den Terminalservermodus und den Terminaltyp (vt220, vt102, vt100, Linux oder ANSI), um ein Getty auf dem ausgewählten seriellen Port zu aktivieren

Das Getty konfiguriert den Port und wartet darauf, dass eine Verbindung hergestellt wird. Eine aktive Verbindung auf einem seriellen Gerät wird durch den erhöhten DCD-Pin (Data Carrier Detect) am seriellen Gerät angezeigt. Wenn eine Verbindung erkannt wird, gibt das getty-Programm eine login:-Eingabeaufforderung aus und ruft das Anmeldeprogramm auf, um die Systemanmeldung durchzuführen.
HINWEIS Durch die Auswahl des Terminalservermodus wird der Port Manager für diesen seriellen Port deaktiviert, sodass keine Daten mehr für Warnungen usw. protokolliert werden.

Bedienungsanleitung
3.1.5 Serieller Bridging-Modus Beim seriellen Bridging werden die seriellen Daten an einem angegebenen seriellen Port auf einem Konsolenserver in Netzwerkpakete gekapselt und über ein Netzwerk zu einem zweiten Konsolenserver transportiert, wo sie als serielle Daten dargestellt werden. Die beiden Konsolenserver fungieren als virtuelles serielles Kabel über ein IP-Netzwerk. Ein Konsolenserver ist als Server konfiguriert. Der zu überbrückende serielle Port des Servers wird im Konsolenservermodus mit aktiviertem RFC2217 oder RAW eingestellt. Für den Client-Konsolenserver muss der zu überbrückende serielle Port im Bridging-Modus eingestellt sein:
· Wählen Sie den Serial Bridging-Modus und geben Sie die IP-Adresse des Serverkonsolenservers und die TCP-Portadresse des Remote-Seriell-Ports an (für RFC2217-Bridging ist dies 5001-5048).
· Standardmäßig verwendet der Bridging-Client RAW TCP. Wählen Sie RFC2217 aus, wenn dies der Konsolenservermodus ist, den Sie auf dem Serverkonsolenserver angegeben haben
· Sie können die Kommunikation über das lokale Ethernet sichern, indem Sie SSH aktivieren. Schlüssel generieren und hochladen.
3.1.6 Syslog Zusätzlich zur integrierten Protokollierung und Überwachung, die auf seriell angeschlossene und netzwerkgebundene Verwaltungszugriffe angewendet werden kann, wie in Kapitel 6 beschrieben, kann der Konsolenserver auch so konfiguriert werden, dass er das Remote-Syslog-Protokoll an einem einzelnen seriellen Port unterstützt Basis:
· Wählen Sie die Felder „Syslog-Einrichtung/Priorität“ aus, um die Protokollierung des Datenverkehrs am ausgewählten seriellen Port auf einem Syslog-Server zu aktivieren. und um diese protokollierten Nachrichten zu sortieren und darauf zu reagieren (z. B. umzuleiten / Warn-E-Mail zu senden).
35

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
Zum BeispielampWenn der Computer, der an den seriellen Port 3 angeschlossen ist, niemals etwas über seinen seriellen Konsolenport senden soll, kann der Administrator die Einrichtung für diesen Port auf local0 (local0 .. local7 sind für lokale Werte am Standort gedacht) und die Priorität auf kritisch setzen . Wenn der Syslog-Server des Konsolenservers bei dieser Priorität eine Nachricht empfängt, löst er eine Warnung aus. Siehe Kapitel 6. 3.1.7 NMEA-Streaming Der ACM7000-L kann GPS-NMEA-Datenstreaming vom internen GPS-/Mobilfunkmodem bereitstellen. Dieser Datenstrom wird bei den ACM-Modellen als serieller Datenstrom an Port 5 dargestellt.
Die allgemeinen Einstellungen (Baudrate usw.) werden bei der Konfiguration des seriellen NMEA-Ports ignoriert. Sie können die Fixfrequenz angeben (dh diese GPS-Fixrate bestimmt, wie oft GPS-Fixes erhalten werden). Sie können auch alle Einstellungen für den Konsolenservermodus, Syslog und Serial Bridging auf diesen Port anwenden.
Sie können pmshell verwenden, webShell, SSH, RFC2217 oder RawTCP, um auf den Stream zuzugreifen:
Zum Beispielample, mit der Web Terminal:
36

Bedienungsanleitung

3.1.8 USB-Konsolen
Konsolenserver mit USB-Anschlüssen unterstützen USB-Konsolenverbindungen zu Geräten einer Vielzahl von Anbietern, darunter Cisco, HP, Dell und Brocade. Diese USB-Anschlüsse können auch als einfache serielle RS-232-Anschlüsse fungieren, wenn ein USB-zu-Seriell-Adapter angeschlossen ist.

Diese USB-Ports sind als reguläre Portmanager-Ports verfügbar und werden im numerisch dargestellt web Benutzeroberfläche nach allen seriellen RJ45-Anschlüssen.

Der ACM7008-2 verfügt über acht serielle RJ45-Anschlüsse auf der Rückseite des Konsolenservers und vier USB-Anschlüsse auf der Vorderseite. Unter Seriell & Netzwerk > Serieller Port werden diese als aufgeführt

Port-Nr.-Anschluss

RJ45

USB

10 USB

11 USB

12 USB

Wenn es sich bei dem jeweiligen ACM7008-2 um ein Mobilfunkmodell handelt, wird auch Port Nr. 13 – für das GPS – aufgeführt.

Der 7216-24U verfügt über 16 serielle RJ45-Anschlüsse und 24 USB-Anschlüsse auf der Rückseite sowie zwei nach vorne gerichtete USB-Anschlüsse und (beim Mobilfunkmodell) ein GPS.

Die seriellen RJ45-Ports werden unter „Seriell & Netzwerk > Serieller Port“ als Portnummern 1 angezeigt. Die 16 nach hinten gerichteten USB-Ports haben die Portnummern 24, und die nach vorne gerichteten USB-Ports sind unter den Portnummern 17 bzw. 40 aufgeführt. Und wenn es sich beim 41-42U um ein Mobilfunkmodell handelt, wird das GPS wie beim ACM7008-2 an Portnummer 7216 angezeigt.

Bei der Konfiguration der Ports werden die allgemeinen Einstellungen (Baudrate usw.) verwendet, einige Vorgänge funktionieren jedoch möglicherweise nicht, abhängig von der Implementierung des zugrunde liegenden seriellen USB-Chips.

3.2 Benutzer hinzufügen und bearbeiten
Über diese Menüauswahl kann der Administrator Benutzer anlegen, bearbeiten und löschen sowie die Zugriffsberechtigungen für jeden dieser Benutzer festlegen.

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration

Benutzer können zum Zugriff auf bestimmte Dienste, serielle Anschlüsse, Stromversorgungsgeräte und bestimmte an das Netzwerk angeschlossene Hosts autorisiert werden. Diesen Benutzern kann auch der volle Administratorstatus (mit vollständigen Konfigurations-, Verwaltungs- und Zugriffsrechten) verliehen werden.

Benutzer können zu Gruppen hinzugefügt werden. Standardmäßig sind sechs Gruppen eingerichtet:

Administrator

Bietet unbegrenzte Konfigurations- und Verwaltungsrechte.

pptpd

Ermöglicht den Zugriff auf den PPTP-VPN-Server. Für Benutzer in dieser Gruppe wird das Passwort im Klartext gespeichert.

einwählen

Ermöglicht den Einwahlzugriff über Modems. Für Benutzer in dieser Gruppe wird das Passwort im Klartext gespeichert.

ftp

Ermöglicht FTP-Zugriff und file Zugriff auf Speichergeräte.

pmshell

Setzt die Standard-Shell auf pmshell.

Benutzer

Bietet Benutzern grundlegende Verwaltungsrechte.

Die Admin-Gruppe bietet Mitgliedern vollständige Administratorrechte. Der Admin-Benutzer kann über alle Dienste, die unter System > Dienste aktiviert wurden, auf den Konsolenserver zugreifen. Außerdem kann er über alle Dienste, die für diese Verbindungen aktiviert wurden, auf alle angeschlossenen Hosts oder Geräte mit seriellem Anschluss zugreifen. Nur vertrauenswürdige Benutzer sollten Administratorzugriff haben
Die Benutzergruppe bietet Mitgliedern eingeschränkten Zugriff auf den Konsolenserver und verbundene Hosts und serielle Geräte. Diese Benutzer können nur auf den Abschnitt „Verwaltung“ des Menüs „Verwaltungskonsole“ zugreifen und haben keinen Befehlszeilenzugriff auf den Konsolenserver. Sie können nur auf die Hosts und seriellen Geräte zugreifen, die für sie überprüft wurden, und zwar über die aktivierten Dienste
Benutzer in den Gruppen pptd, dialin, ftp oder pmshell haben eingeschränkten Benutzer-Shell-Zugriff auf die nominierten verwalteten Geräte, aber keinen direkten Zugriff auf den Konsolenserver. Um dies hinzuzufügen, müssen die Benutzer auch Mitglied der Benutzer- oder Administratorgruppen sein
Der Administrator kann zusätzliche Gruppen mit spezifischen Stromversorgungsgeräten, seriellen Ports und Host-Zugriffsberechtigungen einrichten. Benutzer in diesen zusätzlichen Gruppen haben keinen Zugriff auf das Menü der Managementkonsole und keinen Befehlszeilenzugriff auf den Konsolenserver.

Bedienungsanleitung
Der Administrator kann Benutzer mit bestimmten Berechtigungen für Stromversorgungsgeräte, serielle Ports und Hosts einrichten, die keiner Gruppe angehören. Diese Benutzer haben keinen Zugriff auf das Menü der Managementkonsole und keinen Befehlszeilenzugriff auf den Konsolenserver. 3.2.1 Neue Gruppe einrichten So richten Sie neue Gruppen und neue Benutzer ein und klassifizieren Benutzer als Mitglieder bestimmter Gruppen:
1. Wählen Sie Seriell und Netzwerk > Benutzer und Gruppen, um alle Gruppen und Benutzer anzuzeigen. 2. Klicken Sie auf Gruppe hinzufügen, um eine neue Gruppe hinzuzufügen
3. Fügen Sie für jede neue Gruppe einen Gruppennamen und eine Beschreibung hinzu und benennen Sie die zugänglichen Hosts, zugänglichen Ports und zugänglichen RPC-Ausgänge, auf die Benutzer in dieser neuen Gruppe zugreifen können
4. Klicken Sie auf „Übernehmen“. 5. Der Administrator kann jede hinzugefügte Gruppe bearbeiten oder löschen. 3.2.2 Einrichten neuer Benutzer So richten Sie neue Benutzer ein und klassifizieren Benutzer als Mitglieder bestimmter Gruppen: 1. Wählen Sie Seriell und Netzwerk > Benutzer und Gruppen zur Anzeige aus alle Gruppen und Benutzer 2. Klicken Sie auf Benutzer hinzufügen
39

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
3. Fügen Sie für jeden neuen Benutzer einen Benutzernamen hinzu. Sie können im Feld „Beschreibung“ auch benutzerbezogene Informationen (z. B. Kontaktdaten) angeben. Der Benutzername kann 1 bis 127 alphanumerische Zeichen sowie die Zeichen „-“, „_“ und „.“ enthalten.
4. Geben Sie an, in welchen Gruppen der Benutzer Mitglied sein soll. 5. Fügen Sie für jeden neuen Benutzer ein bestätigtes Passwort hinzu. Alle Zeichen sind erlaubt. 6. Es kann die SSH-Passkey-Authentifizierung verwendet werden. Fügen Sie die öffentlichen Schlüssel der autorisierten öffentlichen/privaten Schlüssel ein
Schlüsselpaare für diesen Benutzer im Feld „Autorisierte SSH-Schlüssel“ 7. Aktivieren Sie „Passwortauthentifizierung deaktivieren“, um nur die Authentifizierung mit öffentlichen Schlüsseln für diesen Benutzer zuzulassen
bei Verwendung von SSH 8. Aktivieren Sie im Menü „Einwahloptionen“ die Option „Rückruf aktivieren“, um eine ausgehende Rückrufverbindung zuzulassen
wird durch die Anmeldung an diesem Port ausgelöst. Geben Sie die Rückruf-Telefonnummer mit der Telefonnummer ein, die beim Anmelden des Benutzers zurückgerufen werden soll. 9. Markieren Sie „Zugängliche Hosts“ und/oder „Zugängliche Ports“, um die seriellen Ports und mit dem Netzwerk verbundenen Hosts anzugeben, auf die der Benutzer Zugriffsrechte haben soll. 10. Wenn Wenn RPCs konfiguriert sind, aktivieren Sie „Zugängliche RPC-Ausgänge“, um anzugeben, welche Ausgänge der Benutzer steuern kann (z. B. Ein-/Ausschalten). 11. Klicken Sie auf „Übernehmen“. Der neue Benutzer kann auf die zugänglichen Netzwerkgeräte, Ports und RPC-Ausgänge zugreifen. Wenn der Benutzer Gruppenmitglied ist, kann er auch auf alle anderen Geräte/Ports/Steckdosen zugreifen, die für die Gruppe zugänglich sind
40

Bedienungsanleitung
Es gibt keine Begrenzung hinsichtlich der Anzahl der Benutzer, die Sie einrichten können, oder der Anzahl der Benutzer pro seriellem Port oder Host. Mehrere Benutzer können einen Port oder Host steuern/überwachen. Die Anzahl der Gruppen ist unbegrenzt und jeder Benutzer kann Mitglied in mehreren Gruppen sein. Ein Benutzer muss nicht Mitglied einer Gruppe sein. Wenn der Benutzer jedoch Mitglied der Standardbenutzergruppe ist, kann er die Verwaltungskonsole nicht zum Verwalten von Ports verwenden. Es gibt zwar keine Grenzen, die Zeit für die Neukonfiguration nimmt jedoch mit zunehmender Anzahl und Komplexität zu. Wir empfehlen, die Gesamtzahl der Benutzer und Gruppen unter 250 zu halten. Der Administrator kann auch die Zugriffseinstellungen für alle vorhandenen Benutzer bearbeiten:
· Wählen Sie Seriell und Netzwerk > Benutzer und Gruppen und klicken Sie auf Bearbeiten, um die Zugriffsrechte des Benutzers zu ändern. · Klicken Sie auf Löschen, um den Benutzer zu entfernen. · Klicken Sie auf Deaktivieren, um die Zugriffsrechte vorübergehend zu blockieren
3.3 Authentifizierung
Einzelheiten zur Authentifizierungskonfiguration finden Sie in Kapitel 8.
3.4 Netzwerk-Hosts
Um einen lokal vernetzten Computer oder ein lokal vernetztes Gerät (als Host bezeichnet) zu überwachen und darauf zuzugreifen, müssen Sie den Host identifizieren:
1. Wenn Sie „Seriell & Netzwerk“ > „Netzwerkhosts“ auswählen, werden alle mit dem Netzwerk verbundenen Hosts angezeigt, die zur Verwendung aktiviert wurden.
2. Klicken Sie auf „Host hinzufügen“, um den Zugriff auf einen neuen Host zu aktivieren (oder wählen Sie „Bearbeiten“, um die Einstellungen für den vorhandenen Host zu aktualisieren).
41

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
3. Wenn der Host ein PDU- oder USV-Stromversorgungsgerät oder ein Server mit IPMI-Stromsteuerung ist, geben Sie RPC (für IPMI und PDU) oder USV und den Gerätetyp an. Der Administrator kann diese Geräte konfigurieren und aktivieren, welche Benutzer berechtigt sind, die Stromversorgung aus der Ferne ein- und auszuschalten usw. Siehe Kapitel 7. Andernfalls lassen Sie den Gerätetyp auf „Keine“ eingestellt.
4. Wenn der Konsolenserver mit aktivierter verteilter Nagios-Überwachung konfiguriert wurde, werden Ihnen auch Optionen in den Nagios-Einstellungen angezeigt, mit denen Sie die Überwachung benannter Dienste auf dem Host aktivieren können.
5. Klicken Sie auf Übernehmen. Dadurch wird der neue Host erstellt und außerdem ein neues verwaltetes Gerät mit demselben Namen erstellt.
3.5 Vertrauenswürdige Netzwerke
Die Funktion „Vertrauenswürdige Netzwerke“ bietet Ihnen die Möglichkeit, IP-Adressen zu benennen, unter denen sich Benutzer befinden müssen, um Zugriff auf die seriellen Ports des Konsolenservers zu haben:
42

Bedienungsanleitung
1. Wählen Sie Seriell und Netzwerk > Vertrauenswürdige Netzwerke. 2. Um ein neues vertrauenswürdiges Netzwerk hinzuzufügen, wählen Sie Regel hinzufügen. Mangels Regeln besteht kein Zugriff
Einschränkungen hinsichtlich der IP-Adresse, unter der sich Benutzer befinden können.

3. Wählen Sie die zugänglichen Ports aus, auf die die neue Regel angewendet werden soll
4. Geben Sie die Netzwerkadresse des Subnetzes ein, dem der Zugriff gestattet werden soll
5. Geben Sie den Adressbereich an, der zugelassen werden soll, indem Sie eine Netzwerkmaske für den zulässigen IP-Bereich eingeben, z. B
· Um allen Benutzern mit einer bestimmten Netzwerkverbindung der Klasse C den Zugang zum angegebenen Port zu ermöglichen, fügen Sie die folgende neue Regel für vertrauenswürdige Netzwerke hinzu:

IP-Adresse des Netzwerks

204.15.5.0

Subnet Mask

255.255.255.0

· So erlauben Sie nur einem Benutzer, der sich an einer bestimmten IP-Adresse befindet, die Verbindung:

IP-Adresse des Netzwerks

204.15.5.13

Subnet Mask

255.255.255.255

· Um allen Benutzern, die innerhalb eines bestimmten Bereichs von IP-Adressen (z. B. einer der dreißig Adressen von 204.15.5.129 bis 204.15.5.158) arbeiten, eine Verbindung zum angegebenen Port zu ermöglichen:

Host-/Subnetzadresse

204.15.5.128

Subnet Mask

255.255.255.224

6. Klicken Sie auf Übernehmen

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
3.6 Kaskadierung der seriellen Schnittstelle
Mit Cascaded Ports können Sie verteilte Konsolenserver gruppieren, sodass eine große Anzahl serieller Ports (bis zu 1000) konfiguriert und über eine IP-Adresse aufgerufen und über eine Verwaltungskonsole verwaltet werden kann. Ein Konsolenserver, der Primärserver, steuert andere Konsolenserver als Knoteneinheiten, und alle seriellen Ports der Knoteneinheiten erscheinen so, als wären sie Teil des Primärservers. Das Clustering von Opengear verbindet jeden Knoten über eine SSH-Verbindung mit dem Primärknoten. Dies erfolgt mithilfe der Authentifizierung mit öffentlichem Schlüssel, sodass der Primärknoten mithilfe des SSH-Schlüsselpaars (anstatt mithilfe von Kennwörtern) auf jeden Knoten zugreifen kann. Dadurch wird eine sichere, authentifizierte Kommunikation zwischen Primär- und Knotenpunkten gewährleistet, sodass die Knotenkonsolenservereinheiten lokal in einem LAN oder remote auf der ganzen Welt verteilt werden können.
3.6.1 SSH-Schlüssel automatisch generieren und hochladen Um die Authentifizierung mit öffentlichen Schlüsseln einzurichten, müssen Sie zunächst ein RSA- oder DSA-Schlüsselpaar generieren und dieses auf die Primär- und Knotenkonsolenserver hochladen. Dies kann automatisch von der Primärseite aus erfolgen:
44

Bedienungsanleitung
1. Wählen Sie System > Verwaltung auf der Verwaltungskonsole des Primärservers
2. Aktivieren Sie SSH-Schlüssel automatisch generieren. 3. Klicken Sie auf Übernehmen
Als nächstes müssen Sie auswählen, ob Schlüssel mithilfe von RSA und/oder DSA generiert werden sollen (wenn Sie unsicher sind, wählen Sie nur RSA aus). Die Generierung jedes Schlüsselsatzes dauert zwei Minuten und die neuen Schlüssel zerstören alte Schlüssel dieses Typs. Während die neue Generation im Gange ist, funktionieren Funktionen, die auf SSH-Schlüsseln basieren (z. B. Kaskadierung), möglicherweise nicht mehr, bis sie mit dem neuen Schlüsselsatz aktualisiert werden. So generieren Sie Schlüssel:
1. Aktivieren Sie die Kontrollkästchen für die Schlüssel, die Sie generieren möchten. 2. Klicken Sie auf Übernehmen
3. Sobald die neuen Schlüssel generiert wurden, klicken Sie auf den Link Klicken Sie hier, um zurückzukehren. Die Schlüssel werden hochgeladen
zu den primären und verbundenen Knoten.
3.6.2 Manuelles Generieren und Hochladen von SSH-Schlüsseln Wenn Sie über ein RSA- oder DSA-Schlüsselpaar verfügen, können Sie diese alternativ auf den primären und den Knoten-Konsolenserver hochladen. So laden Sie das Schlüsselpaar aus öffentlichem und privatem Schlüssel auf den primären Konsolenserver hoch:
1. Wählen Sie System > Verwaltung auf der Verwaltungskonsole des Primärrechners
2. Navigieren Sie zu dem Ort, an dem Sie den öffentlichen RSA- (oder DSA-)Schlüssel gespeichert haben, und laden Sie ihn in den SSH-RSA-(DSA-)Öffentlichen Schlüssel hoch
3. Navigieren Sie zum gespeicherten privaten RSA- (oder DSA-)Schlüssel und laden Sie ihn auf den SSH-RSA- (DSA-)privaten Schlüssel hoch. 4. Klicken Sie auf „Übernehmen“.
45

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
Als nächstes müssen Sie den öffentlichen Schlüssel als autorisierten Schlüssel auf dem Knoten registrieren. Im Falle eines primären Knotens mit mehreren Knoten laden Sie einen öffentlichen RSA- oder DSA-Schlüssel für jeden Knoten hoch.
1. Wählen Sie „System“ > „Verwaltung“ in der Verwaltungskonsole des Knotens. 2. Navigieren Sie zum gespeicherten öffentlichen RSA- (oder DSA-)Schlüssel und laden Sie ihn in den autorisierten SSH-Schlüssel des Knotens hoch
3. Klicken Sie auf „Übernehmen“. Der nächste Schritt besteht darin, jede neue Knoten-Primär-Verbindung mit einem Fingerabdruck zu versehen. Dieser Schritt bestätigt, dass Sie eine SSH-Sitzung mit der Person aufbauen, für die Sie sich zu halten glauben. Bei der ersten Verbindung erhält der Knoten einen Fingerabdruck vom Primärserver, der für alle zukünftigen Verbindungen verwendet wird: Um den Fingerabdruck einzurichten, melden Sie sich zunächst beim Primärserver als Root an und stellen Sie eine SSH-Verbindung zum Remote-Host des Knotens her:
# ssh remhost Sobald die SSH-Verbindung hergestellt wurde, werden Sie aufgefordert, den Schlüssel zu akzeptieren. Antworten Sie mit „Ja“ und der Fingerabdruck wird zur Liste der bekannten Hosts hinzugefügt. Wenn Sie nach einem Passwort gefragt werden, ist beim Hochladen der Schlüssel ein Problem aufgetreten. 3.6.3 Konfigurieren Sie die Knoten und ihre seriellen Ports. Beginnen Sie mit der Einrichtung der Knoten und der Konfiguration der seriellen Knotenports vom primären Konsolenserver aus:
1. Wählen Sie „Seriell & Netzwerk > Kaskadierte Ports“ in der Verwaltungskonsole des Primärservers: 2. Um Clustering-Unterstützung hinzuzufügen, wählen Sie „Knoten hinzufügen“.
Sie können keine Knoten hinzufügen, bis Sie SSH-Schlüssel generiert haben. So definieren und konfigurieren Sie einen Knoten:
46

Bedienungsanleitung
1. Geben Sie die Remote-IP-Adresse oder den DNS-Namen für den Node-Konsolenserver ein. 2. Geben Sie eine kurze Beschreibung und eine kurze Bezeichnung für den Node ein. 3. Geben Sie unter „Anzahl der Ports“ die vollständige Anzahl der seriellen Ports auf der Node-Einheit ein. 4. Klicken Sie auf „Übernehmen“. Dadurch wird der SSH-Tunnel zwischen dem primären und dem neuen Knoten eingerichtet
Im Menü „Seriell & Netzwerk > Kaskadierte Ports“ werden alle Knoten und Portnummern angezeigt, die auf dem Primärknoten zugewiesen wurden. Wenn der primäre Konsolenserver über 16 eigene Ports verfügt, werden die Ports 1–16 dem primären vorab zugewiesen, sodass dem ersten hinzugefügten Knoten die Portnummer 17 aufwärts zugewiesen wird. Sobald Sie alle Node-Konsolenserver hinzugefügt haben, sind die seriellen Node-Ports und die angeschlossenen Geräte konfigurierbar und über das Verwaltungskonsolenmenü des Primary sowie über die IP-Adresse des Primary zugänglich.
1. Wählen Sie „Seriell & Netzwerk“ > „Serieller Port“ und „Bearbeiten“, um die seriellen Ports auf dem zu konfigurieren
Knoten.
2. Wählen Sie „Seriell und Netzwerk“ > „Benutzer und Gruppen“ aus, um neue Benutzer mit Zugriffsrechten hinzuzufügen
an die seriellen Ports des Knotens (oder um die Zugriffsrechte vorhandener Benutzer zu erweitern).
3. Wählen Sie die entsprechende Option „Seriell und Netzwerk“ > „Vertrauenswürdige Netzwerke“, um die Netzwerkadressen anzugeben
kann auf die seriellen Ports des benannten Knotens zugreifen. 4. Wählen Sie die entsprechenden Warnungen und Protokollierung > Warnungen aus, um die Verbindung und den Status des Knotenports zu konfigurieren
Warnungen zur Änderung oder Musterübereinstimmung. Die auf dem Primärknoten vorgenommenen Konfigurationsänderungen werden an alle Knoten weitergegeben, wenn Sie auf „Übernehmen“ klicken.
3.6.4 Verwalten von Knoten Der Primärknoten hat die Kontrolle über die seriellen Knotenanschlüsse. Zum BeispielampWenn Sie die Zugriffsrechte eines Benutzers ändern oder eine Einstellung für die serielle Schnittstelle auf dem Primärserver bearbeiten, wird die Konfiguration aktualisiert files werden parallel an jeden Knoten gesendet. Jeder Knoten nimmt Änderungen an seinen lokalen Konfigurationen vor (und nimmt nur Änderungen vor, die sich auf seine jeweiligen seriellen Anschlüsse beziehen). Sie können die lokale Knotenverwaltungskonsole verwenden, um die Einstellungen an jedem seriellen Knotenanschluss zu ändern (z. B. die Baudraten zu ändern). Diese Änderungen werden überschrieben, wenn der Primärserver das nächste Mal eine Konfiguration sendet file aktualisieren. Während der Primärserver die Kontrolle über alle Funktionen im Zusammenhang mit der seriellen Schnittstelle des Knotens hat, ist er nicht primär über die Hostverbindungen des Knotennetzwerks oder über das Knotenkonsolenserversystem. Knotenfunktionen wie IP-, SMTP- und SNMP-Einstellungen, Datum und Uhrzeit sowie DHCP-Server müssen durch direkten Zugriff auf jeden Knoten verwaltet werden und diese Funktionen werden nicht überschrieben, wenn Konfigurationsänderungen vom Primärknoten weitergegeben werden. Der Netzwerkhost und die IPMI-Einstellungen des Knotens müssen an jedem Knoten konfiguriert werden.
47

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
Die Verwaltungskonsole des Primärservers bietet eine konsolidierte view der Einstellungen für die eigenen und die seriellen Schnittstellen des gesamten Knotens. Das Primary bietet keine vollständige Konsolidierung view. Zum BeispielampWenn Sie also herausfinden möchten, wer an kaskadierten seriellen Ports vom Primärserver aus angemeldet ist, sehen Sie, dass unter Status > Aktive Benutzer nur die Benutzer angezeigt werden, die an den Ports des Primärservers aktiv sind. Daher müssen Sie möglicherweise benutzerdefinierte Skripts schreiben, um dies bereitzustellen view.
3.7 Umleitung serieller Ports (PortShare)
Die Port Share-Software von Opengear stellt die virtuelle serielle Port-Technologie bereit, die Ihre Windows- und Linux-Anwendungen benötigen, um entfernte serielle Ports zu öffnen und die Daten von seriellen Geräten zu lesen, die mit Ihrem Konsolenserver verbunden sind.
PortShare wird kostenlos mit jedem Konsolenserver geliefert und Sie sind berechtigt, PortShare auf einem oder mehreren Computern zu installieren, um auf jedes serielle Gerät zuzugreifen, das an einen Konsolenserver-Port angeschlossen ist. PortShare für Windows Die portshare_setup.exe kann von der FTP-Site heruntergeladen werden. Einzelheiten zur Installation und zum Betrieb finden Sie im PortShare-Benutzerhandbuch und im Quick Start. PortShare für Linux Der PortShare-Treiber für Linux ordnet den seriellen Port des Konsolenservers einem Host-Try-Port zu. Opengear hat den Portshare-Serial-Client als Open-Source-Dienstprogramm für Linux, AIX, HPUX, SCO, Solaris und UnixWare veröffentlicht. Dieses Dienstprogramm kann von der FTP-Site heruntergeladen werden. Mit diesem seriellen Port-Redirector von PortShare können Sie ein mit dem Remote-Konsolenserver verbundenes serielles Gerät so verwenden, als ob es mit Ihrem lokalen seriellen Port verbunden wäre. Der Portshare-Serial-Client erstellt einen Pseudo-TTY-Port, verbindet die serielle Anwendung mit dem Pseudo-TTY-Port, empfängt Daten vom Pseudo-TTY-Port, überträgt sie über das Netzwerk an den Konsolenserver und empfängt Daten vom Konsolenserver über das Netzwerk und überträgt sie zum Pseudo-TTY-Port. Die .tar file kann von der FTP-Site heruntergeladen werden. Einzelheiten zur Installation und zum Betrieb finden Sie im PortShare-Benutzerhandbuch und im Quick Start.
48

Bedienungsanleitung
3.8 verwaltete Geräte
Auf der Seite „Verwaltete Geräte“ wird eine konsolidierte Übersicht angezeigt view aller Verbindungen zu einem Gerät, auf die über den Konsolenserver zugegriffen und diese überwacht werden können. Zu view Um die Verbindungen zu den Geräten herzustellen, wählen Sie Seriell und Netzwerk > Verwaltete Geräte
Auf diesem Bildschirm werden alle verwalteten Geräte mit ihrer Beschreibung/Anmerkungen und Listen aller konfigurierten Verbindungen angezeigt:
· Nummer des seriellen Ports (bei serieller Verbindung) oder · USB (bei USB-Verbindung) · IP-Adresse (bei Netzwerkverbindung) · Angaben zur Strom-PDU/-Steckdose (falls zutreffend) und etwaige USV-Verbindungen. Geräte wie Server können über mehr als einen Stromanschluss verfügen (z. B. doppelte Stromversorgung) und mehr als eine Netzwerkverbindung (z. B. für BMC/Serviceprozessor). Alle Benutzer können view Sie können diese verwalteten Geräteverbindungen verwalten, indem Sie „Verwalten“ > „Geräte“ auswählen. Administratoren können diese verwalteten Geräte und ihre Verbindungen auch bearbeiten und hinzufügen/löschen. So bearbeiten Sie ein vorhandenes Gerät und fügen eine neue Verbindung hinzu: 1. Wählen Sie Bearbeiten unter Seriell und Netzwerk > Verwaltete Geräte und klicken Sie auf Verbindung hinzufügen. 2. Wählen Sie den Verbindungstyp für die neue Verbindung (seriell, Netzwerkhost, USV oder RPC) und wählen Sie
die Verbindung aus der angezeigten Liste der konfigurierten nicht zugewiesenen Hosts/Ports/Ausgänge
49

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
So fügen Sie ein neues mit dem Netzwerk verbundenes verwaltetes Gerät hinzu: 1. Der Administrator fügt ein neues mit dem Netzwerk verbundenes verwaltetes Gerät hinzu, indem er „Host hinzufügen“ im Menü „Seriell & Netzwerk“ > „Netzwerkhost“ verwendet. Dadurch wird automatisch ein entsprechendes neues verwaltetes Gerät erstellt. 2. Wenn Sie ein neues mit dem Netzwerk verbundenes RPC- oder USV-Stromversorgungsgerät hinzufügen, richten Sie einen Netzwerkhost ein und bezeichnen ihn als RPC oder USV. Gehen Sie zu RPC-Verbindungen oder UPS-Verbindungen, um die entsprechende Verbindung zu konfigurieren. Das entsprechende neue verwaltete Gerät mit dem gleichen Namen/der gleichen Beschreibung wie der RPC/UPS-Host wird erst erstellt, wenn dieser Verbindungsschritt abgeschlossen ist.
HINWEIS Die Steckdosennamen auf der neu erstellten PDU lauten Steckdose 1 und Steckdose 2. Wenn Sie ein bestimmtes verwaltetes Gerät anschließen, das Strom aus der Steckdose bezieht, erhält die Steckdose den Namen des verwalteten Geräts mit Stromversorgung.
So fügen Sie ein neues seriell verbundenes verwaltetes Gerät hinzu: 1. Konfigurieren Sie den seriellen Anschluss über das Menü „Seriell und Netzwerk > Serieller Anschluss“ (siehe Abschnitt 3.1 „Seriellen Anschluss konfigurieren“). 2. Wählen Sie „Seriell und Netzwerk“ > „Verwaltete Geräte“ und klicken Sie auf „Gerät hinzufügen“. 3. Geben Sie ein Gerät ein Name und Beschreibung für das verwaltete Gerät

4. Klicken Sie auf Verbindung hinzufügen und wählen Sie Seriell und den Port aus, der mit dem verwalteten Gerät verbunden ist

5. Um eine USV/RPC-Stromverbindung oder Netzwerkverbindung oder eine andere serielle Verbindung hinzuzufügen, klicken Sie auf Verbindung hinzufügen

6. Klicken Sie auf Übernehmen

NOTIZ

Um ein seriell angeschlossenes RPC-USV- oder EMD-Gerät einzurichten, konfigurieren Sie den seriellen Anschluss, weisen Sie ihn als Gerät aus und geben Sie unter Seriell und Netzwerk > RPC-Verbindungen (oder USV-Verbindungen oder Umgebung) einen Namen und eine Beschreibung für dieses Gerät ein. Dadurch wird ein entsprechendes neues verwaltetes Gerät mit demselben Namen/dieselben Beschreibung wie der RPC/UPS-Host erstellt. Die Steckdosennamen auf dieser neu erstellten PDU lauten Steckdose 1 und Steckdose 2. Wenn Sie ein verwaltetes Gerät anschließen, das Strom aus der Steckdose bezieht, erhält die Steckdose den Namen des mit Strom versorgten verwalteten Geräts.

3.9 IPsec-VPN
ACM7000, CM7100 und IM7200 enthalten Openswan, eine Linux-Implementierung der IPsec-Protokolle (IP Security), die zur Konfiguration eines Virtual Private Network (VPN) verwendet werden kann. Das VPN ermöglicht mehreren Standorten oder Remote-Administratoren den sicheren Zugriff auf den Konsolenserver und die verwalteten Geräte über das Internet.

Bedienungsanleitung
Der Administrator kann verschlüsselte, authentifizierte VPN-Verbindungen zwischen an entfernten Standorten verteilten Konsolenservern und einem VPN-Gateway (z. B. einem Cisco-Router mit IOS IPsec) in seinem zentralen Büronetzwerk einrichten:
· Benutzer in der Zentrale können sicher auf die Remote-Konsolenserver und angeschlossenen seriellen Konsolengeräte und -maschinen im Management-LAN-Subnetz am Remote-Standort zugreifen, als wären sie lokal
· Alle diese Remote-Konsolenserver können mit einem CMS6000 im zentralen Netzwerk überwacht werden. · Mit serieller Überbrückung können serielle Daten vom Controller am zentralen Bürorechner sicher übertragen werden
mit den seriell gesteuerten Geräten an den Remote-Standorten verbunden. Der Außendienstadministrator kann einen VPN-IPsec-Software-Client verwenden, um remote auf den Konsolenserver und alle Computer im Management-LAN-Subnetz am Remote-Standort zuzugreifen
Die Konfiguration von IPsec ist recht komplex, daher bietet Opengear eine GUI-Schnittstelle für die grundlegende Einrichtung, wie unten beschrieben. So aktivieren Sie das VPN-Gateway:
1. Wählen Sie IPsec VPN im Menü „Seriell & Netzwerke“.
2. Klicken Sie auf „Hinzufügen“ und füllen Sie den Bildschirm „IPsec-Tunnel hinzufügen“ aus. 3. Geben Sie einen beliebigen beschreibenden Namen ein, um den IPsec-Tunnel zu identifizieren, den Sie hinzufügen möchten, z
WestStOutlet-VPN
51

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
4. Wählen Sie die zu verwendende Authentifizierungsmethode aus, entweder digitale RSA-Signaturen oder ein Shared Secret (PSK). o Wenn Sie RSA auswählen, werden Sie aufgefordert, hier zu klicken, um Schlüssel zu generieren. Dadurch wird ein öffentlicher RSA-Schlüssel für den Konsolenserver generiert (der linke öffentliche Schlüssel). Suchen Sie den Schlüssel, der auf dem Remote-Gateway verwendet werden soll, schneiden Sie ihn aus und fügen Sie ihn in den rechten öffentlichen Schlüssel ein
o Wenn Sie Shared Secret auswählen, geben Sie ein Pre-Shared Secret (PSK) ein. Der PSK muss mit dem am anderen Ende des Tunnels konfigurierten PSK übereinstimmen
5. Wählen Sie unter Authentifizierungsprotokoll das zu verwendende Authentifizierungsprotokoll aus. Entweder erfolgt die Authentifizierung als Teil der ESP-Verschlüsselung (Encapsulated Security Payload) oder separat mithilfe des AH-Protokolls (Authentication Header).
52

Bedienungsanleitung
6. Geben Sie eine linke ID und eine rechte ID ein. Dies ist die Kennung, die der lokale Host/Gateway und der Remote-Host/Gateway für die IPsec-Aushandlung und -Authentifizierung verwenden. Jede ID muss ein @ enthalten und kann einen vollständig qualifizierten Domänennamen enthalten (z. B. left@example.com)
7. Geben Sie als linke Adresse die öffentliche IP- oder DNS-Adresse dieses Opengear VPN-Gateways ein. Sie können dieses Feld leer lassen, um die Schnittstelle der Standardroute zu verwenden
8. Geben Sie unter Richtige Adresse die öffentliche IP- oder DNS-Adresse des entfernten Endes des Tunnels ein (nur wenn das entfernte Ende eine statische oder DynDNS-Adresse hat). Andernfalls lassen Sie dieses Feld leer
9. Wenn das Opengear VPN-Gateway als VPN-Gateway zu einem lokalen Subnetz dient (z. B. ist auf dem Konsolenserver ein Management-LAN konfiguriert), geben Sie die Details zum privaten Subnetz in „Linkes Subnetz“ ein. Verwenden Sie die CIDR-Notation (wobei auf die IP-Adressnummer ein Schrägstrich und die Anzahl der „Eins“-Bits in der binären Notation der Netzmaske folgen). Zum Beispielample, 192.168.0.0/24 gibt eine IP-Adresse an, bei der die ersten 24 Bits als Netzwerkadresse verwendet werden. Dies ist dasselbe wie 255.255.255.0. Wenn der VPN-Zugriff nur auf den Konsolenserver und die angeschlossenen seriellen Konsolengeräte erfolgt, lassen Sie das Feld „Linkes Subnetz“ leer
10. Wenn am entfernten Ende ein VPN-Gateway vorhanden ist, geben Sie die Details zum privaten Subnetz unter „Rechtes Subnetz“ ein. Verwenden Sie die CIDR-Notation und lassen Sie das Feld leer, wenn nur ein Remote-Host vorhanden ist
11. Wählen Sie „Tunnel initiieren“, wenn die Tunnelverbindung vom linken Konsolenserver aus initiiert werden soll. Dies kann nur vom VPN-Gateway (links) initiiert werden, wenn die Gegenstelle mit einer statischen (oder DynDNS) IP-Adresse konfiguriert ist
12. Klicken Sie auf „Übernehmen“, um die Änderungen zu speichern
HINWEIS Die auf dem Konsolenserver (als linker oder lokaler Host bezeichnet) eingerichteten Konfigurationsdetails müssen mit den Einstellungen übereinstimmen, die bei der Konfiguration des Remote-Hosts/Gateways (rechts) oder des Software-Clients eingegeben wurden. Einzelheiten zur Konfiguration dieser Remote-Enden finden Sie unter http://www.opengear.com/faq.html
3.10 OpenVPN
ACM7000, CM7100 und IM7200 mit Firmware V3.2 und höher enthalten OpenVPN. OpenVPN nutzt die OpenSSL-Bibliothek zur Verschlüsselung, Authentifizierung und Zertifizierung, was bedeutet, dass es SSL/TSL (Secure Socket Layer/Transport Layer Security) für den Schlüsselaustausch verwendet und sowohl Daten als auch Kontrollkanäle verschlüsseln kann. Die Verwendung von OpenVPN ermöglicht den Aufbau plattformübergreifender Punkt-zu-Punkt-VPNs mithilfe von X.509 PKI (Public Key Infrastructure) oder benutzerdefinierter Konfiguration fileS. OpenVPN ermöglicht das sichere Tunneln von Daten über einen einzelnen TCP/UDP-Port über ein ungesichertes Netzwerk und bietet so einen sicheren Zugriff auf mehrere Standorte und eine sichere Fernverwaltung auf einem Konsolenserver über das Internet. OpenVPN ermöglicht außerdem die Verwendung dynamischer IP-Adressen sowohl durch den Server als auch durch den Client und sorgt so für Client-Mobilität. Zum Beispielample, kann ein OpenVPN-Tunnel zwischen einem Roaming-Windows-Client und einem Opengear-Konsolenserver innerhalb eines Rechenzentrums eingerichtet werden. Die Konfiguration von OpenVPN kann komplex sein, daher bietet Opengear eine GUI-Schnittstelle für die grundlegende Einrichtung, wie unten beschrieben. Ausführlichere Informationen finden Sie unter http://www.openvpn.net
3.10.1 OpenVPN aktivieren 1. Wählen Sie OpenVPN im Menü „Seriell & Netzwerke“.
53

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
2. Klicken Sie auf „Hinzufügen“ und füllen Sie den Bildschirm „OpenVPN-Tunnel hinzufügen“ aus. 3. Geben Sie einen beliebigen beschreibenden Namen ein, um den OpenVPN-Tunnel zu identifizieren, den Sie hinzufügen möchten, z. Bample
NorthStOutlet-VPN
4. Wählen Sie die zu verwendende Authentifizierungsmethode aus. Um sich mithilfe von Zertifikaten zu authentifizieren, wählen Sie „PKI (X.509-Zertifikate)“ oder wählen Sie „Benutzerdefinierte Konfiguration“, um eine benutzerdefinierte Konfiguration hochzuladen fileS. Benutzerdefinierte Konfigurationen müssen in /etc/config gespeichert werden.
HINWEIS Wenn Sie PKI auswählen, richten Sie Folgendes ein: Separates Zertifikat (auch als öffentlicher Schlüssel bezeichnet). Dieses Zertifikat File ist ein *.crt file Geben Sie den privaten Schlüssel für den Server und jeden Client ein. Dieser private Schlüssel File ist ein *.key file Typ
Zertifikat und Schlüssel der primären Zertifizierungsstelle (CA), die zum Signieren jedes Servers verwendet werden
undKundenzertifikate. Dieses Root-CA-Zertifikat ist ein *.crt file Typ Für einen Server benötigen Sie möglicherweise auch dh1024.pem (Diffie-Hellman-Parameter). Eine Anleitung zur grundlegenden RSA-Schlüsselverwaltung finden Sie unter http://openvpn.net/easyrsa.html. Für alternative Authentifizierungsmethoden siehe http://openvpn.net/index.php/documentation/howto.html#auth.
5. Wählen Sie den zu verwendenden Gerätetreiber aus, entweder Tun-IP oder Tap-Ethernet. Die Treiber TUN (Netzwerktunnel) und TAP (Netzwerkabgriff) sind virtuelle Netzwerktreiber, die IP-Tunneling bzw. Ethernet-Tunneling unterstützen. TUN und TAP sind Teil des Linux-Kernels.
6. Wählen Sie entweder UDP oder TCP als Protokoll. UDP ist das standardmäßige und bevorzugte Protokoll für OpenVPN. 7. Aktivieren oder deaktivieren Sie die Schaltfläche „Komprimierung“, um die Komprimierung zu aktivieren oder zu deaktivieren. 8. Geben Sie im Tunnelmodus an, ob dies das Client- oder Serverende des Tunnels ist. Beim Ausführen als
Als Server unterstützt der Konsolenserver mehrere Clients, die über denselben Port eine Verbindung zum VPN-Server herstellen.
54

Bedienungsanleitung
3.10.2 Als Server oder Client konfigurieren
1. Füllen Sie je nach ausgewähltem Tunnelmodus die Clientdetails oder Serverdetails aus. o Wenn „Client“ ausgewählt wurde, ist die primäre Serveradresse die Adresse des OpenVPN-Servers. o Wenn Server ausgewählt wurde, geben Sie die IP-Pool-Netzwerkadresse und die IP-Pool-Netzwerkmaske für den IP-Pool ein. Das durch die IP-Pool-Netzwerkadresse/-maske definierte Netzwerk wird verwendet, um die Adressen für die Verbindung von Clients bereitzustellen.
2. Klicken Sie auf „Übernehmen“, um die Änderungen zu speichern
55

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
3. Um Authentifizierungszertifikate einzugeben und files, wählen Sie OpenVPN verwalten Files-Registerkarte. Laden Sie relevante Authentifizierungszertifikate hoch oder suchen Sie nach ihnen files.
4. Übernehmen, um die Änderungen zu speichern. Gerettet files werden auf der rechten Seite der Schaltfläche „Hochladen“ in Rot angezeigt.
5. Um OpenVPN zu aktivieren, bearbeiten Sie den OpenVPN-Tunnel
56

Bedienungsanleitung
6. Aktivieren Sie die Schaltfläche „Aktiviert“. 7. Übernehmen, um die Änderungen zu speichern. HINWEIS Stellen Sie sicher, dass die Systemzeit des Konsolenservers korrekt ist, wenn Sie mit OpenVPN arbeiten, um dies zu vermeiden
Authentifizierungsprobleme.
8. Wählen Sie im Menü „Status“ die Option „Statistik“, um zu überprüfen, ob der Tunnel betriebsbereit ist.
57

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
3.10.3 Einrichtung von Windows OpenVPN-Client und -Server In diesem Abschnitt wird die Installation und Konfiguration eines Windows OpenVPN-Clients oder eines Windows OpenVPN-Servers sowie die Einrichtung einer VPN-Verbindung zu einem Konsolenserver beschrieben. Konsolenserver generieren die Windows-Clientkonfiguration automatisch über die GUI für Pre-Shared Secret (statischer Schlüssel). File) Konfigurationen.
Alternativ kann die OpenVPN-GUI für Windows-Software (die das Standard-OpenVPN-Paket plus eine Windows-GUI enthält) von http://openvpn.net heruntergeladen werden. Nach der Installation auf dem Windows-Computer wird dem Benachrichtigungsbereich auf der rechten Seite der Taskleiste ein OpenVPN-Symbol hinzugefügt. Klicken Sie mit der rechten Maustaste auf dieses Symbol, um VPN-Verbindungen zu starten und zu stoppen, Konfigurationen zu bearbeiten und view Protokolle.
Wenn die OpenVPN-Software ausgeführt wird, wird das C:Program FileDer Ordner „sOpenVPNconfig“ wird nach .opvn durchsucht fileS. Dieser Ordner wird erneut auf neue Konfiguration überprüft files, wenn mit der rechten Maustaste auf das OpenVPN-GUI-Symbol geklickt wird. Erstellen Sie nach der Installation von OpenVPN eine Konfiguration file:
58

Bedienungsanleitung

Erstellen Sie mit einem Texteditor eine xxxx.ovpn file und in C:Programm speichern FilesOpenVPNconfig. Zum Beispielample, C:Programm FilesOpenVPNconfigclient.ovpn
Ein ExampDatei einer OpenVPN-Windows-Clientkonfiguration file wird unten gezeigt:
# Beschreibung: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind persist-key persist- tun comp-lzo
Ein ExampDatei einer OpenVPN Windows Server-Konfiguration file wird unten gezeigt:
Server 10.100.10.0 255.255.255.0 Port 1194 Keepalive 10 120 Proto UDP MSSFix 1400 Persist-Key Persist-Tun Dev Tun Ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt Schlüssel c:\openvpnkeys\server. Schlüssel dh c:\openvpnkeys\dh.pem comp-lzo Verb 1 Syslog IM4216_OpenVPN_Server
Die Windows-Client/Server-Konfiguration file Optionen sind:

Optionen #Beschreibung: Client-Server-Proto-UDP-Proto-TCP-MSSfix Verb
dev tun dev tap

Beschreibung Dies ist ein Kommentar, der die Konfiguration beschreibt. Kommentarzeilen beginnen mit „#“ und werden von OpenVPN ignoriert. Geben Sie an, ob es sich um eine Client- oder Serverkonfiguration handelt file. In der Serverkonfiguration file, Definieren Sie den IP-Adresspool und die Netzmaske. Zum Beispielample, Server 10.100.10.0 255.255.255.0 Stellen Sie das Protokoll auf UDP oder TCP ein. Client und Server müssen die gleichen Einstellungen verwenden. Mssfix legt die maximale Größe des Pakets fest. Dies ist für UDP nur dann sinnvoll, wenn Probleme auftreten.
Protokoll einstellen file Ausführlichkeitsgrad. Der Ausführlichkeitsgrad des Protokolls kann von 0 (Minimum) bis 15 (Maximum) eingestellt werden. Zum Beispielample, 0 = stumm, außer bei schwerwiegenden Fehlern 3 = mittlere Ausgabe, gut für den allgemeinen Gebrauch 5 = hilft beim Debuggen von Verbindungsproblemen 9 = ausführlich, hervorragend zur Fehlerbehebung Wählen Sie „dev tun“, um einen gerouteten IP-Tunnel zu erstellen, oder „dev tap“, um ihn zu erstellen ein Ethernet-Tunnel. Client und Server müssen die gleichen Einstellungen verwenden.

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration

Fernbedienung Port Keepalive
HTTP-Proxy cafile Name>
zertfile Name>
Schlüsselfile Name>
dhfile Name> Nobind persist-key persist-tun cipher BF-CBC Blowfish (Standard) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

Der Hostname/die IP des OpenVPN-Servers bei Betrieb als Client. Geben Sie entweder den DNS-Hostnamen oder die statische IP-Adresse des Servers ein. Der UDP/TCP-Port des Servers. Keepalive verwendet Ping, um die OpenVPN-Sitzung aufrechtzuerhalten. „Keepalive 10 120“ sendet alle 10 Sekunden einen Ping und geht davon aus, dass der Remote-Peer ausgefallen ist, wenn über einen Zeitraum von 120 Sekunden kein Ping empfangen wurde. Wenn für den Zugriff auf den Server ein Proxy erforderlich ist, geben Sie den DNS-Namen oder die IP-Adresse des Proxyservers und die Portnummer ein. Geben Sie das CA-Zertifikat ein file Name und Ort. Das gleiche CA-Zertifikat file kann vom Server und allen Clients genutzt werden. Hinweis: Stellen Sie sicher, dass jedes „“ im Verzeichnispfad durch „\“ ersetzt wird. Zum Beispielample, c:openvpnkeysca.crt wird zu c:\openvpnkeys\ca.crt. Geben Sie das Zertifikat des Clients oder Servers ein file Name und Ort. Jeder Client sollte über ein eigenes Zertifikat und einen eigenen Schlüssel verfügen fileS. Hinweis: Stellen Sie sicher, dass jedes „“ im Verzeichnispfad durch „\“ ersetzt wird. Geben Sie die ein file Name und Speicherort des Client- oder Serverschlüssels. Jeder Client sollte über ein eigenes Zertifikat und einen eigenen Schlüssel verfügen fileS. Hinweis: Stellen Sie sicher, dass jedes „“ im Verzeichnispfad durch „\“ ersetzt wird. Dies wird nur vom Server verwendet. Geben Sie den Pfad zum Schlüssel mit den Diffie-Hellman-Parametern ein. „Nobind“ wird verwendet, wenn Clients keine Bindung an eine lokale Adresse oder eine bestimmte lokale Portnummer benötigen. Dies ist bei den meisten Client-Konfigurationen der Fall. Diese Option verhindert das Neuladen von Schlüsseln bei Neustarts. Diese Option verhindert das Schließen und erneute Öffnen von TUN/TAP-Geräten nach Neustarts. Wählen Sie eine kryptografische Verschlüsselung aus. Client und Server müssen die gleichen Einstellungen verwenden.
Aktivieren Sie die Komprimierung für den OpenVPN-Link. Dies muss sowohl auf dem Client als auch auf dem Server aktiviert werden. Standardmäßig befinden sich Protokolle im Syslog oder, wenn es als Dienst unter Windows ausgeführt wird, im Programm FilesOpenVPNlog-Verzeichnis.

Zum Initiieren des OpenVPN-Tunnels nach der Erstellung der Client/Server-Konfiguration files: 1. Klicken Sie mit der rechten Maustaste auf das OpenVPN-Symbol im Benachrichtigungsbereich. 2. Wählen Sie die neu erstellte Client- oder Serverkonfiguration aus. 3. Klicken Sie auf Verbinden

4. Das Protokoll file wird angezeigt, während die Verbindung hergestellt wird
60

Bedienungsanleitung
5. Sobald die Verbindung hergestellt ist, zeigt das OpenVPN-Symbol eine Meldung an, die auf eine erfolgreiche Verbindung und die zugewiesene IP hinweist. Diese Informationen sowie der Zeitpunkt des Verbindungsaufbaus sind durch Scrollen über das OpenVPN-Symbol verfügbar.
3.11 PPTP-VPN
Konsolenserver umfassen einen PPTP-Server (Point-to-Point Tunneling Protocol). PPTP wird für die Kommunikation über eine physische oder virtuelle serielle Verbindung verwendet. Die PPP-Endpunkte definieren eine virtuelle IP-Adresse für sich selbst. Mit diesen IP-Adressen als Gateway können Routen zu Netzwerken definiert werden, was dazu führt, dass Datenverkehr über den Tunnel gesendet wird. PPTP baut einen Tunnel zwischen den physischen PPP-Endpunkten auf und transportiert Daten sicher über den Tunnel.
Die Stärke von PPTP liegt in der einfachen Konfiguration und Integration in die bestehende Microsoft-Infrastruktur. Es wird im Allgemeinen für die Verbindung einzelner Remote-Windows-Clients verwendet. Wenn Sie Ihren tragbaren Computer auf eine Geschäftsreise mitnehmen, können Sie eine lokale Nummer wählen, um eine Verbindung zu Ihrem Internet-Zugangsdienstanbieter (ISP) herzustellen, eine zweite Verbindung (Tunnel) zu Ihrem Büronetzwerk über das Internet herstellen und denselben Zugriff auf Ihr Büronetzwerk haben Unternehmensnetzwerk, als ob Sie direkt von Ihrem Büro aus verbunden wären. Telearbeiter können auch einen VPN-Tunnel über ihr Kabelmodem oder DSL-Verbindungen zu ihrem lokalen ISP einrichten.
61

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
So richten Sie eine PPTP-Verbindung von einem Remote-Windows-Client zu Ihrer Opengear-Appliance und Ihrem lokalen Netzwerk ein:
1. Aktivieren und konfigurieren Sie den PPTP-VPN-Server auf Ihrer Opengear-Appliance. 2. Richten Sie VPN-Benutzerkonten auf der Opengear-Appliance ein und aktivieren Sie die entsprechenden
Authentifizierung 3. Konfigurieren Sie die VPN-Clients an den Gegenstellen. Der Client benötigt keine spezielle Software
Der PPTP-Server unterstützt die Standard-PPTP-Client-Software, die in Windows NT und höher enthalten ist. 4. Stellen Sie eine Verbindung zum Remote-VPN her. 3.11.1 Aktivieren Sie den PPTP-VPN-Server. 1. Wählen Sie PPTP VPN im Menü „Seriell & Netzwerke“.
2. Aktivieren Sie das Kontrollkästchen Aktivieren, um den PPTP-Server zu aktivieren. 3. Wählen Sie die erforderliche Mindestauthentifizierung aus. Remote-Benutzern, die dies versuchen, wird der Zugriff verweigert
Stellen Sie eine Verbindung mit einem Authentifizierungsschema her, das schwächer als das ausgewählte Schema ist. Die Schemata werden im Folgenden beschrieben, vom stärksten zum schwächsten. · Verschlüsselte Authentifizierung (MS-CHAP v2): Der stärkste zu verwendende Authentifizierungstyp; das ist
die empfohlene Option · Schwach verschlüsselte Authentifizierung (CHAP): Dies ist die schwächste Art von verschlüsseltem Passwort
Authentifizierung zu verwenden. Es wird nicht empfohlen, dass sich Clients über diese Verbindung verbinden, da sie nur sehr geringen Passwortschutz bietet. Beachten Sie außerdem, dass Clients, die eine Verbindung über CHAP herstellen, den Datenverkehr nicht verschlüsseln können
62

Bedienungsanleitung
· Unverschlüsselte Authentifizierung (PAP): Dies ist eine Klartext-Passwortauthentifizierung. Bei dieser Art der Authentifizierung wird das Client-Passwort unverschlüsselt übertragen.
· Keine 4. Wählen Sie die erforderliche Verschlüsselungsstufe aus. Remote-Benutzern, die versuchen, eine Verbindung herzustellen, wird der Zugriff verweigert
die diese Verschlüsselungsstufe nicht verwenden. 5. Geben Sie unter Lokale Adresse die IP-Adresse ein, die dem Serverende der VPN-Verbindung zugewiesen werden soll. 6. Geben Sie unter Remote-Adressen den Pool von IP-Adressen ein, die dem VPN des eingehenden Clients zugewiesen werden sollen
Verbindungen (z. B. 192.168.1.10-20). Dies muss eine freie IP-Adresse oder ein Adressbereich aus dem Netzwerk sein, dem Remote-Benutzer zugewiesen werden, während sie mit der Opengear-Appliance verbunden sind. 7. Geben Sie den gewünschten Wert der Maximum Transmission Unit (MTU) für die PPTP-Schnittstellen in das MTU-Feld ein (standardmäßig). 1400) 8. Geben Sie im Feld „DNS-Server“ die IP-Adresse des DNS-Servers ein, der den verbindenden PPTP-Clients IP-Adressen zuweist. 9. Geben Sie im Feld „WINS-Server“ die IP-Adresse des WINS-Servers ein, der den verbindenden PPTP-Clients IP-Adressen zuweist 10. Aktivieren Sie die ausführliche Protokollierung, um das Debuggen von Verbindungsproblemen zu unterstützen. 11. Klicken Sie auf „Einstellungen übernehmen“. 3.11.2 Einen PPTP-Benutzer hinzufügen. 1. Wählen Sie „Benutzer und Gruppen“ im Menü „Seriell und Netzwerke“ und füllen Sie die Felder wie in Abschnitt 3.2 beschrieben aus. 2. Stellen Sie sicher, dass die pptpd-Gruppe überprüft wurde, um den Zugriff auf den PPTP-VPN-Server zu ermöglichen. Hinweis – Benutzer in dieser Gruppe haben ihre Passwörter im Klartext gespeichert. 3. Notieren Sie sich den Benutzernamen und das Passwort für den Fall, dass Sie eine Verbindung zur VPN-Verbindung herstellen müssen. 4. Klicken Sie auf „Übernehmen“.
63

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
3.11.3 Einrichten eines Remote-PPTP-Clients Stellen Sie sicher, dass der Remote-VPN-Client-PC über eine Internetverbindung verfügt. Um eine VPN-Verbindung über das Internet herzustellen, müssen Sie zwei Netzwerkverbindungen einrichten. Eine Verbindung ist für den ISP und die andere Verbindung für den VPN-Tunnel zur Opengear-Appliance. HINWEIS Mit diesem Verfahren wird ein PPTP-Client im Windows Professional-Betriebssystem eingerichtet. Die Schritte
kann je nach Netzwerkzugriff oder wenn Sie eine alternative Windows-Version verwenden, leicht variieren. Ausführlichere Anweisungen finden Sie bei Microsoft web Website. 1. Melden Sie sich mit Administratorrechten bei Ihrem Windows-Client an. 2. Wählen Sie im Netzwerk- und Freigabecenter in der Systemsteuerung „Netzwerkverbindungen“ und erstellen Sie eine neue Verbindung
64

Bedienungsanleitung
3. Wählen Sie „Meine Internetverbindung (VPN) verwenden“ und geben Sie die IP-Adresse der Opengear-Appliance ein. Um Remote-VPN-Clients mit dem lokalen Netzwerk zu verbinden, müssen Sie den Benutzernamen und das Passwort für das von Ihnen hinzugefügte PPTP-Konto sowie die Internet-IP kennen Adresse der Opengear-Appliance. Wenn Ihr ISP Ihnen keine statische IP-Adresse zugewiesen hat, sollten Sie die Verwendung eines dynamischen DNS-Dienstes in Betracht ziehen. Andernfalls müssen Sie die PPTP-Client-Konfiguration jedes Mal ändern, wenn sich Ihre Internet-IP-Adresse ändert.
65

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration

3.12 Zuhause anrufen
Alle Konsolenserver verfügen über die Call-Home-Funktion, die den Aufbau eines sicheren SSH-Tunnels vom Konsolenserver zu einem zentralen Opengear Lighthouse initiiert. Der Konsolenserver registriert sich als Kandidat im Lighthouse. Sobald es dort akzeptiert wird, wird es zu einem verwalteten Konsolenserver.
Lighthouse überwacht den Managed Console Server und Administratoren können über Lighthouse auf den Remote Managed Console Server zugreifen. Dieser Zugriff ist auch dann verfügbar, wenn sich der Remote-Konsolenserver hinter einer Firewall eines Drittanbieters befindet oder über private, nicht routbare IP-Adressen verfügt.

NOTIZ

Lighthouse unterhält mit öffentlichen Schlüsseln authentifizierte SSH-Verbindungen zu jedem seiner verwalteten Konsolenserver. Diese Verbindungen werden für die Überwachung, Steuerung und den Zugriff auf die verwalteten Konsolenserver und die verwalteten Geräte verwendet, die mit dem verwalteten Konsolenserver verbunden sind.

Um lokale Konsolenserver oder Konsolenserver, die vom Lighthouse aus erreichbar sind, zu verwalten, werden die SSH-Verbindungen von Lighthouse initiiert.

Um Remote-Konsolenserver oder Konsolenserver zu verwalten, die durch eine Firewall geschützt, nicht routbar oder aus anderen Gründen vom Lighthouse aus nicht erreichbar sind, werden die SSH-Verbindungen vom verwalteten Konsolenserver über eine anfängliche Call-Home-Verbindung initiiert.

Dies gewährleistet eine sichere, authentifizierte Kommunikation und ermöglicht die lokale Verteilung der Managed Console Server-Einheiten in einem LAN oder remote auf der ganzen Welt.

3.12.1 Call-Home-Kandidaten einrichten So richten Sie den Konsolenserver als Call-Home-Verwaltungskandidaten auf dem Lighthouse ein:
1. Wählen Sie „Call Home“ im Menü „Seriell & Netzwerk“.

2. Wenn Sie noch kein SSH-Schlüsselpaar für diesen Konsolenserver generiert oder hochgeladen haben, tun Sie dies, bevor Sie fortfahren
3. Klicken Sie auf Hinzufügen

4. Geben Sie die IP-Adresse oder den DNS-Namen (z. B. die dynamische DNS-Adresse) des Lighthouse ein.
5. Geben Sie das Passwort ein, das Sie auf dem CMS als Call Home-Passwort konfiguriert haben.
66

Bedienungsanleitung
6. Klicken Sie auf „Anwenden“. Diese Schritte initiieren die Call Home-Verbindung vom Konsolenserver zum Lighthouse. Dadurch wird ein SSHlistening-Port auf dem Lighthouse erstellt und der Konsolenserver als Kandidat eingerichtet.
Sobald der Kandidat im Lighthouse angenommen wurde, wird ein SSH-Tunnel zum Konsolenserver über die Call Home-Verbindung zurückgeleitet. Der Konsolenserver ist zu einem verwalteten Konsolenserver geworden und der Lighthouse kann über diesen Tunnel eine Verbindung zu ihm herstellen und ihn überwachen. 3.12.2 Call-Home-Kandidaten als Managed Console Server auf Lighthouse akzeptieren Dieser Abschnitt gibt einen Überblickview Informationen zur Konfiguration des Lighthouse zur Überwachung von Konsolen-Lighthouse-Servern, die über Call Home verbunden sind. Weitere Einzelheiten finden Sie im Lighthouse-Benutzerhandbuch:
1. Geben Sie am Lighthouse ein neues Call-Home-Passwort ein. Dieses Passwort wird zum Akzeptieren verwendet
Rufen Sie Homeconnections von Kandidaten-Konsolenservern auf
2. Der Lighthouse kann vom Konsolenserver kontaktiert werden, er muss entweder eine statische IP haben
Adresse oder, wenn DHCP verwendet wird, für die Verwendung eines dynamischen DNS-Dienstes konfiguriert werden
Der Bildschirm „Konfigurieren > Verwaltete Konsolenserver“ im Lighthouse zeigt den Status von an
lokale und remote verwaltete Konsolenserver und Kandidaten.
Im Abschnitt „Verwaltete Konsolenserver“ werden die Konsolenserver angezeigt, die von überwacht werden
Lighthouse. Der Abschnitt „Erkannte Konsolenserver“ enthält:
o Das Dropdown-Menü „Lokale Konsolenserver“, in dem alle Konsolenserver aufgelistet sind, die sich auf dem befinden
demselben Subnetz wie der Leuchtturm und werden nicht überwacht
67

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
o Das Dropdown-Menü „Remote-Konsolenserver“, in dem alle Konsolenserver aufgelistet sind, die eine Call-Home-Verbindung hergestellt haben und nicht überwacht werden (dh Kandidaten). Sie können zum Aktualisieren auf „Aktualisieren“ klicken
Um einen Konsolenserverkandidaten zur Liste der verwalteten Konsolenserver hinzuzufügen, wählen Sie ihn aus der Dropdown-Liste „Remote-Konsolenserver“ aus und klicken Sie auf „Hinzufügen“. Geben Sie die IP-Adresse und den SSH-Port ein (sofern diese Felder nicht automatisch ausgefüllt wurden) und geben Sie eine Beschreibung und einen eindeutigen Namen für den Managed Console-Server ein, den Sie hinzufügen
Geben Sie das Remote-Root-Passwort ein (dh das Systempasswort, das auf diesem Managed Console-Server festgelegt wurde). Dieses Passwort wird vom Lighthouse zur Weitergabe automatisch generierter SSH-Schlüssel verwendet und nicht gespeichert. Klicken Sie auf Übernehmen. Der Lighthouse richtet sichere SSH-Verbindungen zum und vom Managed Console Server ein und ruft seine verwalteten Geräte, Benutzerkontodetails und konfigurierten Warnungen ab. 3.12.3 Calling Home zu einem generischen zentralen SSH-Server Wenn Sie eine Verbindung zu einem generischen SSH-Server (nicht Lighthouse) herstellen Sie können die erweiterten Einstellungen konfigurieren: · Geben Sie den SSH-Server-Port und den SSH-Benutzer ein. · Geben Sie die Details für die zu erstellenden SSH-Portweiterleitungen ein
Durch Auswahl von Listening Server können Sie eine Remote-Portweiterleitung vom Server zu diesem Gerät oder eine lokale Portweiterleitung von diesem Gerät zum Server erstellen:
68

Bedienungsanleitung
· Geben Sie einen Überwachungsport an, von dem aus weitergeleitet werden soll. Lassen Sie dieses Feld leer, um einen nicht verwendeten Port zuzuweisen. · Geben Sie den Zielserver und den Zielport ein, der der Empfänger weitergeleiteter Verbindungen sein soll
3.13 IP-Passthrough
IP-Passthrough wird verwendet, um eine Modemverbindung (z. B. das interne Mobilfunkmodem) wie eine normale Ethernet-Verbindung zu einem Downstream-Router eines Drittanbieters erscheinen zu lassen, sodass der Downstream-Router die Modemverbindung als primäre oder Backup-WAN-Schnittstelle verwenden kann.
Das Opengear-Gerät stellt dem Downstream-Gerät über DHCP die Modem-IP-Adresse und DNS-Details bereit und leitet den Netzwerkverkehr zum und vom Modem und Router weiter.
Während IP Passthrough einen Opengear in eine Modem-zu-Ethernet-Halbbrücke verwandelt, können einige Layer-4-Dienste (HTTP/HTTPS/SSH) am Opengear beendet werden (Service Intercepts). Außerdem können auf dem Opengear ausgeführte Dienste unabhängig vom Downstream-Router ausgehende Mobilfunkverbindungen initiieren.
Dadurch kann Opengear weiterhin für die Out-of-Band-Verwaltung und Alarmierung verwendet und auch im IP-Passthrough-Modus über Lighthouse verwaltet werden.
3.13.1 Downstream-Router-Setup Um Failover-Konnektivität auf dem Downstream-Router (auch Failover to Cellular oder F2C genannt) nutzen zu können, muss dieser über zwei oder mehr WAN-Schnittstellen verfügen.
HINWEIS Failover im IP-Passthrough-Kontext wird vom Downstream-Router durchgeführt und die integrierte Out-of-Band-Failover-Logik auf dem Opengear ist im IP-Passthrough-Modus nicht verfügbar.
Verbinden Sie eine Ethernet-WAN-Schnittstelle am Downstream-Router über ein Ethernet-Kabel mit der Netzwerkschnittstelle oder dem Management-LAN-Port des Opengear.
Konfigurieren Sie diese Schnittstelle auf dem Downstream-Router, um seine Netzwerkeinstellungen über DHCP zu erhalten. Wenn ein Failover erforderlich ist, konfigurieren Sie den Downstream-Router für ein Failover zwischen seiner primären Schnittstelle und dem mit dem Opengear verbundenen Ethernet-Port.
3.13.2 IP-Passthrough-Vorkonfiguration Voraussetzungen für die Aktivierung von IP-Passthrough sind:
1. Konfigurieren Sie die Netzwerkschnittstelle und ggf. Management-LAN-Schnittstellen mit statischen Netzwerkeinstellungen. · Klicken Sie auf Seriell und Netzwerk > IP. · Wählen Sie für die Netzwerkschnittstelle und gegebenenfalls für das Management-LAN die Option „Statisch“ als Konfigurationsmethode aus und geben Sie die Netzwerkeinstellungen ein (ausführliche Anweisungen finden Sie im Abschnitt „Netzwerkkonfiguration“). · Für die Schnittstelle, die mit dem Downstream-Router verbunden ist, können Sie ein beliebiges dediziertes privates Netzwerk wählen. Dieses Netzwerk existiert nur zwischen Opengear und Downstream-Router und ist normalerweise nicht zugänglich. · Konfigurieren Sie die andere Schnittstelle wie gewohnt im lokalen Netzwerk. · Lassen Sie Gateway für beide Schnittstellen leer.
2. Konfigurieren Sie das Modem im Always On Out-of-Band-Modus.
69

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
· Klicken Sie für eine Mobilfunkverbindung auf System > Wählen: Internes Mobilfunkmodem. · Wählen Sie „Herauswählen aktivieren“ und geben Sie Netzbetreiberdetails wie APN ein (siehe Abschnitt „Mobilfunkmodem“)
Detaillierte Anweisungen finden Sie unter Anschluss. 3.13.3 IP-Passthrough-Konfiguration So konfigurieren Sie IP-Passthrough:
· Klicken Sie auf „Seriell & Netzwerk“ > „IP-Passthrough“ und aktivieren Sie „Aktivieren“. · Wählen Sie das Opengear-Modem aus, das für die Upstream-Konnektivität verwendet werden soll. · Geben Sie optional die MAC-Adresse der verbundenen Schnittstelle des Downstream-Routers ein. Wenn die MAC-Adresse lautet
Wenn keine Angabe erfolgt, leitet das Opengear das erste Downstream-Gerät weiter und fordert eine DHCP-Adresse an. · Wählen Sie die Opengear-Ethernet-Schnittstelle aus, die für die Verbindung zum Downstream-Router verwendet werden soll.
· Klicken Sie auf „Übernehmen“. 3.13.4 Service Intercepts Diese ermöglichen es Opengear, weiterhin Dienste bereitzustellen, zample für die Out-of-Band-Verwaltung im IP-Passthrough-Modus. Verbindungen zur Modemadresse an den angegebenen Abfangports werden vom Opengear verarbeitet und nicht an den Downstream-Router weitergeleitet.
· Aktivieren Sie für den erforderlichen Dienst HTTP, HTTPS oder SSH die Option „Aktivieren“. · Ändern Sie optional den Intercept-Port in einen alternativen Port (z. B. 8443 für HTTPS). Dies ist nützlich, wenn Sie möchten
möchten weiterhin zulassen, dass der Downstream-Router über seinen regulären Port erreichbar bleibt. 3.13.5 IP-Passthrough-Status Aktualisieren Sie die Seite auf view im Abschnitt „Status“. Es zeigt die externe IP-Adresse des Modems an, die weitergeleitet wird, die interne MAC-Adresse des Downstream-Routers (wird nur ausgefüllt, wenn der Downstream-Router die DHCP-Lease akzeptiert) und den allgemeinen Betriebsstatus des IP-Passthrough-Dienstes. Sie können über den Failover-Status des Downstream-Routers benachrichtigt werden, indem Sie unter „Warnungen und Protokollierung“ > „Auto-Response“ eine Überprüfung der gerouteten Datennutzung konfigurieren. 3.13.6 Vorsichtsmaßnahmen Einige Downstream-Router sind möglicherweise nicht mit der Gateway-Route kompatibel. Dies kann passieren, wenn IP Passthrough ein 3G-Mobilfunknetz überbrückt, bei dem die Gateway-Adresse eine Punkt-zu-Punkt-Zieladresse ist und keine Subnetzinformationen verfügbar sind. Das Opengear sendet eine DHCP-Netzmaske von 255.255.255.255. Geräte interpretieren dies normalerweise als eine einzelne Host-Route auf der Schnittstelle, bei einigen älteren Downstream-Geräten können jedoch Probleme auftreten.
70

Bedienungsanleitung
Das Abfangen lokaler Dienste funktioniert nicht, wenn Opengear eine andere Standardroute als das Modem verwendet. Außerdem funktionieren sie nur, wenn der Dienst aktiviert und der Zugriff auf den Dienst aktiviert ist (siehe System > Dienste, finden Sie auf der Registerkarte „Dienstzugriff“ die Option „Wählen/Mobilfunk“).
Ausgehende Verbindungen von Opengear zu Remotediensten werden unterstützt (z. B. Senden von SMTP-E-Mail-Benachrichtigungen, SNMP-Traps, Abrufen der NTP-Zeit, IPSec-Tunnel). Es besteht ein geringes Risiko eines Verbindungsfehlers, wenn sowohl das Opengear als auch das Downstream-Gerät gleichzeitig versuchen, auf denselben UDP- oder TCP-Port auf demselben Remote-Host zuzugreifen, obwohl sie zufällig dieselbe ursprüngliche lokale Portnummer ausgewählt haben.
3.14 Konfiguration über DHCP (ZTP)
Opengear-Geräte können während ihres ersten Starts von einem DHCPv4- oder DHCPv6-Server mithilfe von Config-over-DHCP bereitgestellt werden. Die Bereitstellung in nicht vertrauenswürdigen Netzwerken kann durch die Bereitstellung von Schlüsseln auf einem USB-Flash-Laufwerk erleichtert werden. Die ZTP-Funktionalität kann auch verwendet werden, um bei der ersten Verbindung mit dem Netzwerk ein Firmware-Upgrade durchzuführen oder sich bei einer Lighthouse 5-Instanz anzumelden.
Vorbereitung Die typischen Schritte für die Konfiguration über ein vertrauenswürdiges Netzwerk sind:
1. Konfigurieren Sie ein Opengear-Gerät desselben Modells. 2. Speichern Sie die Konfiguration als Opengear-Backup (.opg). file. 3. Wählen Sie System > Konfigurationssicherung > Remote-Backup. 4. Klicken Sie auf Sicherung speichern. Eine Backup-Konfiguration file – model-name_iso-format-date_config.opg – wird vom Opengear-Gerät auf das lokale System heruntergeladen. Sie können die Konfiguration als XML speichern file: 1. Wählen Sie System > Konfigurationssicherung > XML-Konfiguration. Ein bearbeitbares Feld, das Folgendes enthält
Konfiguration file im XML-Format erscheint. 2. Klicken Sie in das Feld, um es zu aktivieren. 3. Wenn Sie einen Browser unter Windows oder Linux ausführen, klicken Sie mit der rechten Maustaste und wählen Sie „Alle auswählen“ aus
Kontextmenü oder drücken Sie Strg-A. Klicken Sie mit der rechten Maustaste und wählen Sie „Kopieren“ aus dem Kontextmenü oder drücken Sie Strg-C. 4. Wenn Sie einen beliebigen Browser unter macOS verwenden, wählen Sie „Bearbeiten“ > „Alle auswählen“ oder drücken Sie Befehl-A. Wählen Sie „Bearbeiten“ > „Kopieren“ oder drücken Sie die Tastenkombination „Befehl-C“. 5. Erstellen Sie in Ihrem bevorzugten Texteditor ein neues leeres Dokument, fügen Sie die kopierten Daten in das leere Dokument ein und speichern Sie es file. Was auch immer file-Name Sie wählen, er muss die XML-Datei enthalten fileNamenszusatz. 6. Kopieren Sie die gespeicherte .opg oder .xml file in ein öffentlich zugängliches Verzeichnis auf a file Server, der mindestens eines der folgenden Protokolle bedient: HTTPS, HTTP, FTP oder TFTP. (Es kann nur HTTPS verwendet werden, wenn die Verbindung zwischen file Server und ein zu konfigurierendes Opengear-Gerät werden über ein nicht vertrauenswürdiges Netzwerk übertragen.) 7. Konfigurieren Sie Ihren DHCP-Server so, dass er eine „herstellerspezifische“ Option für Opengear-Geräte enthält. (Dies erfolgt auf DHCP-serverspezifische Weise.) Die herstellerspezifische Option sollte auf eine Zeichenfolge festgelegt werden, die Folgendes enthält URL der veröffentlichten .opg oder .xml file im obigen Schritt. Die Optionszeichenfolge darf 250 Zeichen nicht überschreiten und muss entweder mit .opg oder .xml enden.
71

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
8. Schließen Sie ein neues Opengear-Gerät (entweder auf Werkseinstellungen zurückgesetzt oder mit gelöschter Konfiguration) an das Netzwerk an und schalten Sie es ein. Es kann bis zu 5 Minuten dauern, bis das Gerät neu startet.
Example ISC DHCP (dhcpd) Serverkonfiguration
Das Folgende ist ein Beispielample DHCP-Serverkonfigurationsfragment zum Bereitstellen eines .opg-Konfigurationsimages über den ISC-DHCP-Server dhcpd:
Option Leerzeichen Opengear Code Breite 1 Länge Breite 1; Option opengear.config-url Code 1 = Text; Klasse „opengear-config-over-dhcp-test“ {
match if option Vendor-Class-Identifier ~~ „^Opengear/“; Vendor-Option-Space Opengear; Option opengear.config-url „https://example.com/opg/${class}.opg“; }
Dieses Setup kann geändert werden, um das Konfigurationsimage mithilfe von opengear.image zu aktualisieren.url Option und Bereitstellung eines URI für das Firmware-Image.
Einrichtung, wenn das LAN nicht vertrauenswürdig ist. Wenn die Verbindung zwischen dem file Wenn ein Server und ein zu konfigurierendes Opengear-Gerät ein nicht vertrauenswürdiges Netzwerk umfassen, kann das Problem durch einen zweihändigen Ansatz entschärft werden.
HINWEIS Dieser Ansatz führt zwei physische Schritte ein, bei denen es schwierig, wenn nicht sogar unmöglich sein kann, Vertrauen vollständig aufzubauen. Erstens die Verwahrungskette von der Erstellung des datentragenden USB-Flash-Laufwerks bis zu seiner Bereitstellung. Zweitens die Hände, die den USB-Stick mit dem Opengear-Gerät verbinden.
· Generieren Sie ein X.509-Zertifikat für das Opengear-Gerät.
· Verketten Sie das Zertifikat und seinen privaten Schlüssel zu einem einzigen file namens client.pem.
· Kopieren Sie client.pem auf einen USB-Stick.
· Richten Sie einen HTTPS-Server ein, der den Zugriff auf .opg oder .xml ermöglicht file ist auf Clients beschränkt, die das oben generierte X.509-Client-Zertifikat bereitstellen können.
· Legen Sie eine Kopie des CA-Zertifikats, das das Zertifikat des HTTP-Servers signiert hat – ca-bundle.crt – auf dem USB-Flash-Laufwerk mit client.pem ab.
· Stecken Sie den USB-Stick in das Opengear-Gerät, bevor Sie es an die Stromversorgung oder das Netzwerk anschließen.
· Setzen Sie den Vorgang ab „Kopieren Sie die gespeicherte .opg- oder .xml-Datei“ fort file in ein öffentlich zugängliches Verzeichnis auf a file Server“ oben unter Verwendung des HTTPS-Protokolls zwischen dem Client und dem Server.
Bereiten Sie ein USB-Laufwerk vor und erstellen Sie das X.509-Zertifikat und den privaten Schlüssel
· Generieren Sie das CA-Zertifikat, damit die Client- und Server-Certificate Signing Requests (CSRs) signiert werden können.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=BspampleCA # cp demoCA/cacert.pem ca-bundle.crt
Dieses Verfahren generiert ein Zertifikat namens ExampleCA, es kann jedoch jeder zulässige Zertifikatsname verwendet werden. Außerdem verwendet dieses Verfahren OpenSSL ca. Wenn Ihre Organisation über einen unternehmensweiten, sicheren CA-Generierungsprozess verfügt, sollte dieser stattdessen verwendet werden.
72

Bedienungsanleitung
· Generieren Sie das Serverzertifikat.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-Schlüsselfile ca.key -policy Policy_anything -batch -notext
HINWEIS Der Hostname oder die IP-Adresse müssen mit der gleichen Zeichenfolge übereinstimmen, die bei der Bereitstellung verwendet wurde URL. In der ExampIn der Abbildung oben lautet der Hostname demo.example.com.
· Generieren Sie das Client-Zertifikat.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-Schlüsselfile ca.key -policy Policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatieren Sie ein USB-Flash-Laufwerk als einzelnes FAT32-Volume.
· Verschieben Sie client.pem und ca-bundle.crt files in das Stammverzeichnis des Flash-Laufwerks.
Debuggen von ZTP-Problemen Verwenden Sie die ZTP-Protokollfunktion, um ZTP-Probleme zu debuggen. Während das Gerät versucht, ZTP-Vorgänge auszuführen, werden Protokollinformationen in /tmp/ztp.log auf dem Gerät geschrieben.
Das Folgende ist ein BeispielampDatei des Protokolls file von einem erfolgreichen ZTP-Lauf.
# cat /tmp/ztp.log Mi 13. Dezember 22:22:17 UTC 2017 [5127-Hinweis] odhcp6c.eth0: Wiederherstellung der Konfiguration über DHCP Mi 13. Dezember 22:22:17 UTC 2017 [5127-Hinweis] odhcp6c.eth0: 10 Sekunden warten Damit sich das Netzwerk beruhigt, Mittwoch, 13. Dezember, 22:22:27 UTC 2017 [5127-Hinweis] odhcp6c.eth0: NTP übersprungen: kein Server Mittwoch, 13. Dezember, 22:22:27 UTC 2017 [5127-Info] odhcp6c.eth0: sellerspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Mi 13. Dez. 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: Vendorspec.2 (n/a) Mi 13. Dez. 22:22:27 UTC 2017 [5127-Info] odhcp6c.eth0: Vendorspec.3 (n/a) Mi 13. Dez. 22:22:27 UTC 2017 [5127-Info] odhcp6c.eth0: Vendorspec.4 (n/a ) Mi 13. Dezember 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: sellerspec.5 (n/a) Mi 13. Dezember 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: sellerspec.6 (n /a) Mi 13. Dez. 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: keine Firmware zum Herunterladen (vendorspec.2) Backup-url: versuche http://[fd07:2218:1350:44::1]/tftpboot/config.sh … Backup-url: WAN-Konfigurationsmodus auf DHCP-Backup erzwingen-url: Hostnamen auf acm7004-0013c601ce97 Backup setzen-url: Laden erfolgreich, Mittwoch, 13. Dezember 22:22:36 UTC 2017 [5127-Hinweis] odhcp6c.eth0: erfolgreiches Laden der Konfiguration, Mittwoch, 13. Dezember 22:22:36 UTC 2017 [5127-Info] odhcp6c.eth0: keine Leuchtturmkonfiguration (vendorspec.3/ 4/5/6) Mi, 13. Dezember 22:22:36 UTC 2017 [5127-Hinweis] odhcp6c.eth0: Bereitstellung abgeschlossen, kein Neustart
Fehler werden in diesem Protokoll aufgezeichnet.
3.15 Anmeldung bei Lighthouse
Verwenden Sie die Registrierung bei Lighthouse, um Opengear-Geräte bei einer Lighthouse-Instanz zu registrieren, um einen zentralen Zugriff auf Konsolenports zu ermöglichen und eine zentrale Konfiguration der Opengear-Geräte zu ermöglichen.
Anweisungen zum Registrieren von Opengear-Geräten bei Lighthouse finden Sie im Lighthouse-Benutzerhandbuch.
73

Kapitel 3: Serielle Schnittstelle, Geräte- und Benutzerkonfiguration
3.16 DHCPv4-Relay aktivieren
Ein DHCP-Relay-Dienst leitet die DHCP-Pakete zwischen Clients und Remote-DHCP-Servern weiter. Der DHCP-Relay-Dienst kann auf einem Opengear-Konsolenserver aktiviert werden, sodass dieser auf DHCP-Clients auf bestimmten unteren Schnittstellen lauscht, deren Nachrichten verpackt und an DHCP-Server weiterleitet, indem er entweder normales Routing verwendet oder direkt an bestimmte obere Schnittstellen sendet. Der DHCP-Relay-Agent empfängt somit DHCP-Nachrichten und generiert eine neue DHCP-Nachricht zum Senden an eine andere Schnittstelle. In den folgenden Schritten können die Konsolenserver mithilfe des DHCPv4-Relay-Dienstes eine Verbindung zu Circuit-IDs, Ethernet- oder Mobilfunkmodems herstellen.
DHCPv4-Relay + DHCP-Option 82 (Circuit-ID) Infrastruktur – Lokaler DHCP-Server, ACM7004-5 für Relay, alle anderen Geräte für Clients. Als Relay kann jedes Gerät mit LAN-Rolle verwendet werden. In diesem Example, 192.168.79.242 ist die Adresse für die weitergeleitete Schnittstelle des Clients (wie in der DHCP-Serverkonfiguration definiert). file oben) und 192.168.79.244 ist die obere Schnittstellenadresse der Relay-Box und enp112s0 ist die Downstream-Schnittstelle des DHCP-Servers.
1 Infrastruktur – DHCPv4-Relay + DHCP-Option 82 (Circuit-ID)
Schritte auf dem DHCP-Server 1. Richten Sie den lokalen DHCP v4-Server ein. Insbesondere sollte er einen „Host“-Eintrag wie unten für den DHCP-Client enthalten: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; Host-Identifier-Option agent.schaltung-id „relay1“; feste Adresse 192.168.79.242; } Hinweis: Die Zeile „Hardware-Ethernet“ ist auskommentiert, sodass der DHCP-Server die Einstellung „Circuit-ID“ verwendet, um dem relevanten Client eine Adresse zuzuweisen. 2. Starten Sie den DHCP-Server neu, um seine geänderte Konfiguration neu zu laden file. pkill -HUP dhcpd
74

Bedienungsanleitung
3. Fügen Sie der „relayed“-Schnittstelle des Clients manuell eine Host-Route hinzu (die Schnittstelle hinter dem DHCP-Relay, nicht andere Schnittstellen, über die der Client möglicherweise auch verfügt):
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Dies hilft, das Problem des asymmetrischen Routings zu vermeiden, wenn der Client und der DHCP-Server über die weitergeleitete Schnittstelle des Clients aufeinander zugreifen möchten, wenn der Client über andere Schnittstellen in derselben verfügt Subnetz des DHCP-Adresspools.
Hinweis: Dieser Schritt ist unbedingt erforderlich, damit der DHCP-Server und der Client aufeinander zugreifen können.
Schritte zur Relaisbox – ACM7004-5
1. Richten Sie WAN/eth0 entweder im statischen oder im DHCP-Modus ein (nicht im unkonfigurierten Modus). Im statischen Modus muss es eine IP-Adresse im Adresspool des DHCP-Servers haben.
2. Wenden Sie diese Konfiguration über die CLI an (wobei 192.168.79.1 die DHCP-Serveradresse ist).
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.Circuit_id=Relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Die untere Schnittstelle des DHCP-Relays muss eine statische IP-Adresse innerhalb des Adresspools des DHCP-Servers haben. In diesem Example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Warten Sie einen Moment, bis der Client über das Relay eine DHCP-Lease erhält.
Schritte auf dem Client (CM7116-2-dac in diesem Beispielample oder ein anderes OG CS)
1. Schließen Sie das LAN/eth1 des Clients an das LAN/eth1 des Relays an. 2. Konfigurieren Sie das LAN des Clients so, dass die IP-Adresse wie üblich über DHCP bezogen wird. 3. Sobald der Client angeschlossen ist

Dokumente / Ressourcen

opengear ACM7000 Remote Site Gateway [pdf] Benutzerhandbuch
ACM7000 Remote-Site-Gateway, ACM7000, Remote-Site-Gateway, Site-Gateway, Gateway

Verweise

Bedienungsanleitung

opengear ACM7000 Remote Site Gateway

Produktinformationen

Anweisungen zur Produktverwendung

FAQs

Dieses Handbuch

Systemkonfiguration

Konfiguration der seriellen Schnittstelle, des Hosts, des Geräts und des Benutzers

Dokumente / Ressourcen

Verweise

Hinterlasse einen Kommentar

Antworten abbrechen