Manuel d'utilisation de la passerelle de site distant opengear ACM7000

Ne connectez pas ou ne déconnectez pas le serveur de console pendant un orage électrique. Utilisez toujours un suppresseur de surtension ou un UPS pour protéger l'équipement des transitoires.

Avertissement de la FCC :

Cet appareil est conforme à la partie 15 des règles FCC. Le fonctionnement de cet appareil est soumis aux conditions suivantes : (1) Cet appareil ne doit pas provoquer d'interférences nuisibles, et (2) cet appareil doit accepter toute interférence susceptible de provoquer un fonctionnement indésirable.

FAQ

Q : Puis-je utiliser la passerelle de site distant ACM7000 pendant un orage électrique ?
- A: Non, il est conseillé de ne pas connecter ou déconnecter le serveur de console pendant un orage électrique pour éviter tout dommage.

Q : À quelle version des règles FCC l'appareil est-il conforme ?
- A: L'appareil est conforme à la partie 15 des règles de la FCC.

View Fullscreen

Manuel d'utilisation
Passerelle de site distant ACM7000 Passerelle de résilience ACM7000-L Gestionnaire d'infrastructure IM7200 Serveurs de console CM7100
Version 5.0 – 2023-12

Sécurité
Suivez les précautions de sécurité ci-dessous lors de l'installation et de l'utilisation du serveur de console : · Ne retirez pas les capots métalliques. Il n’y a aucun composant réparable par l’opérateur à l’intérieur. L'ouverture ou le retrait du couvercle peut vous exposer à des risques de vol dangereux.tage qui pourrait provoquer un incendie ou un choc électrique. Confiez tout entretien au personnel qualifié d'Opengear. · Pour éviter tout choc électrique, le conducteur de mise à la terre du cordon d'alimentation doit être connecté à la terre. · Tirez toujours sur la fiche, et non sur le câble, lorsque vous débranchez le cordon d'alimentation de la prise.
Ne connectez pas ou ne déconnectez pas le serveur de console pendant un orage électrique. Utilisez également un suppresseur de surtension ou un UPS pour protéger l'équipement des transitoires.
Déclaration d'avertissement de la FCC
Cet appareil est conforme à la partie 15 des règles FCC. Le fonctionnement de cet appareil est soumis aux conditions suivantes
conditions : (1) Cet appareil ne doit pas provoquer d'interférences nuisibles, et (2) cet appareil doit accepter toute interférence susceptible de provoquer un fonctionnement indésirable.
Des systèmes de secours appropriés et les dispositifs de sécurité nécessaires doivent être utilisés pour se protéger contre les blessures, la mort ou les dommages matériels dus à une défaillance du système. Cette protection relève de la responsabilité de l'utilisateur. Ce serveur de console n'est pas approuvé pour une utilisation comme système de survie ou système médical. Tout changement ou modification apporté à ce serveur de console sans l'approbation ou le consentement explicite d'Opengear annulera Opengear de toute responsabilité en cas de blessure ou de perte causée par tout dysfonctionnement. Cet équipement est destiné à un usage intérieur et tous les câblages de communication sont limités à l'intérieur du bâtiment.
2

Manuel d'utilisation
Droits d'auteur
©Opengear Inc. 2023. Tous droits réservés. Les informations contenues dans ce document sont susceptibles d'être modifiées sans préavis et ne représentent pas un engagement de la part d'Opengear. Opengear fournit ce document « tel quel », sans garantie d'aucune sorte, expresse ou implicite, y compris, mais sans s'y limiter, les garanties implicites d'adéquation ou de qualité marchande à un usage particulier. Opengear peut apporter des améliorations et/ou des modifications à ce manuel ou au(x) produit(s) et/ou programme(s) décrit(s) dans ce manuel à tout moment. Ce produit peut contenir des inexactitudes techniques ou des erreurs typographiques. Des modifications sont périodiquement apportées aux informations contenues dans ce document; ces modifications peuvent être incorporées dans de nouvelles éditions de la publication.\

Chapitre 1

Ce manuel

CE MANUEL

Ce manuel d'utilisation explique l'installation, l'exploitation et la gestion des serveurs de console Opengear. Ce manuel suppose que vous êtes familier avec Internet et les réseaux IP, HTTP, FTP, les opérations de sécurité de base et le réseau interne de votre organisation.
1.1 Types d'utilisateurs
Le serveur de console prend en charge deux classes d'utilisateurs :
· Administrateurs disposant de privilèges de configuration et de gestion illimités sur la console
serveur et appareils connectés ainsi que tous les services et ports pour contrôler tous les appareils connectés en série et les appareils connectés au réseau (hôtes). Les administrateurs sont définis en tant que membres du groupe d'utilisateurs admin. Un administrateur peut accéder et contrôler le serveur de console à l'aide de l'utilitaire de configuration, de la ligne de commande Linux ou de la console de gestion basée sur un navigateur.
· Utilisateurs configurés par un administrateur avec des limites d'accès et d'autorité de contrôle.
Les utilisateurs ont un nombre limité view de la console de gestion et ne peut accéder qu'aux appareils configurés autorisés et review journaux de ports. Ces utilisateurs sont définis en tant que membres d'un ou plusieurs groupes d'utilisateurs préconfigurés tels que PPTPD, dialin, FTP, pmshell, des utilisateurs ou des groupes d'utilisateurs que l'administrateur peut avoir créés. Ils sont uniquement autorisés à effectuer des contrôles spécifiés sur des appareils connectés spécifiques. Les utilisateurs, lorsqu'ils sont autorisés, peuvent accéder et contrôler les appareils connectés en série ou en réseau à l'aide de services spécifiés (par exemple Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Les utilisateurs distants sont des utilisateurs qui ne se trouvent pas sur le même segment LAN que le serveur de console. Un utilisateur distant peut être en déplacement et se connecter à des appareils gérés via l'Internet public, un administrateur dans un autre bureau se connectant au serveur de console via le VPN d'entreprise, ou dans la même pièce ou le même bureau mais connecté sur un VLAN distinct à la console. serveur.
1.2 Console de gestion
La console de gestion Opengear vous permet de configurer et de surveiller les fonctionnalités de votre serveur de console Opengear. La console de gestion s'exécute dans un navigateur et fournit un view du serveur de console et de tous les appareils connectés. Les administrateurs peuvent utiliser la console de gestion pour configurer et gérer le serveur de console, les utilisateurs, les ports, les hôtes, les périphériques d'alimentation, ainsi que les journaux et alertes associés. Les utilisateurs non-administrateurs peuvent utiliser la console de gestion avec un accès limité au menu pour contrôler certains appareils, par exempleview leurs journaux et accédez-y à l'aide du module intégré Web Terminal.
Le serveur de console exécute un système d'exploitation Linux intégré et peut être configuré via la ligne de commande. Vous pouvez obtenir un accès en ligne de commande par téléphone portable/appelé, en vous connectant directement au port console/modem série du serveur de console, ou en utilisant SSH ou Telnet pour vous connecter au serveur de console via le réseau local (ou en vous connectant avec PPTP, IPsec ou OpenVPN). .
6

Manuel d'utilisation
Pour les commandes de l'interface de ligne de commande (CLI) et les instructions avancées, téléchargez Opengear CLI et Scripting Reference.pdf à partir de https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Plus d'informations
Pour plus d'informations, consultez : · Produits Opengear Web Site : voir https://opengear.com/products. Pour obtenir les informations les plus récentes sur ce qui est inclus avec votre serveur de console, visitez la section Ce qui est inclus pour votre produit particulier. · Guide de démarrage rapide : pour obtenir le guide de démarrage rapide de votre appareil, consultez https://opengear.com/support/documentation/. · Base de connaissances Opengear : visitez https://opengear.zendesk.com pour accéder à des articles techniques, des conseils techniques, des FAQ et des notifications importantes. · Référence de script et CLI Opengear : https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Chapitre 2:

Configuration du système

CONFIGURATION DU SYSTÈME

Ce chapitre fournit des instructions étape par étape pour la configuration initiale de votre serveur de console et sa connexion au réseau local de gestion ou opérationnel. Les étapes sont les suivantes :
Activez la console de gestion. Changez le mot de passe administrateur. Définissez le port LAN principal du serveur de console d'adresse IP. Sélectionnez les services à activer et les privilèges d'accès. Ce chapitre traite également des outils logiciels de communication qu'un administrateur peut utiliser pour accéder au serveur de console et de la configuration des ports LAN supplémentaires.
2.1 Connexion à la console de gestion
Votre serveur de console est configuré avec une adresse IP par défaut 192.168.0.1 et un masque de sous-réseau 255.255.255.0 pour NET1 (WAN). Pour la configuration initiale, nous vous recommandons de connecter un ordinateur directement à la console. Si vous choisissez de connecter votre réseau local avant d'effectuer les étapes de configuration initiale, assurez-vous que :
· Il n'y a aucun autre périphérique sur le réseau local avec une adresse 192.168.0.1. · Le serveur de console et l'ordinateur sont sur le même segment LAN, sans routeur interposé
appareils électroménagers.
2.1.1 Configuration de l'ordinateur connecté Pour configurer le serveur de console avec un navigateur, l'ordinateur connecté doit avoir une adresse IP dans la même plage que le serveur de console (par ex.ample, 192.168.0.100) :
· Pour configurer l'adresse IP de votre ordinateur Linux ou Unix, exécutez ifconfig. · Pour les PC Windows :
1. Cliquez sur Démarrer > Paramètres > Panneau de configuration et double-cliquez sur Connexions réseau. 2. Faites un clic droit sur Connexion au réseau local et sélectionnez Propriétés. 3. Sélectionnez Protocole Internet (TCP/IP) et cliquez sur Propriétés. 4. Sélectionnez Utiliser l'adresse IP suivante et saisissez les informations suivantes :
o Adresse IP : 192.168.0.100 o Masque de sous-réseau : 255.255.255.0 5. Si vous souhaitez conserver vos paramètres IP existants pour cette connexion réseau, cliquez sur Avancé et ajoutez ce qui précède comme connexion IP secondaire.
2.1.2 Connexion au navigateur
Ouvrez un navigateur sur le PC/poste de travail connecté et saisissez https://192.168.0.1.
Connectez-vous avec:
Nom d'utilisateur> Mot de passe root> par défaut
8

Manuel d'utilisation
Lors de votre première connexion, vous devez modifier le mot de passe root. Cliquez sur Soumettre.
Pour terminer la modification, saisissez à nouveau le nouveau mot de passe. Cliquez sur Soumettre. L'écran de bienvenue apparaît.
Si votre système dispose d'un modem cellulaire, vous recevrez les étapes pour configurer les fonctionnalités du routeur cellulaire : · Configurer la connexion du modem cellulaire (Système > Page de numérotation. Voir le chapitre 4) · Autoriser le transfert vers le réseau de destination cellulaire (Système > Page Pare-feu. Voir le chapitre 4) · Activer le masquage IP pour la connexion cellulaire (page Système > Pare-feu. Voir le chapitre 4)
Après avoir terminé chacune des étapes ci-dessus, vous pouvez revenir à la liste de configuration en cliquant sur le logo Opengear dans le coin supérieur gauche de l'écran. REMARQUE Si vous ne parvenez pas à vous connecter à la console de gestion à l'adresse 192.168.0.1 ou si la valeur par défaut
Le nom d'utilisateur/mot de passe ne sont pas acceptés, réinitialisez votre serveur de console (voir chapitre 10).
9

Chapitre 2 : Configuration du système
2.2 Configuration de l'administrateur
2.2.1 Modifier le mot de passe du système racine par défaut Vous devez modifier le mot de passe root lors de votre première connexion à l'appareil. Vous pouvez modifier ce mot de passe à tout moment.
1. Cliquez sur Série et réseau > Utilisateurs et groupes ou, sur l'écran de bienvenue, cliquez sur Modifier le mot de passe d'administration par défaut.
2. Faites défiler vers le bas et localisez l'entrée de l'utilisateur root sous Utilisateurs et cliquez sur Modifier. 3. Saisissez le nouveau mot de passe dans les champs Mot de passe et Confirmer.
REMARQUE Cocher Enregistrer le mot de passe lors des effacements du micrologiciel enregistre le mot de passe afin qu'il ne soit pas effacé lors de la réinitialisation du micrologiciel. Si ce mot de passe est perdu, le micrologiciel de l'appareil devra être récupéré.
4. Cliquez sur Appliquer. Connectez-vous avec le nouveau mot de passe 2.2.2 Configurer un nouvel administrateur Créez un nouvel utilisateur avec des privilèges administratifs et connectez-vous en tant qu'utilisateur pour les fonctions d'administration, plutôt que d'utiliser root.
10

Manuel d'utilisation
1. Cliquez sur Série et réseau > Utilisateurs et groupes. Faites défiler vers le bas de la page et cliquez sur le bouton Ajouter un utilisateur.
2. Entrez un nom d'utilisateur. 3. Dans la section Groupes, cochez la case admin. 4. Saisissez un mot de passe dans les champs Mot de passe et Confirmer.
5. Vous pouvez également ajouter des clés autorisées SSH et choisir de désactiver l'authentification par mot de passe pour cet utilisateur.
6. Des options supplémentaires pour cet utilisateur peuvent être définies sur cette page, notamment les options de connexion, les hôtes accessibles, les ports accessibles et les prises RPC accessibles.
7. Cliquez sur le bouton Appliquer en bas de l'écran pour créer ce nouvel utilisateur.
11

Chapitre 2 : Configuration du système
2.2.3 Ajoutez le nom du système, la description du système et le MOTD. 1. Sélectionnez Système > Administration. 2. Entrez un nom de système et une description du système pour le serveur de console afin de lui attribuer un ID unique et de faciliter son identification. Le nom du système peut contenir de 1 à 64 caractères alphanumériques ainsi que les caractères spéciaux : trait de soulignement (_), moins (-) et point (.). La description du système peut contenir jusqu'à 254 caractères.
3. La bannière MOTD peut être utilisée pour afficher un message du jour aux utilisateurs. Il apparaît en haut à gauche de l'écran sous le logo Opengear.
4. Cliquez sur Appliquer.
12

Chapitre 2 : Configuration du système
5. Sélectionnez Système > Administration. 6. La bannière MOTD peut être utilisée pour afficher un message du jour aux utilisateurs. Il apparaît sur le
en haut à gauche de l'écran, sous le logo Opengear. 7. Cliquez sur Appliquer.
2.3 Configuration du réseau
Entrez une adresse IP pour le port Ethernet principal (LAN/Réseau/Réseau1) sur le serveur de console ou activez son client DHCP pour obtenir automatiquement une adresse IP à partir d'un serveur DHCP. Par défaut, le client DHCP du serveur de console est activé et accepte automatiquement toute adresse IP réseau attribuée par un serveur DHCP sur votre réseau. Dans cet état initial, le serveur de console répondra à la fois à son adresse statique par défaut 192.168.0.1 et à son adresse DHCP.
1. Cliquez sur Système > IP et cliquez sur l'onglet Interface réseau. 2. Choisissez DHCP ou Statique pour la méthode de configuration.
Si vous choisissez Statique, saisissez les détails de l'adresse IP, du masque de sous-réseau, de la passerelle et du serveur DNS. Cette sélection désactive le client DHCP.
12

Manuel d'utilisation
3. Le port LAN du serveur de console détecte automatiquement la vitesse de connexion Ethernet. Utilisez la liste déroulante Média pour verrouiller Ethernet à 10 Mb/s ou 100 Mb/s et en Full Duplex ou Half Duplex.
Si vous rencontrez une perte de paquets ou des performances réseau médiocres avec le paramètre Auto, modifiez les paramètres Ethernet Media sur le serveur de console et le périphérique auquel il est connecté. Dans la plupart des cas, remplacez les deux par 100baseTx-FD (100 mégabits, duplex intégral).
4. Si vous sélectionnez DHCP, le serveur de console recherchera les détails de configuration auprès d'un serveur DHCP. Cette sélection désactive toute adresse statique. L'adresse MAC du serveur de console se trouve sur une étiquette apposée sur la plaque de base.
5. Vous pouvez saisir une adresse secondaire ou une liste d'adresses séparées par des virgules en notation CIDR, par exemple 192.168.1.1/24 comme alias IP.
6. Cliquez sur Appliquer. 7. Reconnectez le navigateur sur l'ordinateur connecté au serveur de console en saisissant
http://your new IP address.
Si vous modifiez l'adresse IP du serveur de console, vous devez reconfigurer votre ordinateur pour avoir une adresse IP dans la même plage réseau que la nouvelle adresse du serveur de console. Vous pouvez définir le MTU sur les interfaces Ethernet. Il s'agit d'une option avancée à utiliser si votre scénario de déploiement ne fonctionne pas avec la MTU par défaut de 1500 1280 octets. Pour définir la MTU, cliquez sur Système > IP et cliquez sur l'onglet Interface réseau. Faites défiler jusqu'au champ MTU et entrez la valeur souhaitée. Les valeurs valides sont comprises entre 1500 100 et 1280 9100 pour les interfaces XNUMX mégabits et entre XNUMX XNUMX et XNUMX XNUMX pour les interfaces gigabit. Si un pontage ou une liaison est configuré, le MTU défini sur la page Interface réseau sera défini sur les interfaces qui font partie du pont ou de la liaison. . REMARQUE Dans certains cas, la MTU spécifiée par l'utilisateur peut ne pas prendre effet. Certains pilotes de carte réseau peuvent arrondir les MTU surdimensionnées à la valeur maximale autorisée et d'autres renverront un code d'erreur. Vous pouvez également utiliser une commande CLI pour gérer la taille MTU : configurer
# config -s config.interfaces.wan.mtu=1380 vérification
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode configuration sans état .interfaces.wan.media Auto config.interfaces.wan.mode statique config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Chapitre 2 : Configuration du système
2.3.1 Configuration IPv6 Les interfaces Ethernet du serveur de console prennent en charge IPv4 par défaut. Ils peuvent être configurés pour un fonctionnement IPv6 :
1. Cliquez sur Système > IP. Cliquez sur l'onglet Paramètres généraux et cochez Activer IPv6. Si vous le souhaitez, cochez la case Désactiver IPv6 pour cellulaire.
2. Configurez les paramètres IPv6 sur chaque page d'interface. IPv6 peut être configuré soit pour le mode automatique, qui utilisera SLAAC ou DHCPv6 pour configurer les adresses, les routes et le DNS, soit pour le mode statique, qui permet de saisir manuellement les informations d'adresse.
2.3.2 Configuration du DNS dynamique (DDNS) Avec le DNS dynamique (DDNS), un serveur de console dont l'adresse IP est attribuée dynamiquement peut être localisé à l'aide d'un hôte ou d'un nom de domaine fixe. Créez un compte auprès du fournisseur de services DDNS pris en charge de votre choix. Lorsque vous configurez votre compte DDNS, vous choisissez un nom d'utilisateur, un mot de passe et un nom d'hôte que vous utiliserez comme nom DNS. Les fournisseurs de services DDNS vous permettent de choisir un nom d'hôte URL et définissez une adresse IP initiale pour correspondre à ce nom d'hôte URL.
14

Manuel d'utilisation
Pour activer et configurer DDNS sur n’importe quelle connexion réseau Ethernet ou cellulaire sur le serveur de console. 1. Cliquez sur Système > IP et faites défiler la section DNS dynamique. Sélectionnez votre fournisseur de services DDNS
dans la liste déroulante DNS dynamique. Vous pouvez également définir les informations DDNS sous l'onglet Modem cellulaire sous Système > Composer.
2. Dans Nom d'hôte DDNS, entrez le nom d'hôte DNS complet de votre serveur de console, par exemple votre nom d'hôte.dyndns.org.
3. Saisissez le nom d'utilisateur DDNS et le mot de passe DDNS pour le compte du fournisseur de services DDNS. 4. Spécifiez l'intervalle maximum entre les mises à jour en jours. Une mise à jour DDNS sera envoyée même si le
l'adresse n'a pas changé. 5. Spécifiez l'intervalle minimum entre les vérifications des adresses modifiées en secondes. Les mises à jour seront
être envoyé si l'adresse a changé. 6. Spécifiez le nombre maximal de tentatives par mise à jour, qui correspond au nombre de tentatives de mise à jour.
avant d'abandonner. C'est 3 par défaut. 7. Cliquez sur Appliquer.
15

Chapitre 2 : Configuration du système
2.3.3 Mode EAPoL pour WAN, LAN et OOBFO
(OOBFO s'applique uniquement au IM7216-2-24E-DAC)
Surview de l'EAPoL IEEE 802.1X, ou PNAC (Port-based Network Access Control) utilise les caractéristiques d'accès physique des infrastructures LAN IEEE 802 afin de fournir un moyen d'authentification et d'autorisation des périphériques connectés à un port LAN doté d'un point à point. caractéristiques de connexion du point, et d'empêcher l'accès à ce port en cas d'échec de l'authentification et de l'autorisation. Dans ce contexte, un port est un point de connexion unique à l'infrastructure LAN.
Lorsqu'un nouveau nœud sans fil ou filaire (WN) demande l'accès à une ressource LAN, le point d'accès (AP) demande l'identité du WN. Aucun autre trafic que l'EAP n'est autorisé avant que le WN ne soit authentifié (le « port » est fermé ou « non authentifié »). Le nœud sans fil qui demande l'authentification est souvent appelé Supplicant, le Supplicant est chargé de répondre aux données de l'Authentificateur qui établiront ses informations d'identification. Il en va de même pour le point d'accès ; l'authentificateur n'est pas le point d'accès. Le point d'accès contient plutôt un authentificateur. L'authentificateur n'a pas besoin d'être présent dans le point d'accès ; il peut s'agir d'un composant externe. Les méthodes d'authentification suivantes sont implémentées :
· Demandeur EAP-MD5 o La méthode EAP MD5-Challenge utilise un nom d'utilisateur/mot de passe simple
· EAP-PEAP-MD5 o La méthode d'authentification EAP PEAP (Protected EAP) MD5 utilise les informations d'identification de l'utilisateur et le certificat CA.
· EAP-TLS o La méthode d'authentification EAP TLS (Transport Layer Security) nécessite un certificat CA, un certificat client et une clé privée.
Le protocole EAP, utilisé pour l'authentification, était à l'origine utilisé pour le PPP par ligne commutée. L'identité était le nom d'utilisateur et l'authentification PAP ou CHAP était utilisée pour vérifier le mot de passe de l'utilisateur. Comme l'identité est envoyée en clair (et non cryptée), un renifleur malveillant peut connaître l'identité de l'utilisateur. Le « dissimulation d'identité » est donc utilisé ; la véritable identité n'est pas envoyée avant que le tunnel TLS crypté ne soit opérationnel.
16

Manuel d'utilisation
Une fois l'identité envoyée, le processus d'authentification commence. Le protocole utilisé entre le demandeur et l'authentificateur est EAP (ou EAPoL). L'authentificateur réencapsule les messages EAP au format RADIUS et les transmet au serveur d'authentification. Lors de l'authentification, l'authentificateur relaie les paquets entre le demandeur et le serveur d'authentification. Une fois le processus d'authentification terminé, le serveur d'authentification envoie un message de réussite (ou d'échec, si l'authentification a échoué). L'authentificateur ouvre alors le « port » pour le demandeur. Les paramètres d’authentification sont accessibles à partir de la page Paramètres du suppliant EAPoL. L'état de l'EAPoL actuel est affiché en détail sur la page Statistiques d'état de l'onglet EAPoL :
Une abstraction d'EAPoL sur les ROLE réseau est affichée dans la section « Connection Manager » de l'interface du tableau de bord.
17

Chapitre 2 : Configuration du système
Montré ci-dessous est un example résultat de l'authentification réussie :
Prise en charge IEEE 802.1x (EAPOL) sur les ports de commutateur IM7216-2-24E-DAC et ACM7004-5 : afin d'éviter les boucles, les utilisateurs ne doivent pas connecter plus d'un port de commutateur au même commutateur de niveau supérieur.
18

Manuel d'utilisation
2.4 Accès aux services et protection contre la force brute
L'administrateur peut accéder au serveur de console, aux ports série connectés et aux périphériques gérés à l'aide d'une gamme de protocoles/services d'accès. Pour chaque accès
· Le service doit d'abord être configuré et activé pour s'exécuter sur le serveur de console. · L'accès via le pare-feu doit être activé pour chaque connexion réseau. Pour activer et configurer un service : 1. Cliquez sur Système > Services et cliquez sur l'onglet Paramètres du service.

2. Activez et configurez les services de base :

HTTP

Par défaut, le service HTTP est en cours d'exécution et ne peut pas être entièrement désactivé. Par défaut, l'accès HTTP est désactivé sur toutes les interfaces. Nous recommandons que cet accès reste désactivé si le serveur de console est accessible à distance via Internet.
HTTP alternatif vous permet de configurer un autre port HTTP sur lequel écouter. Le service HTTP continuera d'écouter sur le port TCP 80 les communications du CMS et du connecteur mais sera inaccessible via le pare-feu.

HTTPS

Par défaut, le service HTTPS est en cours d'exécution et activé sur toutes les interfaces réseau. Il est recommandé d'utiliser uniquement l'accès HTTPS si le serveur de console doit être géré sur un réseau public. Cela garantit que les administrateurs disposent d'un accès sécurisé par navigateur à tous les menus du serveur de console. Il permet également aux utilisateurs configurés de manière appropriée d'accéder via un navigateur sécurisé aux menus Gérer sélectionnés.
Le service HTTPS peut être désactivé ou réactivé en cochant HTTPS Web Gestion et un autre port spécifié (le port par défaut est 443).

Telnet

Par défaut, le service Telnet est en cours d'exécution mais désactivé sur toutes les interfaces réseau.
Telnet peut être utilisé pour donner à un administrateur un accès au shell de ligne de commande du système. Ce service peut être utile pour l'administrateur local et l'accès utilisateur aux consoles série sélectionnées. Nous vous recommandons de désactiver ce service si le serveur de console est administré à distance.
La case à cocher Activer le shell de commande Telnet activera ou désactivera le service Telnet. Un autre port Telnet sur lequel écouter peut être spécifié dans Autre port Telnet (le port par défaut est 23).

Chapitre 2 : Configuration du système

SSH

Ce service fournit un accès SSH sécurisé au serveur de console et aux périphériques connectés

et par défaut, le service SSH est en cours d'exécution et activé sur toutes les interfaces. C'est

Il est recommandé de choisir SSH comme protocole auquel un administrateur se connecte.

le serveur de console via Internet ou tout autre réseau public. Cela fournira

communications authentifiées entre le programme client SSH sur le serveur distant

ordinateur et le serveur SSH sur le serveur de console. Pour plus d'informations sur SSH

configuration Voir Chapitre 8 – Authentification.

La case à cocher Activer le shell de commande SSH activera ou désactivera ce service. Un autre port SSH sur lequel écouter peut être spécifié dans le port du shell de commande SSH (le port par défaut est 22).

3. Activez et configurez d'autres services :

TFTP/FTP Si une carte flash USB ou un flash interne est détecté sur un serveur de console, cocher Activer le service TFTP (FTP) active ce service et configure le serveur TFTP et FTP par défaut sur la clé USB. Ces serveurs sont utilisés pour stocker la configuration files, maintenir les journaux d'accès et de transactions, etc. FileLes fichiers transférés via tftp et ftp seront stockés sous /var/mnt/storage.usb/tftpboot/ (ou /var/mnt/storage.nvlog/tftpboot/ sur les appareils de la série ACM7000). Décocher Activer le service TFTP (FTP) désactivera le service TFTP (FTP).

Vérification du relais DNS Activer le serveur/relais DNS active la fonction de relais DNS afin que les clients puissent être configurés avec l'adresse IP du serveur de console pour leur paramètre de serveur DNS, et le serveur de console transmettra les requêtes DNS au serveur DNS réel.

Web Activation de la vérification des terminaux Web Le terminal permet web accès du navigateur au shell de ligne de commande du système via Gérer > Terminal.

4. Spécifiez des numéros de port alternatifs pour les services Raw TCP, Telnet/SSH direct et Telnet/SSH non authentifiés. Le serveur de console utilise des plages spécifiques pour les ports TCP/IP pour les différents accès
services que les utilisateurs peuvent utiliser pour accéder aux périphériques connectés aux ports série (comme expliqué dans le chapitre 3 Configurer les ports série). L'administrateur peut définir des plages alternatives pour ces services et ces ports secondaires seront utilisés en plus des ports par défaut.

L'adresse de port de base TCP/IP par défaut pour l'accès Telnet est 2000 et la plage pour Telnet est l'adresse IP : Port (2000 + numéro de port série), c'est-à-dire 2001 2048. Si un administrateur définissait 8000 comme base secondaire pour Telnet, l'adresse série le port n°2 sur le serveur de console est accessible via Telnet sur IP
Adresse : 2002 et à l'adresse IP : 8002. La base par défaut pour SSH est 3000 4000 ; pour le TCP brut, la valeur est 2217 5000 ; et pour RFCXNUMX c'est XNUMX

5. D'autres services peuvent être activés et configurés à partir de ce menu en sélectionnant Cliquez ici pour configurer :

Nagios Accès aux démons de surveillance Nagios NRPE

NOIX

Accès au démon de surveillance NUT UPS

SNMP Active SNMP sur le serveur de console. SNMP est désactivé par défaut

NTP

6. Cliquez sur Appliquer. Un message de confirmation apparaît : Message Modifications apportées à la configuration réussies

Les paramètres d'accès aux services peuvent être définis pour autoriser ou bloquer l'accès. Ceci spécifie les services activés que les administrateurs peuvent utiliser sur chaque interface réseau pour se connecter au serveur de console et via le serveur de console aux périphériques connectés en série et au réseau.

Manuel d'utilisation
1. Sélectionnez l'onglet Accès au service sur la page Système > Services.
2. Ceci affiche les services activés pour les interfaces réseau du serveur de console. En fonction du modèle de serveur de console particulier, les interfaces affichées peuvent inclure : · Interface réseau (pour la connexion Ethernet principale) · Gestion LAN / Basculement OOB (secondes connexions Ethernet) · Dialout / Cellulaire (modem V90 et 3G) · Dial-in (interne ou modem V90 externe) · VPN (connexion IPsec ou Open VPN sur n'importe quelle interface réseau)
3. Cochez/décochez pour chaque réseau quel accès au service doit être activé/désactivé. Les options d'accès au service Répondre aux échos ICMP (c'est-à-dire ping) qui peuvent être configurées à ce stade.tage. Cela permet au serveur de console de répondre aux demandes d'écho ICMP entrantes. Le ping est activé par défaut. Pour une sécurité accrue, vous devez désactiver ce service lorsque vous avez terminé la configuration initiale. Vous pouvez autoriser l'accès aux périphériques de port série à partir d'interfaces réseau désignées à l'aide de TCP brut, de Telnet/SSH direct, de services Telnet/SSH non authentifiés, etc.
4. Cliquez sur Appliquer Web Paramètres de gestion La case à cocher Activer HSTS active une sécurité de transport HTTP stricte. Le mode HSTS signifie qu'un en-tête StrictTransport-Security doit être envoyé via le transport HTTPS. Un conforme web Le navigateur se souvient de cet en-tête et lorsqu'il lui est demandé de contacter le même hôte via HTTP (simple), il basculera automatiquement vers
19

Chapitre 2 : Configuration du système
HTTPS avant de tenter HTTP, à condition que le navigateur ait accédé une fois au site sécurisé et vu l'en-tête STS.
Protection contre la force brute La protection contre la force brute (Micro Fail2ban) bloque temporairement les adresses IP sources qui présentent des signes malveillants, tels qu'un trop grand nombre d'échecs de mot de passe. Cela peut être utile lorsque les services réseau de l'appareil sont exposés à un réseau non fiable tel que le WAN public et que des attaques scriptées ou des vers logiciels tentent de deviner (force brute) les informations d'identification de l'utilisateur et d'obtenir un accès non autorisé.

La protection contre la force brute peut être activée pour les services répertoriés. Par défaut, une fois la protection activée, 3 tentatives de connexion infructueuses ou plus dans les 60 secondes à partir d'une adresse IP source spécifique déclenchent son interdiction de connexion pendant une période de temps configurable. La limite de tentative et le délai d'expiration du bannissement peuvent être personnalisés. Les bannissements actifs sont également répertoriés et peuvent être actualisés en rechargeant la page.

NOTE

Lorsque vous travaillez sur un réseau non fiable, envisagez d'utiliser diverses stratégies pour verrouiller l'accès à distance. Cela inclut l'authentification par clé publique SSH, le VPN et les règles de pare-feu pour
autorisez l'accès à distance à partir de réseaux sources fiables uniquement. Consultez la base de connaissances Opengear pour plus de détails.

2.5 Logiciel de communication
Vous avez configuré les protocoles d'accès que le client administrateur doit utiliser lors de la connexion au serveur de console. Les clients utilisateurs utilisent également ces protocoles pour accéder aux périphériques connectés en série du serveur de console et aux hôtes connectés au réseau. Vous avez besoin d'outils logiciels de communication installés sur l'ordinateur de l'administrateur et de l'utilisateur client. Pour vous connecter, vous pouvez utiliser des outils tels que PuTTY et SSHTerm.

Manuel d'utilisation
Les connecteurs disponibles dans le commerce associent le protocole de tunneling SSH fiable à des outils d'accès populaires tels que Telnet, SSH, HTTP, HTTPS, VNC, RDP pour fournir un accès de gestion à distance sécurisé par pointer-cliquer à tous les systèmes et appareils gérés. Des informations sur l'utilisation des connecteurs pour l'accès du navigateur à la console de gestion du serveur de console, l'accès Telnet/SSH à la ligne de commande du serveur de console et la connexion TCP/UDP aux hôtes connectés au réseau au serveur de console sont disponibles au chapitre 5. Les connecteurs peuvent être installé sur les PC Windows, Mac OS X et sur la plupart des systèmes Linux, UNIX et Solaris.
2.6 Configuration du réseau de gestion
Les serveurs de console disposent de ports réseau supplémentaires qui peuvent être configurés pour fournir un accès au réseau local de gestion et/ou un basculement ou un accès hors bande. 2.6.1 Activer le LAN de gestion Les serveurs de console peuvent être configurés de sorte que le deuxième port Ethernet fournisse une passerelle LAN de gestion. La passerelle dispose de fonctionnalités de pare-feu, de routeur et de serveur DHCP. Vous devez connecter un commutateur LAN externe au réseau 2 pour connecter des hôtes à ce LAN de gestion :
REMARQUE Le deuxième port Ethernet peut être configuré soit comme port de passerelle LAN de gestion, soit comme port OOB/Failover. Assurez-vous de ne pas avoir alloué NET2 comme interface de basculement lorsque vous avez configuré la connexion réseau principale dans le menu Système > IP.
21

Chapitre 2 : Configuration du système
Pour configurer la passerelle Management LAN : 1. Sélectionnez l'onglet Management LAN Interface dans le menu Système > IP et décochez Désactiver. 2. Configurez l'adresse IP et le masque de sous-réseau pour le réseau local de gestion. Laissez les champs DNS vides. 3. Cliquez sur Appliquer.
La fonction de passerelle de gestion est activée avec des règles de pare-feu et de routeur par défaut configurées de sorte que le réseau local de gestion ne soit accessible que par redirection de port SSH. Cela garantit que les connexions distantes et locales aux appareils gérés sur le réseau local de gestion sont sécurisées. Les ports LAN peuvent également être configurés en mode ponté ou lié ou configurés manuellement à partir de la ligne de commande. 2.6.2 Configurer le serveur DHCP Le serveur DHCP permet la distribution automatique des adresses IP aux périphériques du réseau local de gestion qui exécutent des clients DHCP. Pour activer le serveur DHCP :
1. Cliquez sur Système > Serveur DHCP. 2. Dans l'onglet Interface réseau, cochez Activer le serveur DHCP.
22

Manuel d'utilisation
3. Saisissez l'adresse de passerelle à attribuer aux clients DHCP. Si ce champ reste vide, l'adresse IP du serveur de console est utilisée.
4. Entrez l'adresse DNS primaire et DNS secondaire pour émettre les clients DHCP. Si ce champ reste vide, l'adresse IP du serveur de console est utilisée.
5. Entrez éventuellement un suffixe de nom de domaine pour émettre des clients DHCP. 6. Entrez la durée de location par défaut et la durée de location maximale en secondes. C'est le temps
qu'une adresse IP attribuée dynamiquement est valide avant que le client doive la demander à nouveau. 7. Cliquez sur Appliquer. Le serveur DHCP émet des adresses IP à partir des pools d'adresses spécifiés : 1. Cliquez sur Ajouter dans le champ Pools d'allocation d'adresses dynamiques. 2. Entrez l'adresse de début et l'adresse de fin du pool DHCP. 3. Cliquez sur Appliquer.
23

Chapitre 2 : Configuration du système
Le serveur DHCP prend également en charge la pré-attribution d'adresses IP à attribuer à des adresses MAC spécifiques et la réservation d'adresses IP à utiliser par les hôtes connectés avec des adresses IP fixes. Pour réserver une adresse IP pour un hôte particulier :
1. Cliquez sur Ajouter dans le champ Adresses réservées. 2. Entrez le nom d'hôte, l'adresse matérielle (MAC) et l'adresse IP réservée statiquement pour
le client DHCP et cliquez sur Appliquer.
Lorsque DHCP a alloué des adresses d'hôtes, il est recommandé de les copier dans la liste pré-attribuée afin que la même adresse IP soit réattribuée en cas de redémarrage.
24

Manuel d'utilisation
2.6.3 Sélectionnez Basculement ou OOB haut débit. Les serveurs de console fournissent une option de basculement. Ainsi, en cas de problème lors de l'utilisation de la connexion LAN principale pour accéder au serveur de console, un autre chemin d'accès est utilisé. Pour activer le basculement :
1. Sélectionnez la page Interface réseau dans le menu Système > IP 2. Sélectionnez l'interface de basculement à utiliser en cas de panne.tage sur le réseau principal.
3. Cliquez sur Appliquer. Le basculement devient actif une fois que vous avez spécifié les sites externes à sonder pour déclencher le basculement et configuré les ports de basculement.
2.6.4 Agrégation des ports réseau Par défaut, les ports réseau Management LAN du serveur de console sont accessibles via le tunneling SSH/la redirection de port ou en établissant un tunnel VPN IPsec vers le serveur de console. Tous les ports réseau câblés sur les serveurs de console peuvent être regroupés en étant pontés ou liés.
25

Manuel d'utilisation
· Par défaut, l'agrégation d'interfaces est désactivée dans le menu Système > IP > Paramètres généraux · Sélectionnez Interfaces de pont ou Interfaces de liaison
o Lorsque le pontage est activé, le trafic réseau est transféré sur tous les ports Ethernet sans aucune restriction de pare-feu. Tous les ports Ethernet sont tous connectés de manière transparente au niveau de la couche liaison de données (couche 2) afin qu'ils conservent leurs adresses MAC uniques.
o Avec le bonding, le trafic réseau est acheminé entre les ports mais présent avec une seule adresse MAC
Les deux modes suppriment toutes les fonctions de l'interface LAN de gestion et de l'interface hors bande/failover et désactivent le serveur DHCP. · En mode agrégation, tous les ports Ethernet sont configurés collectivement à l'aide du menu Interface réseau.
25

Chapitre 2 : Configuration du système
2.6.5 Routes statiques Les routes statiques fournissent un moyen très rapide d'acheminer les données d'un sous-réseau vers un autre sous-réseau. Vous pouvez coder en dur un chemin qui indique au serveur/routeur de console d'accéder à un certain sous-réseau en utilisant un certain chemin. Cela peut être utile pour accéder à divers sous-réseaux sur un site distant lors de l'utilisation de la connexion cellulaire OOB.

Pour ajouter de la route statique à la table de routage du système :
1. Sélectionnez l'onglet Paramètres de route dans le menu Système > Paramètres généraux IP.
2. Cliquez sur Nouvel itinéraire
3. Entrez un nom d'itinéraire pour l'itinéraire.
4. Dans le champ Réseau/hôte de destination, saisissez l'adresse IP du réseau/hôte de destination auquel la route donne accès.
5. Entrez une valeur dans le champ Masque de réseau de destination qui identifie le réseau ou l'hôte de destination. N'importe quel nombre compris entre 0 et 32. Un masque de sous-réseau de 32 identifie une route hôte.
6. Entrez Route Gateway avec l'adresse IP d'un routeur qui acheminera les paquets vers le réseau de destination. Ce champ peut rester vide.
7. Sélectionnez l'interface à utiliser pour atteindre la destination, peut être laissée sur Aucune.
8. Entrez une valeur dans le champ Métrique qui représente la métrique de cette connexion. Utilisez n'importe quel nombre égal ou supérieur à 0. Cela ne doit être défini que si deux routes ou plus sont en conflit ou ont des cibles qui se chevauchent.
9. Cliquez sur Appliquer.

NOTE

La page des détails de l'itinéraire fournit une liste d'interfaces réseau et de modems auxquels un itinéraire peut être lié. Dans le cas d'un modem, la route sera attachée à toute session de connexion établie via cet appareil. Un itinéraire peut être spécifié avec une passerelle, une interface ou les deux. Si l'interface spécifiée n'est pas active, les routes configurées pour cette interface ne seront pas actives.

Manuel d'utilisation 3. CONFIGURATION DU PORT SÉRIE, DE L'HÔTE, DE L'APPAREIL ET DE L'UTILISATEUR
Le serveur de console permet l'accès et le contrôle des périphériques connectés en série et des périphériques connectés au réseau (hôtes). L'administrateur doit configurer les privilèges d'accès pour chacun de ces appareils et spécifier les services qui peuvent être utilisés pour contrôler les appareils. L'administrateur peut également configurer de nouveaux utilisateurs et spécifier les privilèges d'accès et de contrôle individuels de chaque utilisateur.
Ce chapitre couvre chacune des étapes de configuration des appareils connectés au réseau et connectés en série : · Ports série, configuration des protocoles utilisés pour les appareils connectés en série · Utilisateurs et groupes, configuration des utilisateurs et définition des autorisations d'accès pour chacun de ces utilisateurs · Authentification, ceci est couvert en plus détails au chapitre 8 · Hôtes réseau configurant l'accès aux ordinateurs ou appareils (hôtes) connectés au réseau local · Configuration des réseaux de confiance – désigne les adresses IP à partir desquelles les utilisateurs de confiance accèdent · Mise en cascade et redirection des ports de console série · Connexion à l'alimentation (UPS, PDU et IPMI) et périphériques de surveillance de l'environnement (EMD) · Redirection de port série à l'aide des clients Windows et Linux PortShare · Périphériques gérés – présente une vue d'ensemble consolidée view de toutes les connexions · IPSec permettant la connexion VPN · OpenVPN · PPTP
3.1 Configurer les ports série
La première étape de la configuration d'un port série consiste à définir les paramètres communs tels que les protocoles et les paramètres RS232 qui doivent être utilisés pour la connexion de données à ce port (par exemple, débit en bauds). Sélectionnez le mode dans lequel le port doit fonctionner. Chaque port peut être configuré pour prendre en charge l'un de ces modes de fonctionnement :
· Le mode désactivé est la valeur par défaut, le port série est inactif
27

Chapitre 3:

Configuration du port série, de l'hôte, du périphérique et de l'utilisateur

· Le mode serveur de console permet un accès général au port de console série sur les périphériques connectés en série
· Le mode Appareil configure le port série pour communiquer avec une PDU, un UPS ou un dispositif de surveillance de l'environnement (EMD) intelligent contrôlé en série.
· Le mode Terminal Server configure le port série pour qu'il attende une session de connexion de terminal entrante. · Le mode Serial Bridge permet l'interconnexion transparente de deux périphériques à port série sur un
réseau.
1. Sélectionnez Série et réseau > Port série pour afficher les détails du port série. 2. Par défaut, chaque port série est défini en mode serveur console. Cliquez sur Modifier à côté du port à modifier.
reconfiguré. Ou cliquez sur Modifier plusieurs ports et sélectionnez les ports que vous souhaitez configurer en tant que groupe. 3. Une fois que vous avez reconfiguré les paramètres communs et le mode pour chaque port, configurez n'importe quel syslog distant (voir les sections suivantes pour des informations spécifiques). Cliquez sur Appliquer 4. Si le serveur de console a été configuré avec la surveillance distribuée Nagios activée, utilisez les options des paramètres Nagios pour activer les services désignés sur l'hôte à surveiller. 3.1.1 Paramètres communs Il existe un certain nombre de paramètres communs qui peuvent être définis pour chaque série. port. Ceux-ci sont indépendants du mode dans lequel le port est utilisé. Ces paramètres de port série doivent être définis de manière à correspondre aux paramètres de port série du périphérique que vous connectez à ce port :
28

Manuel d'utilisation

· Tapez une étiquette pour le port · Sélectionnez le débit en bauds, la parité, les bits de données, les bits d'arrêt et le contrôle de flux appropriés pour chaque port

· Définissez le brochage du port. Cet élément de menu apparaît pour les ports IM7200 où le brochage de chaque port série RJ45 peut être défini sur X2 (Cisco Straight) ou X1 (Cisco Rolled).

· Réglez le mode DTR. Cela vous permet de choisir si le DTR est toujours affirmé ou uniquement lorsqu'il y a une session utilisateur active.

· Avant de poursuivre la configuration du port série, vous devez connecter les ports aux périphériques série qu'ils contrôleront et vous assurer qu'ils ont les paramètres correspondants.

3.1.2

Mode serveur de console
Sélectionnez Mode serveur de console pour activer l'accès de gestion à distance à la console série connectée à ce port série :

Niveau de journalisation Ceci spécifie le niveau d'informations à enregistrer et à surveiller.
29

Chapitre 3 : Configuration du port série, de l'hôte, du périphérique et de l'utilisateur
Niveau 0 : désactiver la journalisation (par défaut)
Niveau 1 : Enregistrer les événements LOGIN, LOGOUT et SIGNAL
Niveau 2 : journaliser les événements LOGIN, LOGOUT, SIGNAL, TXDATA et RXDATA
Niveau 3 : journaliser les événements LOGIN, LOGOUT, SIGNAL et RXDATA
Niveau 4 : journaliser les événements LOGIN, LOGOUT, SIGNAL et TXDATA
L'entrée/RXDATA correspond aux données reçues par le périphérique Opengear à partir du périphérique série connecté, et la sortie/TXDATA correspond aux données envoyées par le périphérique Opengear (par exemple saisies par l'utilisateur) au périphérique série connecté.
Les consoles des appareils renvoient généralement les caractères au fur et à mesure qu'ils sont saisis, de sorte que les TXDATA saisies par un utilisateur sont ensuite reçues sous la forme RXDATA, affichées sur leur terminal.
REMARQUE : Après avoir demandé un mot de passe, l'appareil connecté envoie des caractères * pour empêcher l'affichage du mot de passe.

Telnet Lorsque le service Telnet est activé sur le serveur de console, un client Telnet sur l'ordinateur d'un utilisateur peut se connecter à un périphérique série connecté à ce port série sur le serveur de console. Les communications Telnet n'étant pas cryptées, ce protocole n'est recommandé que pour les connexions locales ou tunnelées VPN.
Si les communications à distance sont tunnelisées avec un connecteur, Telnet peut être utilisé pour accéder en toute sécurité à ces périphériques connectés.

NOTE

En mode serveur de console, les utilisateurs peuvent utiliser un connecteur pour configurer des connexions Telnet sécurisées via un tunnel SSH depuis leurs ordinateurs clients vers le port série du serveur de console. Les connecteurs peuvent être installés sur les PC Windows et la plupart des plates-formes Linux et permettent de sélectionner des connexions Telnet sécurisées par pointer-cliquer.

Pour utiliser un connecteur pour accéder aux consoles sur les ports série du serveur de console, configurez le connecteur avec le serveur de console en tant que passerelle et en tant qu'hôte, et activez le service Telnet sur le port (2000 + numéro de port série), c'est-à-dire 2001.

Vous pouvez également utiliser des packages de communication standard tels que PuTTY pour établir une connexion Telnet ou SSH directe aux ports série.

REMARQUE En mode serveur console, lorsque vous vous connectez à un port série, vous vous connectez via pmshell. Pour générer un BREAK sur le port série, tapez la séquence de caractères ~b. Si vous faites cela via OpenSSH, tapez ~~b.

SSH

Il est recommandé d'utiliser SSH comme protocole lorsque les utilisateurs se connectent au serveur de console

(ou connectez-vous via le serveur de console aux consoles série connectées) via Internet ou tout autre

autre réseau public.

Pour l'accès SSH aux consoles sur les périphériques connectés aux ports série du serveur de console, vous pouvez utiliser un connecteur. Configurez le connecteur avec le serveur de console en tant que passerelle et en tant qu'hôte, et activez le service SSH sur le port (3000 + numéro de port série), c'est-à-dire 3001-3048.

Vous pouvez également utiliser des packages de communication courants, comme PuTTY ou SSHTerm pour vous connecter SSH à l'adresse du port Adresse IP _ Port (3000 + numéro de port série), c'est-à-dire 3001.

Les connexions SSH peuvent être configurées à l'aide du port SSH standard 22. Le port série auquel vous accédez est identifié en ajoutant un descripteur au nom d'utilisateur. Cette syntaxe prend en charge :

Manuel d'utilisation
: : Pour qu'un utilisateur nommé chris accède au port série 2, lors de la configuration de SSHTerm ou du client PuTTY SSH, au lieu de taper username = chris et ssh port = 3002, l'alternative consiste à taper username = chris:port02 (ou username = chris : ttyS1) et ssh port = 22. Ou en tapant username=chris:serial et ssh port = 22, l'utilisateur se voit proposer une option de sélection de port :

Cette syntaxe permet aux utilisateurs de configurer des tunnels SSH vers tous les ports série avec un seul port IP 22 devant être ouvert dans leur pare-feu/passerelle.
REMARQUE En mode serveur console, vous vous connectez à un port série via pmshell. Pour générer un BREAK sur le port série, tapez la séquence de caractères ~b. Si vous faites cela via OpenSSH, tapez ~~b.

TCP

RAW TCP permet les connexions à un socket TCP. Alors que les programmes de communication comme PuTTY

prend également en charge RAW TCP, ce protocole est généralement utilisé par une application personnalisée

Pour RAW TCP, l'adresse du port par défaut est Adresse IP _ Port (4000 + numéro de port série), soit 4001 4048

RAW TCP permet également au port série d'être tunnelisé vers un serveur de console distant, afin que deux périphériques à port série puissent s'interconnecter de manière transparente sur un réseau (voir Chapitre 3.1.6 Pontage série).

RFC2217 La sélection de RFC2217 active la redirection du port série sur ce port. Pour RFC2217, l'adresse du port par défaut est Adresse IP _ Port (5000 + numéro de port série), c'est-à-dire 5001 5048.
Un logiciel client spécial est disponible pour Windows UNIX et Linux qui prend en charge les ports COM virtuels RFC2217, afin qu'un hôte distant puisse surveiller et gérer les périphériques distants connectés en série comme s'ils étaient connectés au port série local (voir le chapitre 3.6 Redirection du port série pour plus de détails).
RFC2217 permet également au port série d'être tunnelisé vers un serveur de console distant, afin que deux périphériques à port série puissent s'interconnecter de manière transparente sur un réseau (voir Chapitre 3.1.6 Pontage série).

Telnet non authentifié Ceci permet l'accès Telnet au port série sans informations d'authentification. Lorsqu'un utilisateur accède au serveur de console via Telnet sur un port série, il reçoit une invite de connexion. Avec Telnet non authentifié, ils se connectent directement via le port sans aucune difficulté de connexion au serveur de console. Si un client Telnet demande une authentification, toutes les données saisies autorisent la connexion.

Chapitre 3 : Configuration du port série, de l'hôte, du périphérique et de l'utilisateur
Ce mode est utilisé avec un système externe (tel que conserver) gérant l'authentification des utilisateurs et les privilèges d'accès au niveau du périphérique série.
La connexion à un appareil connecté au serveur de console peut nécessiter une authentification.
Pour Telnet non authentifié, l'adresse du port par défaut est Adresse IP _ Port (6000 + numéro de port série), c'est-à-dire 6001 6048.

SSH non authentifié Ceci permet l'accès SSH au port série sans informations d'authentification. Lorsqu'un utilisateur accède au serveur de console via Telnet sur un port série, il reçoit une invite de connexion. Avec SSH non authentifié, ils se connectent directement via le port sans aucune difficulté de connexion au serveur de console.
Ce mode est utilisé lorsque vous disposez d'un autre système gérant l'authentification des utilisateurs et les privilèges d'accès au niveau du périphérique série, mais que vous souhaitez chiffrer la session sur le réseau.
La connexion à un appareil connecté au serveur de console peut nécessiter une authentification.
Pour Telnet non authentifié, l'adresse du port par défaut est Adresse IP _ Port (7000 + numéro de port série), c'est-à-dire 7001 7048.
Le : la méthode d'accès au port (telle que décrite dans la section SSH ci-dessus) nécessite toujours une authentification.

Web Terminal Ceci permet web accès du navigateur au port série via Gérer > Périphériques : Série à l'aide du terminal AJAX intégré à la console de gestion. Web Le terminal se connecte en tant qu'utilisateur de la console de gestion actuellement authentifié et ne se réauthentifie pas. Voir la section 12.3 pour plus de détails.

Alias IP

Activez l'accès au port série à l'aide d'une adresse IP spécifique, spécifiée au format CIDR. Chaque port série peut se voir attribuer un ou plusieurs alias IP, configurés pour chaque interface réseau. Un port série peut, par ex.ample, être rendu accessible à la fois au 192.168.0.148 (dans le cadre du réseau interne) et au 10.10.10.148 (dans le cadre du LAN de gestion). Il est également possible de rendre disponible un port série sur deux adresses IP sur le même réseau (par example, 192.168.0.148 et 192.168.0.248).

Ces adresses IP ne peuvent être utilisées que pour accéder au port série spécifique, accessible à l'aide des numéros de port TCP du protocole standard des services du serveur de console. Par exempleample, SSH sur le port série 3 serait accessible sur le port 22 d'un alias IP de port série (alors que sur l'adresse principale du serveur de console, il est disponible sur le port 2003).

Cette fonctionnalité peut également être configurée via la page d'édition de ports multiples. Dans ce cas, les adresses IP sont appliquées séquentiellement, le premier port sélectionné recevant l'adresse IP saisie et les suivants étant incrémentés, les numéros étant ignorés pour tous les ports non sélectionnés. Par exempleample, si les ports 2, 3 et 5 sont sélectionnés et que l'alias IP 10.0.0.1/24 est saisi pour l'interface réseau, les adresses suivantes sont attribuées :

Port 2 : 10.0.0.1/24

Port 3 : 10.0.0.2/24

Port 5 : 10.0.0.4/24

Les alias IP prennent également en charge les adresses d'alias IPv6. La seule différence est que les adresses sont des nombres hexadécimaux, donc le port 10 peut correspondre à une adresse se terminant par A et 11 à un port se terminant par B, plutôt que 10 ou 11 selon IPv4.

Manuel d'utilisation
Chiffrer le trafic/Authentifier Activez le cryptage et l'authentification triviaux des communications série RFC2217 à l'aide de Portshare (pour un cryptage fort, utilisez VPN).
Période d'accumulation Une fois qu'une connexion a été établie pour un port série particulier (telle qu'une redirection RFC2217 ou une connexion Telnet vers un ordinateur distant), tous les caractères entrants sur ce port sont transférés sur le réseau caractère par caractère. La période d'accumulation spécifie une période de temps pendant laquelle les caractères entrants sont collectés avant d'être envoyés sous forme de paquet sur le réseau.
Caractère d'échappement Modifiez le caractère utilisé pour envoyer les caractères d'échappement. La valeur par défaut est ~. Remplacer Retour arrière Remplacer la valeur de retour arrière par défaut de CTRL+ ? (127) avec CTRL+h (8). Menu d'alimentation La commande pour afficher le menu d'alimentation est ~p et active la commande d'alimentation du shell afin qu'un
L'utilisateur peut contrôler la connexion électrique à un appareil géré à partir de la ligne de commande lorsqu'il est connecté Telnet ou SSH à l'appareil. Le périphérique géré doit être configuré avec sa connexion au port série et sa connexion d'alimentation configurées.
Connexion unique Ceci limite le port à une seule connexion, donc si plusieurs utilisateurs ont des privilèges d'accès pour un port particulier, un seul utilisateur à la fois peut accéder à ce port (c'est-à-dire que la surveillance des ports n'est pas autorisée).
33

Chapitre 3 : Configuration du port série, de l'hôte, du périphérique et de l'utilisateur
3.1.3 Mode Périphérique (RPC, UPS, Environnemental) Ce mode configure le port série sélectionné pour communiquer avec une alimentation sans interruption (UPS) contrôlée en série, un contrôleur d'alimentation à distance/des unités de distribution d'énergie (RPC) ou un dispositif de surveillance de l'environnement (environnemental).

1. Sélectionnez le type de périphérique souhaité (UPS, RPC ou environnemental)
2. Accédez à la page de configuration du périphérique appropriée (Série et réseau > Connexions UPS, Connexion RPC ou Environnement) comme détaillé au chapitre 7.

3.1.4 ·

Mode serveur de terminaux
Sélectionnez le mode Terminal Server et le type de terminal (vt220, vt102, vt100, Linux ou ANSI) pour activer getty sur le port série sélectionné.

Getty configure le port et attend qu'une connexion soit établie. Une connexion active sur un périphérique série est indiquée par la broche DCD (Data Carrier Detect) surélevée sur le périphérique série. Lorsqu'une connexion est détectée, le programme getty émet une invite login: et appelle le programme de connexion pour gérer la connexion au système.
REMARQUE La sélection du mode Terminal Server désactive Port Manager pour ce port série, de sorte que les données ne sont plus enregistrées pour les alertes, etc.

Manuel d'utilisation
3.1.5 Mode de pontage série Avec le pontage série, les données série sur un port série désigné sur un serveur de console sont encapsulées dans des paquets réseau et transportées sur un réseau vers un deuxième serveur de console où elles sont représentées sous forme de données série. Les deux serveurs de console agissent comme un câble série virtuel sur un réseau IP. Un serveur de console est configuré pour être le serveur. Le port série du serveur à ponter est défini en mode serveur console avec RFC2217 ou RAW activé. Pour le serveur de console client, le port série à ponter doit être défini en mode pontage :
· Sélectionnez le mode de pontage série et spécifiez l'adresse IP du serveur de console du serveur et l'adresse du port TCP du port série distant (pour le pontage RFC2217, ce sera 5001-5048)
· Par défaut, le client de pontage utilise RAW TCP. Sélectionnez RFC2217 s'il s'agit du mode de serveur de console que vous avez spécifié sur le serveur de console du serveur
· Vous pouvez sécuriser les communications sur Ethernet local en activant SSH. Générez et téléchargez des clés.
3.1.6 Syslog En plus de la journalisation et de la surveillance intégrées qui peuvent être appliquées aux accès de gestion connectés en série et au réseau, comme expliqué au chapitre 6, le serveur de console peut également être configuré pour prendre en charge le protocole Syslog distant sur un port série individuel. base:
· Sélectionnez les champs Syslog Facility/Priority pour activer la journalisation du trafic sur le port série sélectionné vers un serveur Syslog ; et pour trier et agir sur ces messages enregistrés (c'est-à-dire les rediriger/envoyer un e-mail d'alerte.)
35

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
Par exempleample, si l'ordinateur connecté au port série 3 ne doit jamais rien envoyer sur son port de console série, l'administrateur peut définir la fonction pour ce port sur local0 (local0 .. local7 sont destinés aux valeurs locales du site) et la priorité sur critique. . Avec cette priorité, si le serveur Syslog du serveur de console reçoit un message, il déclenche une alerte. Voir le chapitre 6. 3.1.7 Diffusion NMEA L'ACM7000-L peut fournir une diffusion de données GPS NMEA à partir du modem GPS/cellulaire interne. Ce flux de données se présente sous la forme d'un flux de données série sur le port 5 sur les modèles ACM.
Les paramètres communs (débit en bauds, etc.) sont ignorés lors de la configuration du port série NMEA. Vous pouvez spécifier la fréquence de correction (c'est-à-dire que ce taux de correction GPS détermine la fréquence à laquelle les corrections GPS sont obtenues). Vous pouvez également appliquer tous les paramètres du mode serveur de console, du Syslog et du pont série à ce port.
Vous pouvez utiliser pmshell, webshell, SSH, RFC2217 ou RawTCP pour accéder au flux :
Par exempleample, en utilisant le Web Terminal:
36

Manuel d'utilisation

3.1.8 Consoles USB
Les serveurs de console dotés de ports USB prennent en charge les connexions de console USB aux appareils d'un large éventail de fournisseurs, notamment Cisco, HP, Dell et Brocade. Ces ports USB peuvent également fonctionner comme de simples ports série RS-232 lorsqu'un adaptateur USB vers série est connecté.

Ces ports USB sont disponibles en tant que ports PortManager classiques et sont présentés numériquement dans le web Interface utilisateur après tous les ports série RJ45.

L'ACM7008-2 dispose de huit ports série RJ45 à l'arrière du serveur de console et de quatre ports USB à l'avant. Dans Série et réseau > Port série, ils sont répertoriés comme

Port # Connecteur

RJ45

USB

10 USB

11 USB

12 USB

Si l'ACM7008-2 particulier est un modèle cellulaire, le port n° 13 – pour le GPS – sera également répertorié.

Le 7216-24U dispose de 16 ports série RJ45 et de 24 ports USB sur sa face arrière ainsi que de deux ports USB en façade et (dans le modèle cellulaire) d'un GPS.

Les ports série RJ45 sont présentés dans Série et réseau > Port série sous les numéros de port 1. Les 16 ports USB orientés vers l'arrière prennent les numéros de port 24, et les ports USB orientés vers l'avant sont répertoriés sous les numéros de port 17 et 40 respectivement. Et, comme pour l'ACM41-42, si le 7008-2U est un modèle cellulaire, le GPS est présenté au port numéro 7216.

Les paramètres communs (débit en bauds, etc.) sont utilisés lors de la configuration des ports, mais certaines opérations peuvent ne pas fonctionner en fonction de l'implémentation de la puce série USB sous-jacente.

3.2 Ajouter et modifier des utilisateurs
L'administrateur utilise cette sélection de menu pour créer, modifier et supprimer des utilisateurs et pour définir les autorisations d'accès pour chacun de ces utilisateurs.

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur

Les utilisateurs peuvent être autorisés à accéder à des services spécifiés, des ports série, des périphériques d'alimentation et des hôtes connectés au réseau spécifiés. Ces utilisateurs peuvent également bénéficier du statut d'administrateur complet (avec des privilèges complets de configuration, de gestion et d'accès).

Les utilisateurs peuvent être ajoutés à des groupes. Six groupes sont configurés par défaut :

administrateur

Fournit des privilèges de configuration et de gestion illimités.

pptpd

Permet d'accéder au serveur VPN PPTP. Les utilisateurs de ce groupe ont leur mot de passe stocké en texte clair.

composer

Permet l'accès commuté via des modems. Les utilisateurs de ce groupe ont leur mot de passe stocké en texte clair.

ftp

Permet l'accès FTP et file accès aux périphériques de stockage.

pmshell

Définit le shell par défaut sur pmshell.

utilisateurs

Fournit aux utilisateurs des privilèges de gestion de base.

Le groupe admin offre aux membres tous les privilèges d’administrateur. L'utilisateur administrateur peut accéder au serveur de console en utilisant n'importe lequel des services qui ont été activés dans Système > Services. Il peut également accéder à n'importe lequel des hôtes connectés ou périphériques de port série en utilisant l'un des services qui ont été activés pour ces connexions. Seuls les utilisateurs de confiance doivent avoir un accès administrateur
Le groupe d'utilisateurs offre aux membres un accès limité au serveur de console et aux hôtes et périphériques série connectés. Ces utilisateurs peuvent uniquement accéder à la section Gestion du menu de la console de gestion et n'ont pas d'accès en ligne de commande au serveur de console. Ils ne peuvent accéder qu'aux hôtes et aux périphériques série qui ont été vérifiés pour eux, en utilisant les services qui ont été activés.
Les utilisateurs des groupes pptd, dialin, ftp ou pmshell ont un accès restreint au shell utilisateur aux appareils gérés désignés, mais ils n'auront pas d'accès direct au serveur de console. Pour ajouter cela, les utilisateurs doivent également être membres des groupes d'utilisateurs ou d'administrateurs.
L'administrateur peut configurer des groupes supplémentaires avec des autorisations d'accès spécifiques au périphérique d'alimentation, au port série et à l'hôte. Les utilisateurs de ces groupes supplémentaires n'ont aucun accès au menu de la console de gestion et n'ont pas non plus d'accès en ligne de commande au serveur de console.

Manuel d'utilisation
L'administrateur peut configurer des utilisateurs avec des autorisations d'accès spécifiques au périphérique d'alimentation, au port série et à l'hôte qui ne sont membres d'aucun groupe. Ces utilisateurs n'ont aucun accès au menu de la console de gestion ni accès en ligne de commande au serveur de console. 3.2.1 Créer un nouveau groupe Pour créer de nouveaux groupes et de nouveaux utilisateurs, et classer les utilisateurs comme membres de groupes particuliers :
1. Sélectionnez Série et réseau > Utilisateurs et groupes pour afficher tous les groupes et utilisateurs 2. Cliquez sur Ajouter un groupe pour ajouter un nouveau groupe.
3. Ajoutez un nom de groupe et une description pour chaque nouveau groupe, et nommez les hôtes accessibles, les ports accessibles et les prises RPC accessibles auxquels les utilisateurs de ce nouveau groupe pourront accéder.
4. Cliquez sur Appliquer 5. L'administrateur peut modifier ou supprimer tout groupe ajouté 3.2.2 Configurer de nouveaux utilisateurs Pour configurer de nouveaux utilisateurs et classer les utilisateurs comme membres de groupes particuliers : 1. Sélectionnez Série et réseau > Utilisateurs et groupes à afficher. tous les groupes et utilisateurs 2. Cliquez sur Ajouter un utilisateur
39

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
3. Ajoutez un nom d'utilisateur pour chaque nouvel utilisateur. Vous pouvez également inclure des informations relatives à l'utilisateur (par exemple les coordonnées) dans le champ Description. Le Nom d'utilisateur peut contenir de 1 à 127 caractères alphanumériques ainsi que les caractères « - », « _ » et « . ».
4. Spécifiez les groupes dont vous souhaitez que l'utilisateur soit membre. 5. Ajoutez un mot de passe confirmé pour chaque nouvel utilisateur. Tous les caractères sont autorisés. 6. L'authentification par mot de passe SSH peut être utilisée. Collez les clés publiques des comptes publics/privés autorisés
paires de clés pour cet utilisateur dans le champ Clés SSH autorisées 7. Cochez Désactiver l'authentification par mot de passe pour autoriser uniquement l'authentification par clé publique pour cet utilisateur
lorsque vous utilisez SSH 8. Cochez Activer le rappel dans le menu Options de numérotation pour autoriser une connexion de rappel sortante
être déclenché en vous connectant à ce port. Entrez le numéro de téléphone de rappel avec le numéro de téléphone à rappeler lorsque l'utilisateur se connecte 9. Cochez Hôtes accessibles et/ou Ports accessibles pour désigner les ports série et les hôtes connectés au réseau auxquels vous souhaitez que l'utilisateur ait des privilèges d'accès 10. Si s'il existe des RPC configurés, cochez Prises RPC accessibles pour spécifier les prises que l'utilisateur peut contrôler (c'est-à-dire Marche/Arrêt) 11. Cliquez sur Appliquer. Le nouvel utilisateur pourra accéder aux périphériques réseau, aux ports et aux prises RPC accessibles. Si l'utilisateur est membre du groupe, il peut également accéder à tout autre appareil/port/prise accessible au groupe.
40

Manuel d'utilisation
Il n'y a aucune limite quant au nombre d'utilisateurs que vous pouvez configurer ni au nombre d'utilisateurs par port série ou hôte. Plusieurs utilisateurs peuvent contrôler/surveiller un port ou un hôte. Il n'y a pas de limite sur le nombre de groupes et chaque utilisateur peut être membre de plusieurs groupes. Un utilisateur n'a pas besoin d'être membre d'un groupe, mais s'il est membre du groupe d'utilisateurs par défaut, il ne pourra pas utiliser la console de gestion pour gérer les ports. Bien qu'il n'y ait pas de limites, le temps de reconfiguration augmente à mesure que le nombre et la complexité augmentent. Nous recommandons de maintenir le nombre total d'utilisateurs et de groupes à moins de 250. L'administrateur peut également modifier les paramètres d'accès pour tous les utilisateurs existants :
· Sélectionnez Série et réseau > Utilisateurs et groupes et cliquez sur Modifier pour modifier les privilèges d'accès de l'utilisateur. · Cliquez sur Supprimer pour supprimer l'utilisateur. · Cliquez sur Désactiver pour bloquer temporairement les privilèges d'accès.
3.3 Authentification
Voir le chapitre 8 pour les détails de configuration de l'authentification.
3.4 Hôtes réseau
Pour surveiller et accéder à distance à un ordinateur ou à un périphérique en réseau local (appelé hôte), vous devez identifier l'hôte :
1. La sélection de Série et réseau > Hôtes réseau présente tous les hôtes connectés au réseau dont l'utilisation a été activée.
2. Cliquez sur Ajouter un hôte pour activer l'accès à un nouvel hôte (ou sélectionnez Modifier pour mettre à jour les paramètres de l'hôte existant).
41

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
3. Si l'hôte est un périphérique d'alimentation PDU ou UPS ou un serveur avec contrôle d'alimentation IPMI, spécifiez RPC (pour IPMI et PDU) ou UPS et le type de périphérique. L'administrateur peut configurer ces périphériques et indiquer quels utilisateurs sont autorisés à effectuer une mise sous tension à distance, etc. Voir le chapitre 7. Sinon, laissez le type de périphérique défini sur Aucun.
4. Si le serveur de console a été configuré avec la surveillance distribuée Nagios activée, vous verrez également les options Paramètres Nagios pour activer les services nommés sur l'hôte à surveiller.
5. Cliquez sur Appliquer. Cela crée le nouvel hôte et crée également un nouveau périphérique géré portant le même nom.
3.5 Réseaux de confiance
La fonction Réseaux de confiance vous offre la possibilité de désigner des adresses IP sur lesquelles les utilisateurs doivent se trouver pour avoir accès aux ports série du serveur de console :
42

Manuel d'utilisation
1. Sélectionnez Série et réseau > Réseaux de confiance. 2. Pour ajouter un nouveau réseau de confiance, sélectionnez Ajouter une règle. En l'absence de règles, il n'y a pas d'accès
limitations quant à l’adresse IP à laquelle les utilisateurs peuvent être localisés.

3. Sélectionnez les ports accessibles auxquels la nouvelle règle doit être appliquée.
4. Entrez l'adresse réseau du sous-réseau auquel l'accès est autorisé.
5. Spécifiez la plage d'adresses qui doivent être autorisées en entrant un masque de réseau pour cette plage IP autorisée, par exemple
· Pour permettre à tous les utilisateurs situés avec une connexion réseau de classe C particulière d'accéder au port désigné, ajoutez la nouvelle règle de réseau de confiance suivante :

Adresse IP du réseau

204.15.5.0

Masque de sous-

255.255.255.0

· Pour permettre à un seul utilisateur situé à une adresse IP spécifique de se connecter :

Adresse IP du réseau

204.15.5.13

Masque de sous-

255.255.255.255

· Pour permettre à tous les utilisateurs opérant à partir d'une plage spécifique d'adresses IP (par exemple l'une des trente adresses de 204.15.5.129 à 204.15.5.158) d'être autorisés à se connecter au port désigné :

Adresse hôte/sous-réseau

204.15.5.128

Masque de sous-

255.255.255.224

6. Cliquez sur Appliquer

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
3.6 Mise en cascade du port série
Les ports en cascade vous permettent de regrouper des serveurs de console distribués afin qu'un grand nombre de ports série (jusqu'à 1000 XNUMX) puissent être configurés et accessibles via une seule adresse IP et gérés via une seule console de gestion. Un serveur de console, le principal, contrôle d'autres serveurs de console en tant qu'unités de nœud et tous les ports série des unités de nœud apparaissent comme s'ils faisaient partie du principal. Le clustering d'Opengear connecte chaque nœud au primaire avec une connexion SSH. Cela se fait à l'aide de l'authentification par clé publique, de sorte que le principal puisse accéder à chaque nœud à l'aide de la paire de clés SSH (plutôt que d'utiliser des mots de passe). Cela garantit des communications authentifiées sécurisées entre le principal et les nœuds, permettant aux unités de serveur de console Node d'être distribuées localement sur un réseau local ou à distance dans le monde entier.
3.6.1 Générer et télécharger automatiquement des clés SSH Pour configurer l'authentification par clé publique, vous devez d'abord générer une paire de clés RSA ou DSA et les télécharger sur les serveurs de console principal et de nœud. Cela peut être fait automatiquement à partir du primaire :
44

Manuel d'utilisation
1. Sélectionnez Système > Administration sur la console de gestion principale.
2. Cochez Générer automatiquement les clés SSH. 3. Cliquez sur Appliquer
Ensuite, vous devez choisir si vous souhaitez générer des clés en utilisant RSA et/ou DSA (en cas de doute, sélectionnez uniquement RSA). La génération de chaque jeu de clés nécessite deux minutes et les nouvelles clés détruisent les anciennes clés de ce type. Pendant que la nouvelle génération est en cours, les fonctions reposant sur des clés SSH (par exemple en cascade) peuvent cesser de fonctionner jusqu'à ce qu'elles soient mises à jour avec le nouveau jeu de clés. Pour générer des clés :
1. Cochez les cases des clés que vous souhaitez générer. 2. Cliquez sur Appliquer
3. Une fois les nouvelles clés générées, cliquez sur le lien Cliquez ici pour revenir. Les clés sont téléchargées
aux nœuds principaux et connectés.
3.6.2 Générer et télécharger manuellement des clés SSH. Alternativement, si vous disposez d'une paire de clés RSA ou DSA, vous pouvez les télécharger sur les serveurs de console principal et de nœud. Pour télécharger la paire de clés publique et privée sur le serveur de console principal :
1. Sélectionnez Système > Administration sur la console de gestion du serveur principal.
2. Accédez à l'emplacement où vous avez stocké la clé publique RSA (ou DSA) et téléchargez-la sur la clé publique SSH RSA (DSA).
3. Accédez à la clé privée RSA (ou DSA) stockée et téléchargez-la sur la clé privée SSH RSA (DSA) 4. Cliquez sur Appliquer.
45

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
Ensuite, vous devez enregistrer la clé publique en tant que clé autorisée sur le nœud. Dans le cas d'un principal avec plusieurs nœuds, vous téléchargez une clé publique RSA ou DSA pour chaque nœud.
1. Sélectionnez Système > Administration sur la console de gestion du nœud. 2. Accédez à la clé publique RSA (ou DSA) stockée et téléchargez-la sur la clé autorisée SSH du nœud.
3. Cliquez sur Appliquer. L'étape suivante consiste à empreinter chaque nouvelle connexion Node-Primary. Cette étape valide que vous établissez une session SSH avec celui que vous pensez être. Lors de la première connexion, le nœud reçoit une empreinte digitale du serveur principal utilisée sur toutes les connexions futures : Pour établir l'empreinte digitale, connectez-vous d'abord au serveur principal en tant que root et établissez une connexion SSH à l'hôte distant du nœud :
# ssh remhost Une fois la connexion SSH établie, il vous est demandé d'accepter la clé. Répondez oui et l'empreinte digitale est ajoutée à la liste des hôtes connus. Si vous êtes invité à fournir un mot de passe, un problème est survenu lors du téléchargement des clés. 3.6.3 Configurer les nœuds et leurs ports série Commencez à installer les nœuds et à configurer les ports série des nœuds à partir du serveur de console principal :
1. Sélectionnez Série et réseau > Ports en cascade sur la console de gestion du serveur principal : 2. Pour ajouter la prise en charge du clustering, sélectionnez Ajouter un nœud.
Vous ne pouvez pas ajouter de nœuds tant que vous n'avez pas généré de clés SSH. Pour définir et configurer un nœud :
46

Manuel d'utilisation
1. Entrez l'adresse IP distante ou le nom DNS du serveur de console du nœud 2. Entrez une brève description et une courte étiquette pour le nœud 3. Entrez le nombre complet de ports série sur l'unité nœud dans Nombre de ports 4. Cliquez sur Appliquer. Ceci établit le tunnel SSH entre le principal et le nouveau nœud
Le menu Série et réseau > Ports en cascade affiche tous les nœuds et les numéros de port qui ont été alloués sur le primaire. Si le serveur de console principal dispose de 16 ports propres, les ports 1 à 16 sont pré-attribués au serveur principal, de sorte que le premier nœud ajouté se voit attribuer le numéro de port 17. Une fois que vous avez ajouté tous les serveurs de console Node, les ports série Node et les appareils connectés sont configurables et accessibles depuis le menu de la console de gestion du serveur principal et accessibles via l'adresse IP du serveur principal.
1. Sélectionnez l'option Série et réseau > Port série et Modifier approprié pour configurer les ports série sur le
Nœud.
2. Sélectionnez l'option Série et réseau > Utilisateurs et groupes approprié pour ajouter de nouveaux utilisateurs dotés de privilèges d'accès.
aux ports série du nœud (ou pour étendre les privilèges d'accès des utilisateurs existants).
3. Sélectionnez Série et réseau > Réseaux de confiance appropriés pour spécifier les adresses réseau qui
peut accéder aux ports série du nœud désigné. 4. Sélectionnez les alertes et journalisation > Alertes appropriées pour configurer la connexion du port du nœud, l'état.
Alertes de correspondance de modèle de changeur. Les modifications de configuration apportées sur le serveur principal sont propagées à tous les nœuds lorsque vous cliquez sur Appliquer.
3.6.4 Gestion des nœuds Le principal contrôle les ports série du nœud. Par exempleample, si vous modifiez les privilèges d'accès d'un utilisateur ou modifiez un paramètre de port série sur le primaire, la configuration mise à jour fileLes s sont envoyés à chaque nœud en parallèle. Chaque nœud apporte des modifications à ses configurations locales (et n'apporte que des modifications liées à ses ports série particuliers). Vous pouvez utiliser la console de gestion de nœud locale pour modifier les paramètres de n'importe quel port série de nœud (par exemple, modifier les débits en bauds). Ces modifications seront écrasées la prochaine fois que le primaire enverra une configuration file mise à jour. Bien que le serveur principal contrôle toutes les fonctions liées au port série du nœud, il n'est pas principal sur les connexions hôtes du réseau du nœud ou sur le système du serveur de console du nœud. Les fonctions du nœud telles que les paramètres IP, SMTP et SNMP, la date et l'heure, le serveur DHCP doivent être gérées en accédant directement à chaque nœud et ces fonctions ne sont pas écrasées lorsque les modifications de configuration sont propagées à partir du principal. Les paramètres d'hôte réseau et IPMI du nœud doivent être configurés sur chaque nœud.
47

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
La console de gestion du serveur principal fournit une vue consolidée view des paramètres de son propre port série et de celui de l'ensemble du nœud. La Primaire ne fournit pas de bilan entièrement consolidé view. Par exempleample, si vous voulez savoir qui est connecté aux ports série en cascade à partir du primaire, vous verrez que Statut > Utilisateurs actifs affiche uniquement les utilisateurs actifs sur les ports du primaire, vous devrez donc peut-être écrire des scripts personnalisés pour fournir cela. view.
3.7 Redirection du port série (PortShare)
Le logiciel Port Share d'Opengear fournit la technologie de port série virtuel dont vos applications Windows et Linux ont besoin pour ouvrir des ports série distants et lire les données des périphériques série connectés à votre serveur de console.
PortShare est fourni gratuitement avec chaque serveur de console et vous disposez d'une licence pour installer PortShare sur un ou plusieurs ordinateurs pour accéder à tout périphérique série connecté à un port de serveur de console. PortShare pour Windows Le portshare_setup.exe peut être téléchargé à partir du site FTP. Consultez le manuel d'utilisation de PortShare et le démarrage rapide pour plus de détails sur l'installation et le fonctionnement. PortShare pour Linux Le pilote PortShare pour Linux mappe le port série du serveur de console à un port d'essai hôte. Opengear a publié le client portshare-serial en tant qu'utilitaire open source pour Linux, AIX, HPUX, SCO, Solaris et UnixWare. Cet utilitaire peut être téléchargé depuis le site FTP. Ce redirecteur de port série PortShare vous permet d'utiliser un périphérique série connecté au serveur de console distante comme s'il était connecté à votre port série local. Le client portshare-serial crée un pseudo port tty, connecte l'application série au pseudo port tty, reçoit les données du pseudo port tty, les transmet au serveur de console via le réseau et reçoit les données du serveur de console via le réseau et les transmet au port pseudo-tty. Le .tar file peut être téléchargé sur le site FTP. Consultez le manuel d'utilisation de PortShare et le démarrage rapide pour plus de détails sur l'installation et le fonctionnement.
48

Manuel d'utilisation
3.8 appareils gérés
La page Appareils gérés présente une liste consolidée view de toutes les connexions à un périphérique accessible et surveillé via le serveur de console. À view les connexions aux appareils, sélectionnez Série et réseau > Appareils gérés
Cet écran affiche tous les appareils gérés avec leur description/notes et des listes de toutes les connexions configurées :
· Numéro de port série (si connecté en série) ou · USB (si connecté USB) · Adresse IP (si connecté au réseau) · Détails de la PDU/prise d'alimentation (le cas échéant) et toutes les connexions UPS. Les appareils tels que les serveurs peuvent avoir plus d'une connexion électrique. (par exemple, double alimentation) et plusieurs connexions réseau (par exemple pour BMC/processeur de service). Tous les utilisateurs peuvent view ces connexions de périphériques gérés en sélectionnant Gérer > Périphériques. Les administrateurs peuvent également modifier et ajouter/supprimer ces appareils gérés et leurs connexions. Pour modifier un périphérique existant et ajouter une nouvelle connexion : 1. Sélectionnez Modifier dans Série et réseau > Périphériques gérés et cliquez sur Ajouter une connexion. 2. Sélectionnez le type de connexion pour la nouvelle connexion (Série, Hôte réseau, UPS ou RPC) et sélectionnez
la connexion à partir de la liste présentée des hôtes/ports/prises non alloués configurés
49

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
Pour ajouter un nouveau périphérique géré connecté au réseau : 1. L'administrateur ajoute un nouveau périphérique géré connecté au réseau en utilisant Ajouter un hôte dans le menu Série et réseau > Hôte réseau. Cela crée automatiquement un nouveau périphérique géré correspondant. 2. Lors de l'ajout d'un nouveau périphérique d'alimentation RPC ou UPS connecté au réseau, vous configurez un hôte réseau, désignez-le comme RPC ou UPS. Accédez à Connexions RPC ou Connexions UPS pour configurer la connexion appropriée. Le nouveau périphérique géré correspondant avec le même nom/description que l'hôte RPC/UPS n'est pas créé tant que cette étape de connexion n'est pas terminée.
REMARQUE Les noms de prise sur la PDU nouvellement créée sont Prise 1 et Prise 2. Lorsque vous connectez un périphérique géré particulier qui est alimenté par la prise, la prise prend le nom du périphérique géré alimenté.
Pour ajouter un nouveau périphérique géré connecté en série : 1. Configurez le port série à l'aide du menu Série et réseau > Port série (voir la section 3.1 Configurer le port série) 2. Sélectionnez Série et réseau > Périphériques gérés et cliquez sur Ajouter un périphérique 3. Entrez un périphérique. Nom et description du périphérique géré

4. Cliquez sur Ajouter une connexion et sélectionnez Série et le port qui se connecte au périphérique géré.

5. Pour ajouter une connexion d'alimentation UPS/RPC ou une connexion réseau ou une autre connexion série, cliquez sur Ajouter une connexion.

6. Cliquez sur Appliquer

NOTE

Pour configurer un périphérique RPC UPS ou EMD connecté en série, configurez le port série, désignez-le comme périphérique et entrez un nom et une description pour ce périphérique dans Série et réseau > Connexions RPC (ou Connexions UPS ou Environnement). Cela crée un nouveau périphérique géré correspondant avec le même nom/description que l'hôte RPC/UPS. Les noms de prise sur cette PDU nouvellement créée sont Prise 1 et Prise 2. Lorsque vous connectez un périphérique géré qui est alimenté par la prise, la prise prend le nom du périphérique géré alimenté.

3.9 VPN IPsec
Les ACM7000, CM7100 et IM7200 incluent Openswan, une implémentation Linux des protocoles IPsec (IP Security), qui peut être utilisée pour configurer un réseau privé virtuel (VPN). Le VPN permet à plusieurs sites ou administrateurs distants d'accéder au serveur de console et aux appareils gérés en toute sécurité via Internet.

Manuel d'utilisation
L'administrateur peut établir des connexions VPN authentifiées cryptées entre des serveurs de console distribués sur des sites distants et une passerelle VPN (telle qu'un routeur Cisco exécutant IOS IPsec) sur le réseau de son bureau central :
· Les utilisateurs du bureau central peuvent accéder en toute sécurité aux serveurs de console distants et aux périphériques et machines de console série connectés sur le sous-réseau LAN de gestion à l'emplacement distant comme s'ils étaient locaux.
· Tous ces serveurs de console distante peuvent être surveillés avec un CMS6000 sur le réseau central · Grâce au pontage série, les données série du contrôleur sur la machine du bureau central peuvent être sécurisées
connecté aux appareils contrôlés en série sur les sites distants. L'administrateur itinérant peut utiliser un client logiciel VPN IPsec pour accéder à distance au serveur de console et à chaque machine du sous-réseau LAN de gestion à l'emplacement distant.
La configuration d'IPsec est assez complexe, Opengear fournit donc une interface graphique pour la configuration de base comme décrit ci-dessous. Pour activer la passerelle VPN :
1. Sélectionnez VPN IPsec dans le menu Série et réseaux
2. Cliquez sur Ajouter et complétez l'écran Ajouter un tunnel IPsec. 3. Entrez le nom descriptif que vous souhaitez identifier le tunnel IPsec que vous ajoutez, tel que
WestStOutlet-VPN
51

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
4. Sélectionnez la méthode d'authentification à utiliser, soit des signatures numériques RSA, soit un secret partagé (PSK). o Si vous sélectionnez RSA, il vous est demandé de cliquer ici pour générer des clés. Cela génère une clé publique RSA pour le serveur de console (la clé publique gauche). Localisez la clé à utiliser sur la passerelle distante, coupez-la et collez-la dans la bonne clé publique
o Si vous sélectionnez Secret partagé, saisissez un secret pré-partagé (PSK). Le PSK doit correspondre au PSK configuré à l'autre bout du tunnel
5. Dans Protocole d'authentification, sélectionnez le protocole d'authentification à utiliser. Authentifiez-vous soit dans le cadre du cryptage ESP (Encapsulated Security Payload), soit séparément à l'aide du protocole AH (Authentication Header).
52

Manuel d'utilisation
6. Entrez un ID gauche et un ID droit. Il s'agit de l'identifiant que l'hôte/la passerelle local et l'hôte/la passerelle distante utilisent pour la négociation et l'authentification IPsec. Chaque identifiant doit inclure un @ et peut inclure un nom de domaine complet (par exemple left@example.com)
7. Entrez l'adresse IP ou DNS publique de cette passerelle VPN Opengear comme adresse de gauche. Vous pouvez laisser ce champ vide pour utiliser l'interface de la route par défaut
8. Dans Right Address, saisissez l'adresse IP ou DNS publique de l'extrémité distante du tunnel (uniquement si l'extrémité distante possède une adresse statique ou DynDNS). Sinon laissez ce champ vide
9. Si la passerelle VPN Opengear sert de passerelle VPN vers un sous-réseau local (par exemple, le serveur de console dispose d'un réseau local de gestion configuré), entrez les détails du sous-réseau privé dans Sous-réseau gauche. Utilisez la notation CIDR (où le numéro d'adresse IP est suivi d'une barre oblique et du nombre de bits « un » dans la notation binaire du masque de réseau). Par exempleample, 192.168.0.0/24 indique une adresse IP dont les 24 premiers bits sont utilisés comme adresse réseau. C'est la même chose que 255.255.255.0. Si l'accès VPN concerne uniquement le serveur de console et ses périphériques de console série connectés, laissez le sous-réseau gauche vide.
10. S'il existe une passerelle VPN à l'extrémité distante, entrez les détails du sous-réseau privé dans Sous-réseau droit. Utilisez la notation CIDR et laissez vide s'il n'y a qu'un hôte distant
11. Sélectionnez Initiate Tunnel si la connexion tunnel doit être initiée à partir de l'extrémité gauche du serveur de console. Cela ne peut être lancé à partir de la passerelle VPN (à gauche) que si l'extrémité distante est configurée avec une adresse IP statique (ou DynDNS).
12. Cliquez sur Appliquer pour enregistrer les modifications
REMARQUE Les détails de configuration définis sur le serveur de console (appelé hôte de gauche ou hôte local) doivent correspondre à la configuration saisie lors de la configuration de l'hôte/passerelle distant (droit) ou du client logiciel. Voir http://www.opengear.com/faq.html pour plus de détails sur la configuration de ces extrémités distantes
3.10 OpenVPN
Les ACM7000, CM7100 et IM7200 avec le micrologiciel V3.2 et versions ultérieures incluent OpenVPN. OpenVPN utilise la bibliothèque OpenSSL pour le cryptage, l'authentification et la certification, ce qui signifie qu'il utilise SSL/TSL (Secure Socket Layer/Transport Layer Security) pour l'échange de clés et peut crypter à la fois les données et les canaux de contrôle. L'utilisation d'OpenVPN permet de créer des VPN point à point multiplateformes en utilisant soit X.509 PKI (Public Key Infrastructure), soit une configuration personnalisée. files. OpenVPN permet un tunneling sécurisé des données via un seul port TCP/UDP sur un réseau non sécurisé, fournissant ainsi un accès sécurisé à plusieurs sites et une administration à distance sécurisée sur un serveur de console via Internet. OpenVPN permet également l'utilisation d'adresses IP dynamiques à la fois par le serveur et par le client, offrant ainsi la mobilité du client. Par exempleample, un tunnel OpenVPN peut être établi entre un client Windows itinérant et un serveur de console Opengear au sein d'un centre de données. La configuration d'OpenVPN peut être complexe, c'est pourquoi Opengear fournit une interface graphique pour la configuration de base comme décrit ci-dessous. Des informations plus détaillées sont disponibles sur http://www.openvpn.net
3.10.1 Activer OpenVPN 1. Sélectionnez OpenVPN dans le menu Série et réseaux
53

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
2. Cliquez sur Ajouter et complétez l'écran Ajouter un tunnel OpenVPN 3. Entrez le nom descriptif que vous souhaitez identifier le tunnel OpenVPN que vous ajoutez, par exempleample
NorthStOutlet-VPN
4. Sélectionnez la méthode d'authentification à utiliser. Pour vous authentifier à l'aide de certificats, sélectionnez PKI (certificats X.509) ou sélectionnez Configuration personnalisée pour télécharger une configuration personnalisée. files. Les configurations personnalisées doivent être stockées dans /etc/config.
REMARQUE Si vous sélectionnez PKI, établissez : Un certificat distinct (également appelé clé publique). Ce certificat File est un *.crt file tapez la clé privée pour le serveur et chaque client. Cette clé privée File est une clé *. file taper
Certificat et clé de l'autorité de certification primaire (CA) utilisés pour signer chacun des serveurs
et des certificats clients. Ce certificat d'autorité de certification racine est un *.crt file tapez Pour un serveur, vous aurez peut-être également besoin de dh1024.pem (paramètres Diffie Hellman). Voir http://openvpn.net/easyrsa.html pour un guide sur la gestion de base des clés RSA. Pour d'autres méthodes d'authentification, consultez http://openvpn.net/index.php/documentation/howto.html#auth.
5. Sélectionnez le pilote de périphérique à utiliser, soit Tun-IP, soit Tap-Ethernet. Les pilotes TUN (tunnel réseau) et TAP (network tap) sont des pilotes de réseau virtuel qui prennent respectivement en charge le tunneling IP et le tunneling Ethernet. TUN et TAP font partie du noyau Linux.
6. Sélectionnez UDP ou TCP comme protocole. UDP est le protocole par défaut et préféré pour OpenVPN. 7. Cochez ou décochez le bouton Compression pour activer ou désactiver la compression. 8. En mode tunnel, indiquez s'il s'agit de l'extrémité client ou serveur du tunnel. Lors de l'exécution en tant que
un serveur, le serveur de console prend en charge plusieurs clients se connectant au serveur VPN via le même port.
54

Manuel d'utilisation
3.10.2 Configurer en tant que serveur ou client
1. Complétez les détails du client ou les détails du serveur en fonction du mode tunnel sélectionné. o Si Client a été sélectionné, l'adresse du serveur principal est l'adresse du serveur OpenVPN. o Si Serveur a été sélectionné, entrez l'adresse réseau du pool IP et le masque réseau du pool IP pour le pool IP. Le réseau défini par l'adresse/le masque de réseau du pool IP est utilisé pour fournir les adresses de connexion des clients.
2. Cliquez sur Appliquer pour enregistrer les modifications
55

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
3. Pour saisir les certificats d'authentification et files, sélectionnez Gérer OpenVPN Filepoignarder. Téléchargez ou parcourez les certificats d'authentification pertinents et files.
4. Appliquez pour enregistrer les modifications. Enregistré fileLes s sont affichés en rouge sur le côté droit du bouton Télécharger.
5. Pour activer OpenVPN, modifiez le tunnel OpenVPN
56

Manuel d'utilisation
6. Cochez le bouton Activé. 7. Appliquer pour enregistrer les modifications REMARQUE Assurez-vous que l'heure système du serveur de console est correcte lorsque vous travaillez avec OpenVPN pour éviter
problèmes d'authentification.
8. Sélectionnez Statistiques dans le menu État pour vérifier que le tunnel est opérationnel.
57

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
3.10.3 Configuration du client et du serveur Windows OpenVPN Cette section décrit l'installation et la configuration d'un client Windows OpenVPN ou d'un serveur Windows OpenVPN ainsi que la configuration d'une connexion VPN à un serveur de console. Les serveurs de console génèrent automatiquement la configuration du client Windows à partir de l'interface graphique pour le secret pré-partagé (clé statique File) configurations.
Alternativement, le logiciel OpenVPN GUI pour Windows (qui comprend le package OpenVPN standard plus une interface graphique Windows) peut être téléchargé à partir de http://openvpn.net. Une fois installée sur la machine Windows, une icône OpenVPN est ajoutée à la zone de notification située sur le côté droit de la barre des tâches. Faites un clic droit sur cette icône pour démarrer et arrêter les connexions VPN, modifier les configurations et view journaux.
Lorsque le logiciel OpenVPN commence à s'exécuter, le programme C:Program FileLe dossier sOpenVPNconfig est analysé pour .opvn files. Ce dossier est revérifié pour une nouvelle configuration files chaque fois que vous cliquez avec le bouton droit sur l'icône de l'interface graphique OpenVPN. Une fois OpenVPN installé, créez une configuration file:
58

Manuel d'utilisation

À l'aide d'un éditeur de texte, créez un xxxx.ovpn file et enregistrez dans C: Programme FilesOpenVPNconfig. Par exempleample, C:Programme FilesOpenVPNconfigclient.ovpn
Un exampfichier d'une configuration client OpenVPN Windows file est montré ci-dessous:
# description : IM4216_client client proto udp verb 3 dev tun distant 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt clé c:\openvpnkeys\client.key nobind persist-key persist- tun comp-lzo
Un exampfichier d'une configuration OpenVPN Windows Server file est montré ci-dessous:
serveur 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 clé persistante persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt clé c:\openvpnkeys\server. clé dh c:\openvpnkeys\dh.pem comp-lzo verbe 1 syslog IM4216_OpenVPN_Server
La configuration client/serveur Windows file les options sont:

Options #description : Client serveur proto udp proto tcp mssfix verbe
dev tun dev tap

Description Ceci est un commentaire décrivant la configuration. Les lignes de commentaires commencent par « # » et sont ignorées par OpenVPN. Précisez s'il s'agira d'une configuration client ou serveur file. Dans la configuration du serveur file, définissez le pool d'adresses IP et le masque de réseau. Par exempleampchier, serveur 10.100.10.0 255.255.255.0 Définissez le protocole sur UDP ou TCP. Le client et le serveur doivent utiliser les mêmes paramètres. Mssfix définit la taille maximale du paquet. Ceci n'est utile pour UDP qu'en cas de problèmes.
Définir le journal file niveau de verbosité. Le niveau de verbosité du journal peut être défini entre 0 (minimum) et 15 (maximum). Par exempleample, 0 = silencieux sauf pour les erreurs fatales 3 = sortie moyenne, bon pour un usage général 5 = aide au débogage des problèmes de connexion 9 = verbeux, excellent pour le dépannage Sélectionnez « dev tun » pour créer un tunnel IP routé ou « dev tap » pour créer un tunnel Ethernet. Le client et le serveur doivent utiliser les mêmes paramètres.

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur

télécommande Port Keepalive
http proxy Californiefile nom>
certificatfile nom>
cléfile nom>
dhfile nom> Nobind persist-key persist-tun chiffre BF-CBC Blowfish (par défaut) chiffre AES-128-CBC chiffre AES DES-EDE3-CBC Triple-DES comp-lzo syslog

Le nom d'hôte/IP du serveur OpenVPN lorsqu'il fonctionne en tant que client. Entrez soit le nom d'hôte DNS, soit l'adresse IP statique du serveur. Le port UDP/TCP du serveur. Keepalive utilise ping pour maintenir la session OpenVPN active. « Keepalive 10 120 pings toutes les 10 secondes et suppose que le homologue distant est en panne si aucun ping n'a été reçu sur une période de 120 secondes. Si un proxy est requis pour accéder au serveur, entrez le nom DNS ou l'adresse IP et le numéro de port du serveur proxy. Entrez le certificat CA file Nom et lieu. Le même certificat CA file peut être utilisé par le serveur et tous les clients. Remarque : Assurez-vous que chaque « » dans le chemin du répertoire est remplacé par « \ ». Par exempleample, c:openvpnkeysca.crt deviendra c:\openvpnkeys\ca.crt Saisissez le certificat du client ou du serveur file Nom et lieu. Chaque client doit avoir son propre certificat et sa propre clé files. Remarque : Assurez-vous que chaque « » dans le chemin du répertoire est remplacé par « \ ». Entrer le file nom et emplacement de la clé du client ou du serveur. Chaque client doit avoir son propre certificat et sa propre clé files. Remarque : Assurez-vous que chaque « » dans le chemin du répertoire est remplacé par « \ ». Ceci est utilisé uniquement par le serveur. Entrez le chemin d'accès à la clé avec les paramètres Diffie-Hellman. `Nobind' est utilisé lorsque les clients n'ont pas besoin de se lier à une adresse locale ou à un numéro de port local spécifique. C'est le cas dans la plupart des configurations client. Cette option empêche le rechargement des clés lors des redémarrages. Cette option empêche la fermeture et la réouverture des appareils TUN/TAP lors des redémarrages. Sélectionnez un chiffre cryptographique. Le client et le serveur doivent utiliser les mêmes paramètres.
Activez la compression sur le lien OpenVPN. Cela doit être activé à la fois sur le client et sur le serveur. Par défaut, les journaux se trouvent dans Syslog ou, s'ils sont exécutés en tant que service sous Windows, dans Program FilesRépertoire OpenVPNlog.

Pour initier le tunnel OpenVPN suite à la création de la configuration client/serveur files : 1. Cliquez avec le bouton droit sur l'icône OpenVPN dans la zone de notification. 2. Sélectionnez la configuration client ou serveur nouvellement créée. 3. Cliquez sur Connecter

4. Le journal file s'affiche lorsque la connexion est établie
60

Manuel d'utilisation
5. Une fois établie, l'icône OpenVPN affiche un message indiquant une connexion réussie et l'adresse IP attribuée. Ces informations, ainsi que l'heure à laquelle la connexion a été établie, sont disponibles en faisant défiler l'icône OpenVPN.
3.11 VPN PPTP
Les serveurs de console incluent un serveur PPTP (Point-to-Point Tunneling Protocol). PPTP est utilisé pour les communications sur une liaison série physique ou virtuelle. Les points de terminaison PPP se définissent eux-mêmes une adresse IP virtuelle. Les routes vers les réseaux peuvent être définies avec ces adresses IP comme passerelle, ce qui entraîne l'envoi du trafic à travers le tunnel. PPTP établit un tunnel entre les points de terminaison physiques PPP et transporte les données en toute sécurité à travers le tunnel.
La force de PPTP réside dans sa facilité de configuration et d’intégration dans l’infrastructure Microsoft existante. Il est généralement utilisé pour connecter des clients Windows distants uniques. Si vous emportez votre ordinateur portable en voyage d'affaires, vous pouvez composer un numéro local pour vous connecter à votre fournisseur de services d'accès Internet (FAI) et créer une deuxième connexion (tunnel) au réseau de votre bureau via Internet et bénéficier du même accès à votre réseau d'entreprise comme si vous étiez connecté directement depuis votre bureau. Les télétravailleurs peuvent également configurer un tunnel VPN via leur modem câble ou des liaisons DSL vers leur FAI local.
61

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
Pour configurer une connexion PPTP depuis un client Windows distant vers votre appareil Opengear et votre réseau local :
1. Activez et configurez le serveur VPN PPTP sur votre appareil Opengear 2. Configurez les comptes d'utilisateurs VPN sur l'appareil Opengear et activez les options appropriées.
authentification 3. Configurez les clients VPN sur les sites distants. Le client ne nécessite pas de logiciel spécial car
le serveur PPTP prend en charge le logiciel client PPTP standard inclus avec Windows NT et versions ultérieures 4. Connectez-vous au VPN distant 3.11.1 Activer le serveur VPN PPTP 1. Sélectionnez VPN PPTP dans le menu Série et réseaux
2. Cochez la case Activer pour activer le serveur PPTP. 3. Sélectionnez l'authentification minimale requise. L'accès est refusé aux utilisateurs distants qui tentent de
connectez-vous à l’aide d’un schéma d’authentification plus faible que le schéma sélectionné. Les schémas sont décrits ci-dessous, du plus fort au plus faible. · Authentification cryptée (MS-CHAP v2) : le type d'authentification le plus fort à utiliser ; c'est
l'option recommandée · Authentification faiblement cryptée (CHAP) : il s'agit du type de mot de passe crypté le plus faible
authentification à utiliser. Il n'est pas recommandé aux clients de se connecter en utilisant cette méthode car elle offre très peu de protection par mot de passe. Notez également que les clients qui se connectent via CHAP ne peuvent pas chiffrer le trafic.
62

Manuel d'utilisation
· Authentification non chiffrée (PAP) : il s'agit d'une authentification par mot de passe en texte brut. Lors de l'utilisation de ce type d'authentification, le mot de passe client est transmis en clair.
· Aucun 4. Sélectionnez le niveau de cryptage requis. L'accès est refusé aux utilisateurs distants tentant de se connecter
qui n'utilisent pas ce niveau de cryptage. 5. Dans Adresse locale, entrez l'adresse IP à attribuer à l'extrémité du serveur de la connexion VPN. 6. Dans Adresses distantes, entrez le pool d'adresses IP à attribuer au VPN du client entrant.
connexions (par exemple 192.168.1.10-20). Il doit s'agir d'une adresse IP libre ou d'une plage d'adresses du réseau attribuée aux utilisateurs distants lorsqu'ils sont connectés à l'appliance Opengear. 7. Entrez la valeur souhaitée de l'unité de transmission maximale (MTU) pour les interfaces PPTP dans le champ MTU (par défaut : 1400) 8. Dans le champ Serveur DNS, saisissez l'adresse IP du serveur DNS qui attribue des adresses IP aux clients PPTP qui se connectent. 9. Dans le champ Serveur WINS, saisissez l'adresse IP du serveur WINS qui attribue des adresses IP aux clients PPTP qui se connectent. 10. Activez la journalisation détaillée pour faciliter le débogage des problèmes de connexion. 11. Cliquez sur Appliquer les paramètres. 3.11.2 Ajouter un utilisateur PPTP 1. Sélectionnez Utilisateurs et groupes dans le menu Série et réseaux et remplissez les champs comme indiqué dans la section 3.2. 2. Assurez-vous que le groupe pptpd a été coché pour autoriser l'accès au serveur VPN PPTP. Remarque : les mots de passe des utilisateurs de ce groupe sont stockés en texte clair. 3. Notez le nom d'utilisateur et le mot de passe lorsque vous devez vous connecter à la connexion VPN. 4. Cliquez sur Appliquer.
63

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
3.11.3 Configurer un client PPTP distant Assurez-vous que le PC client VPN distant dispose d'une connectivité Internet. Pour créer une connexion VPN sur Internet, vous devez configurer deux connexions réseau. Une connexion est destinée au FAI et l'autre connexion est destinée au tunnel VPN vers l'appliance Opengear. REMARQUE Cette procédure configure un client PPTP dans le système d'exploitation Windows Professionnel. Les marches
peut varier légèrement en fonction de votre accès au réseau ou si vous utilisez une autre version de Windows. Des instructions plus détaillées sont disponibles auprès de Microsoft web site. 1. Connectez-vous à votre client Windows avec les privilèges d'administrateur 2. Dans le Centre Réseau et partage du Panneau de configuration, sélectionnez Connexions réseau et créez une nouvelle connexion.
64

Manuel d'utilisation
3. Sélectionnez Utiliser ma connexion Internet (VPN) et entrez l'adresse IP de l'appliance Opengear. Pour connecter des clients VPN distants au réseau local, vous devez connaître le nom d'utilisateur et le mot de passe du compte PPTP que vous avez ajouté, ainsi que l'adresse IP Internet. adresse de l’appliance Opengear. Si votre FAI ne vous a pas attribué d'adresse IP statique, envisagez d'utiliser un service DNS dynamique. Sinon vous devez modifier la configuration du client PPTP à chaque fois que votre adresse IP Internet change.
65

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur

3.12 Appel à la maison
Tous les serveurs de console incluent la fonctionnalité Call Home qui lance la configuration d'un tunnel SSH sécurisé depuis le serveur de console vers un phare Opengear centralisé. Le serveur de console s'inscrit comme candidat sur le Phare. Une fois accepté, il devient un serveur de console géré.
Lighthouse surveille le serveur de console géré et les administrateurs peuvent accéder au serveur de console géré distant via Lighthouse. Cet accès est disponible même lorsque le serveur de console distante se trouve derrière un pare-feu tiers ou dispose d'adresses IP privées non routables.

NOTE

Lighthouse maintient des connexions SSH authentifiées par clé publique à chacun de ses serveurs de console gérés. Ces connexions sont utilisées pour surveiller, diriger et accéder aux serveurs de console gérés et aux périphériques gérés connectés au serveur de console géré.

Pour gérer les serveurs de console locaux ou les serveurs de console accessibles depuis le Lighthouse, les connexions SSH sont initiées par Lighthouse.

Pour gérer les serveurs de console distante ou les serveurs de console protégés par un pare-feu, non routables ou autrement inaccessibles depuis le Lighthouse, les connexions SSH sont initiées par le Managed ConsoleServer via une connexion Call Home initiale.

Cela garantit des communications sécurisées et authentifiées et permet aux unités de serveurs de console gérés d'être distribuées localement sur un réseau local ou à distance dans le monde entier.

3.12.1 Configurer le candidat Call Home Pour configurer le serveur de console en tant que candidat à la gestion Call Home sur le Lighthouse :
1. Sélectionnez Call Home dans le menu Série et réseau.

2. Si vous n'avez pas encore généré ou téléchargé une paire de clés SSH pour ce serveur de console, faites-le avant de continuer.
3. Cliquez sur Ajouter

4. Saisissez l'adresse IP ou le nom DNS (par exemple l'adresse DNS dynamique) du Lighthouse.
5. Entrez le mot de passe que vous avez configuré sur le CMS comme mot de passe Call Home.
66

Manuel d'utilisation
6. Cliquez sur Appliquer. Ces étapes lancent la connexion Call Home du serveur de console au Lighthouse. Cela crée un port d'écoute SSH sur le Lighthouse et définit le serveur de console comme candidat.
Une fois le candidat accepté sur le Lighthouse, un tunnel SSH vers le serveur de console est redirigé via la connexion Call Home. Le serveur de console est devenu un serveur de console géré et le Lighthouse peut s'y connecter et le surveiller via ce tunnel. 3.12.2 Accepter le candidat Call Home en tant que serveur de console géré sur Lighthouse Cette section donne un aperçuview sur la configuration du Lighthouse pour surveiller les serveurs de console Lighthouse connectés via Call Home. Pour plus de détails, consultez le guide de l'utilisateur de Lighthouse :
1. Entrez un nouveau mot de passe Call Home sur le phare. Ce mot de passe est utilisé pour accepter
Appeler Homeconnections à partir des serveurs de console candidats
2. Le Lighthouse peut être contacté par le serveur de console, il doit soit avoir une IP statique
ou, si vous utilisez DHCP, être configuré pour utiliser un service DNS dynamique
L'écran Configurer > Serveurs de console gérés sur le Lighthouse affiche l'état de
Serveurs de console gérés locaux et distants et candidats.
La section Serveurs de console gérés affiche les serveurs de console surveillés par le
Lighthouse. La section Serveurs de console détectés contient :
o La liste déroulante Serveurs de console locaux qui répertorie tous les serveurs de console présents sur le serveur.
même sous-réseau que le phare et ne sont pas surveillés
67

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
o La liste déroulante Serveurs de console distante répertorie tous les serveurs de console qui ont établi une connexion Call Home et ne sont pas surveillés (c'est-à-dire candidats). Vous pouvez cliquer sur Actualiser pour mettre à jour
Pour ajouter un candidat serveur de console à la liste des serveurs de console gérés, sélectionnez-le dans la liste déroulante Serveurs de console distante et cliquez sur Ajouter. Saisissez l'adresse IP et le port SSH (si ces champs n'ont pas été renseignés automatiquement) et saisissez une description et un nom unique pour le serveur de console gérée que vous ajoutez.
Entrez le mot de passe racine distant (c'est-à-dire le mot de passe système qui a été défini sur ce serveur de console gérée). Ce mot de passe est utilisé par Lighthouse pour propager les clés SSH générées automatiquement et n'est pas stocké. Cliquez sur Appliquer. Le Lighthouse établit des connexions SSH sécurisées vers et depuis le serveur de console géré et récupère ses appareils gérés, les détails du compte utilisateur et les alertes configurées. 3.12.3 Appel Home vers un serveur SSH central générique Si vous vous connectez à un serveur SSH générique (pas Lighthouse) vous pouvez configurer les paramètres avancés : · Entrez le port du serveur SSH et l'utilisateur SSH. · Entrez les détails du ou des transferts de port SSH à créer
En sélectionnant le serveur d'écoute, vous pouvez créer une redirection de port distant du serveur vers cette unité, ou une redirection de port local de cette unité vers le serveur :
68

Manuel d'utilisation
· Spécifiez un port d'écoute à partir duquel transférer, laissez ce champ vide pour allouer un port inutilisé. · Entrez le serveur cible et le port cible qui seront le destinataire des connexions transférées.
3.13 Passage IP
IP Passthrough est utilisé pour faire en sorte qu'une connexion par modem (par exemple le modem cellulaire interne) apparaisse comme une connexion Ethernet classique à un routeur en aval tiers, permettant au routeur en aval d'utiliser la connexion par modem comme interface WAN principale ou de secours.
Le périphérique Opengear fournit l'adresse IP du modem et les détails DNS au périphérique en aval via DHCP et transmet le trafic réseau vers et depuis le modem et le routeur.
Alors qu'IP Passthrough transforme un Opengear en un demi-pont modem vers Ethernet, certains services de couche 4 (HTTP/HTTPS/SSH) peuvent être terminés au niveau de l'Opengear (Interceptions de services). De plus, les services exécutés sur Opengear peuvent initier des connexions cellulaires sortantes indépendamment du routeur en aval.
Cela permet à l'Opengear de continuer à être utilisé pour la gestion et les alertes hors bande et également d'être géré via Lighthouse, en mode IP Passthrough.
3.13.1 Configuration du routeur en aval Pour utiliser la connectivité de basculement sur le routeur en aval (alias Failover to Cellular ou F2C), il doit disposer d'au moins deux interfaces WAN.
REMARQUE Le basculement dans le contexte IP Passthrough est effectué par le routeur en aval et la logique de basculement hors bande intégrée sur l'Opengear n'est pas disponible en mode IP Passthrough.
Connectez une interface Ethernet WAN sur le routeur en aval à l'interface réseau ou au port LAN de gestion d'Opengear avec un câble Ethernet.
Configurez cette interface sur le routeur en aval pour recevoir ses paramètres réseau via DHCP. Si le basculement est requis, configurez le routeur en aval pour le basculement entre son interface principale et le port Ethernet connecté à l'Opengear.
3.13.2 Pré-configuration IP Passthrough Les étapes préalables à l'activation d'IP Passthrough sont les suivantes :
1. Configurez l'interface réseau et, le cas échéant, les interfaces LAN de gestion avec des paramètres réseau statiques. · Cliquez sur Série et réseau > IP. · Pour l'interface réseau et, le cas échéant, le réseau local de gestion, sélectionnez Statique pour la méthode de configuration et entrez les paramètres réseau (voir la section intitulée Configuration réseau pour des instructions détaillées). · Pour l'interface connectée au routeur aval, vous pouvez choisir n'importe quel réseau privé dédié. Ce réseau n'existe qu'entre l'Opengear et le routeur aval et n'est normalement pas accessible. · Pour l'autre interface, configurez-la comme vous le feriez normalement sur le réseau local. · Pour les deux interfaces, laissez Passerelle vide.
2. Configurez le modem en mode Always On Out-of-band.
69

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
· Pour une connexion cellulaire, cliquez sur Système > Composer : Modem cellulaire interne. · Sélectionnez Activer l'appel sortant et entrez les détails de l'opérateur tels que l'APN (voir la section Modem cellulaire
Connexion pour des instructions détaillées). 3.13.3 Configuration IP Passthrough Pour configurer IP Passthrough :
· Cliquez sur Série et réseau > Passthrough IP et cochez Activer. · Sélectionnez le modem Opengear à utiliser pour la connectivité en amont. · Facultativement, entrez l'adresse MAC de l'interface connectée du routeur en aval. Si l'adresse MAC est
non spécifié, l'Opengear passera au premier périphérique en aval demandant une adresse DHCP. · Sélectionnez l'interface Ethernet Opengear à utiliser pour la connectivité au routeur en aval.
· Cliquez sur Appliquer. 3.13.4 Interceptions de service Celles-ci permettent à Opengear de continuer à fournir des services, par ex.ample, pour la gestion hors bande en mode IP Passthrough. Les connexions à l'adresse du modem sur le(s) port(s) d'interception spécifié(s) sont gérées par Opengear plutôt que transmises au routeur en aval.
· Pour le service requis HTTP, HTTPS ou SSH, cochez Activer · Modifiez éventuellement le port d'interception en un autre port (par exemple 8443 pour HTTPS), ceci est utile si vous
souhaitez continuer à permettre au routeur en aval de rester accessible via son port habituel. 3.13.5 État du relais IP Actualisez la page pour view la section Statut. Il affiche l'adresse IP externe du modem transmis, l'adresse MAC interne du routeur en aval (remplie uniquement lorsque le routeur en aval accepte le bail DHCP) et l'état de fonctionnement global du service IP Passthrough. Vous pouvez être alerté de l'état de basculement du routeur en aval en configurant une vérification de l'utilisation des données acheminées sous Alertes et journalisation > Réponse automatique. 3.13.6 Mises en garde Certains routeurs en aval peuvent être incompatibles avec la route de passerelle. Cela peut se produire lorsque IP Passthrough relie un réseau cellulaire 3G où l'adresse de la passerelle est une adresse de destination point à point et où aucune information de sous-réseau n'est disponible. L'Opengear envoie un masque de réseau DHCP de 255.255.255.255. Les appareils interprètent normalement cela comme une route hôte unique sur l'interface, mais certains appareils en aval plus anciens peuvent rencontrer des problèmes.
70

Manuel d'utilisation
Les interceptions pour les services locaux ne fonctionneront pas si l'Opengear utilise une route par défaut autre que le modem. De plus, ils ne fonctionneront que si le service est activé et que l'accès au service est activé (voir Système > Services, sous l'onglet Accès au service, recherchez Dialout/Cellular).
Les connexions sortantes provenant d'Opengear vers des services distants sont prises en charge (par exemple, envoi d'alertes email SMTP, traps SNMP, obtention de l'heure NTP, tunnels IPSec). Il existe un faible risque d'échec de connexion si l'Opengear et le périphérique en aval tentent d'accéder au même port UDP ou TCP sur le même hôte distant en même temps lorsqu'ils ont choisi au hasard le même numéro de port local d'origine.
3.14 Configuration via DHCP (ZTP)
Les appareils Opengear peuvent être provisionnés lors de leur démarrage initial à partir d'un serveur DHCPv4 ou DHCPv6 à l'aide de la configuration sur DHCP. Le provisionnement sur des réseaux non fiables peut être facilité en fournissant des clés sur une clé USB. La fonctionnalité ZTP peut également être utilisée pour effectuer une mise à niveau du micrologiciel lors de la connexion initiale au réseau ou pour s'inscrire dans une instance Lighthouse 5.
Préparation Les étapes typiques de configuration sur un réseau approuvé sont les suivantes :
1. Configurez un appareil Opengear du même modèle. 2. Enregistrez sa configuration en tant que sauvegarde Opengear (.opg) file. 3. Sélectionnez Système > Sauvegarde de configuration > Sauvegarde à distance. 4. Cliquez sur Enregistrer la sauvegarde. Une configuration de sauvegarde file — model-name_iso-format-date_config.opg — est téléchargé du périphérique Opengear vers le système local. Vous pouvez enregistrer la configuration au format XML file: 1. Sélectionnez Système > Sauvegarde de configuration > Configuration XML. Un champ modifiable contenant le
configuration file au format XML apparaît. 2. Cliquez dans le champ pour le rendre actif. 3. Si vous exécutez un navigateur sous Windows ou Linux, cliquez avec le bouton droit et choisissez Sélectionner tout dans la liste
menu contextuel ou appuyez sur Contrôle-A. Faites un clic droit et choisissez Copier dans le menu contextuel ou appuyez sur Contrôle-C. 4. Si vous utilisez un navigateur sur macOS, choisissez Édition > Sélectionner tout ou appuyez sur Commande-A. Choisissez Édition > Copier ou appuyez sur Commande-C. 5. Dans votre éditeur de texte préféré, créez un nouveau document vide, collez les données copiées dans le document vide et enregistrez le file. Peu importe file-nom que vous choisissez, il doit inclure le .xml filesuffixe de nom. 6. Copiez le .opg ou .xml enregistré file à un répertoire public sur un file serveur servant au moins un des protocoles suivants : HTTPS, HTTP, FTP ou TFTP. (Seul HTTPS peut être utilisé si la connexion entre le file serveur et un appareil Opengear à configurer voyagent sur un réseau non fiable.). 7. Configurez votre serveur DHCP pour inclure une option « spécifique au fournisseur » pour les appareils Opengear. (Cela sera effectué d'une manière spécifique au serveur DHCP.) L'option spécifique au fournisseur doit être définie sur une chaîne contenant le URL du .opg ou .xml publié file à l'étape ci-dessus. La chaîne d'option ne doit pas dépasser 250 caractères et doit se terminer par .opg ou .xml.
71

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
8. Connectez un nouveau périphérique Opengear, réinitialisé aux paramètres d'usine ou dont la configuration a été effacée, au réseau et mettez sous tension. Le redémarrage de l'appareil peut prendre jusqu'à 5 minutes.
Example configuration du serveur ISC DHCP (dhcpd)
Ce qui suit est un exempleample fragment de configuration du serveur DHCP permettant de servir une image de configuration .opg via le serveur DHCP ISC, dhcpd :
option espace opengear code largeur 1 longueur largeur 1 ; option opengear.config-url code 1 = texte ; classe "opengear-config-over-dhcp-test" {
correspond à l'option identificateur de classe du fournisseur ~~ « ^Opengear/ » ; équipement ouvert de l'espace d'option du fournisseur ; option opengear.config-url " https://example.com/opg/${class}.opg”; }
Cette configuration peut être modifiée pour mettre à niveau l'image de configuration à l'aide de opengear.image-url et en fournissant un URI à l'image du micrologiciel.
Configuration lorsque le réseau local n'est pas fiable Si la connexion entre le file serveur et qu'un appareil Opengear à configurer inclut un réseau non fiable, une approche à deux mains peut atténuer le problème.
REMARQUE Cette approche introduit deux étapes physiques où la confiance peut être difficile, voire impossible, à établir complètement. Tout d’abord, la chaîne de conservation depuis la création de la clé USB contenant les données jusqu’à son déploiement. Deuxièmement, les mains connectant la clé USB au périphérique Opengear.
· Générez un certificat X.509 pour le périphérique Opengear.
· Concaténer le certificat et sa clé privée en un seul file nommé client.pem.
· Copiez client.pem sur une clé USB.
· Configurer un serveur HTTPS tel que l'accès au .opg ou au .xml file est limité aux clients pouvant fournir le certificat client X.509 généré ci-dessus.
· Placez une copie du certificat CA qui a signé le certificat du serveur HTTP — ca-bundle.crt — sur la clé USB portant client.pem.
· Insérez la clé USB dans l'appareil Opengear avant de connecter l'alimentation ou le réseau.
· Continuez la procédure à partir de `Copier le .opg ou .xml enregistré file à un répertoire public sur un file serveur' ci-dessus en utilisant le protocole HTTPS entre le client et le serveur.
Préparez une clé USB et créez le certificat X.509 et la clé privée
· Générez le certificat CA afin que les demandes de signature de certificat (CSR) client et serveur puissent être signées.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/numéro de série echo 00 > exampleCA/numéro crl # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Cette procédure génère un certificat appelé ExampleCA mais n'importe quel nom de certificat autorisé peut être utilisé. De plus, cette procédure utilise openssl ca. Si votre organisation dispose d’un processus de génération d’autorité de certification sécurisé à l’échelle de l’entreprise, celui-ci doit être utilisé à la place.
72

Manuel d'utilisation
· Générez le certificat du serveur.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -jours 365 -in server.csr -out server.crt
-cléfile ca.key -policy politique_anything -batch -notext
REMARQUE Le nom d'hôte ou l'adresse IP doit être la même chaîne que celle utilisée dans le serveur. URL. Dans l'exampci-dessus, le nom d'hôte est demo.example.com.
· Générez le certificat client.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -jours 365 -in client.csr -out client.crt
-cléfile ca.key -policy Policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatez une clé USB en un seul volume FAT32.
· Déplacez les fichiers client.pem et ca-bundle.crt files dans le répertoire racine du lecteur flash.
Débogage des problèmes ZTP Utilisez la fonctionnalité de journal ZTP pour déboguer les problèmes ZTP. Pendant que l'appareil tente d'effectuer des opérations ZTP, les informations du journal sont écrites dans /tmp/ztp.log sur l'appareil.
Ce qui suit est un exempleample journal file à partir d'une exécution ZTP réussie.
# cat /tmp/ztp.log mercredi 13 décembre 22:22:17 UTC 2017 [avis 5127] odhcp6c.eth0 : restauration de la configuration via DHCP mercredi 13 décembre 22:22:17 UTC 2017 [avis 5127] odhcp6c.eth0 : attente 10 s pour que le réseau s'installe mercredi 13 décembre 22:22:27 UTC 2017 [avis 5127] odhcp6c.eth0 : NTP ignoré : aucun serveur mercredi 13 décembre 22:22:27 UTC 2017 [informations 5127] odhcp6c.eth0 : supplierspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' mercredi 13 décembre 22:22:27 UTC 2017 [5127 informations] odhcp6c.eth0 : supplierspec.2 (n/a) mercredi 13 décembre 22:22:27 UTC 2017 [5127 infos] odhcp6c.eth0 : supplierspec.3 (n/a) Mer 13 décembre 22:22:27 UTC 2017 [5127 infos] odhcp6c.eth0 : supplierspec.4 (n/a ) Mercredi 13 décembre 22:22:27 UTC 2017 [infos 5127] odhcp6c.eth0 : supplierspec.5 (n/a) Mercredi 13 décembre 22:22:28 UTC 2017 [infos 5127] odhcp6c.eth0 : supplierspec.6 (n /a) Mercredi 13 décembre 22:22:28 UTC 2017 [5127 infos] odhcp6c.eth0 : aucun firmware à télécharger (vendorspec.2) sauvegarde-url: en essayant http://[fd07:2218:1350:44::1]/tftpboot/config.sh… sauvegarde-url: forcer le mode de configuration wan à la sauvegarde DHCP-url: définition du nom d'hôte sur la sauvegarde acm7004-0013c601ce97-url: chargement réussi mercredi 13 décembre 22:22:36 UTC 2017 [avis 5127] odhcp6c.eth0 : chargement de la configuration réussi mercredi 13 décembre 22:22:36 UTC 2017 [informations 5127] odhcp6c.eth0 : pas de configuration de phare (vendorspec.3/ 4/5/6) Mercredi 13 décembre 22:22:36 UTC 2017 [avis 5127] odhcp6c.eth0 : provisionnement terminé, pas de redémarrage
Les erreurs sont enregistrées dans ce journal.
3.15 Inscription au phare
Utilisez l'inscription dans Lighthouse pour inscrire des appareils Opengear dans une instance Lighthouse, fournissant un accès centralisé aux ports de console et permettant une configuration centrale des appareils Opengear.
Consultez le Guide de l'utilisateur de Lighthouse pour obtenir des instructions sur l'inscription des appareils Opengear dans Lighthouse.
73

Chapitre 3 : Configuration du port série, du périphérique et de l'utilisateur
3.16 Activer le relais DHCPv4
Un service de relais DHCP transmet les paquets DHCP entre les clients et les serveurs DHCP distants. Le service de relais DHCP peut être activé sur un serveur de console Opengear, de sorte qu'il écoute les clients DHCP sur les interfaces inférieures désignées, encapsule et transmet leurs messages aux serveurs DHCP en utilisant soit le routage normal, soit en les diffusant directement sur les interfaces supérieures désignées. L'agent relais DHCP reçoit ainsi les messages DHCP et génère un nouveau message DHCP à envoyer sur une autre interface. Dans les étapes ci-dessous, les serveurs de console peuvent se connecter aux identifiants de circuit, aux modems Ethernet ou cellulaires à l'aide du service de relais DHCPv4.
Infrastructure relais DHCPv4 + option DHCP 82 (identifiant de circuit) – Serveur DHCP local, ACM7004-5 pour le relais, tout autre appareil pour les clients. Tout appareil ayant un rôle LAN peut être utilisé comme relais. Dans cet example, le 192.168.79.242 est l'adresse de l'interface relayée du client (telle que définie dans la configuration du serveur DHCP file ci-dessus) et 192.168.79.244 est l'adresse d'interface supérieure du boîtier relais, et enp112s0 est l'interface en aval du serveur DHCP.
1 Infrastructure – Relais DHCPv4 + Option DHCP 82 (identifiant de circuit)
Étapes sur le serveur DHCP 1. Configurez le serveur DHCP v4 local, en particulier, il doit contenir une entrée « hôte » comme ci-dessous pour le client DHCP : hôte cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; option d'identifiant d'hôte agent.circuit-id « relay1 » ; adresse fixe 192.168.79.242 ; } Remarque : la ligne « hardware ethernet » est commentée, de sorte que le serveur DHCP utilisera le paramètre « circuit-id » pour attribuer une adresse au client concerné. 2. Redémarrez le serveur DHCP pour recharger sa configuration modifiée file. pkill -HUP dhcpd
74

Manuel d'utilisation
3. Ajoutez manuellement une route hôte à l'interface « relayée » du client (l'interface derrière le relais DHCP, pas d'autres interfaces que le client peut également avoir :
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Cela permettra d'éviter le problème de routage asymétrique lorsque le client et le serveur DHCP souhaitent accéder l'un à l'autre via l'interface relayée du client, lorsque le client a d'autres interfaces dans la même sous-réseau du pool d’adresses DHCP.
Remarque : Cette étape est indispensable pour permettre au serveur DHCP et au client de pouvoir accéder l'un à l'autre.
Étapes sur le boîtier relais – ACM7004-5
1. Configurez WAN/eth0 en mode statique ou DHCP (et non en mode non configuré). S'il est en mode statique, il doit avoir une adresse IP dans le pool d'adresses du serveur DHCP.
2. Appliquez cette configuration via CLI (où 192.168.79.1 est l'adresse du serveur DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. L'interface inférieure du relais DHCP doit avoir une adresse IP statique dans le pool d'adresses du serveur DHCP. Dans cet example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r configurationip
4. Attendez quelques instants que le client acquière un bail DHCP via le relais.
Étapes sur le Client (CM7116-2-dac dans cet example ou tout autre OG CS)
1. Branchez le LAN/eth1 du client au LAN/eth1 du relais 2. Configurez le LAN du client pour obtenir l'adresse IP via DHCP comme d'habitude 3. Une fois le client installé

Documents / Ressources

Passerelle de site distant opengear ACM7000 [pdf] Manuel de l'utilisateur
Passerelle de site distant ACM7000, ACM7000, passerelle de site distant, passerelle de site, passerelle

Références

Manuel d'utilisation

Passerelle de site distant opengear ACM7000

Informations sur le produit

Instructions d'utilisation du produit

FAQ

Ce manuel

Configuration du système

Configuration du port série, de l'hôte, du périphérique et de l'utilisateur

Documents / Ressources

Références

Laisser un commentaire

Annuler la réponse