opengear ACM7000 Remote Site Gateway User Manual

Net ferbine of verbreken de konsole tsjinner tidens in elektryske stoarm. Brûk altyd in surge suppressor as UPS om de apparatuer te beskermjen tsjin transients.

FCC warskôging:

Dit apparaat foldocht oan Diel 15 fan 'e FCC-regels. De wurking fan dit apparaat is ûnderwurpen oan de folgjende betingsten: (1) Dit apparaat meie gjin skealike ynterferinsje feroarsaakje, en (2) dit apparaat moat elke ynterferinsje akseptearje dy't ûngewoane operaasje feroarsaakje kin.

FAQs

F: Kin ik de ACM7000 Remote Site Gateway brûke by in elektryske stoarm?
- A: Nee, it is oan te rieden om de konsole-tsjinner net te ferbinen of los te koppelen tidens in elektryske stoarm om skea te foarkommen.

F: Hokker ferzje fan FCC-regels foldocht it apparaat oan?
- A: It apparaat foldocht oan Diel 15 fan 'e FCC-regels.

View Fullscreen

User Manual
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Ferzje 5.0 - 2023-12

Feilichheid
Folgje de feiligens foarsoarchsmaatregels hjirûnder by it ynstallearjen en betsjinjen fan de konsole tsjinner: · Net fuortsmite de metalen covers. D'r binne gjin operatorbere komponinten binnen. It iepenjen of fuortsmiten fan de omslach kin bleatstelle jo oan gefaarlik voltage dy't brân of elektryske skok kinne feroarsaakje. Ferwize alle tsjinst oan Opengear kwalifisearre personiel. · Om elektryske skok te foarkommen, moat de beskermjende ierdlieding fan 'e stroomkabel troch oan' e grûn ferbûn wurde. · Altyd lûke op de stekker, net de kabel, doe't loskoppelen fan de macht cord út de socket.
Net ferbine of verbreken de konsole tsjinner tidens in elektryske stoarm. Brûk ek in surge suppressor as UPS om de apparatuer te beskermjen tsjin transients.
FCC warskôgingsferklearring
Dit apparaat foldocht oan Diel 15 fan 'e FCC-regels. De wurking fan dit apparaat is ûnder foarbehâld fan it folgjende
betingsten: (1) Dit apparaat kin net feroarsaakje skealike ynterferinsje, en (2) dit apparaat moat akseptearje eltse ynterferinsje dy't kin feroarsaakje net winske operaasje.
Goede reservesystemen en needsaaklike feiligensapparaten moatte wurde brûkt om te beskermjen tsjin blessueres, dea of skea oan eigendom fanwege systeemfalen. Sokke beskerming is de ferantwurdlikens fan de brûker. Dit konsole-tsjinnerapparaat is net goedkard foar gebrûk as in libbensstipe of medysk systeem. Alle feroarings of oanpassings makke oan dit konsole tsjinner apparaat sûnder de eksplisite goedkarring of tastimming fan Opengear sil ûnjildich Opengear fan alle oanspraaklikens of ferantwurdlikens fan blessuere of ferlies feroarsake troch in malfunction. Dizze apparatuer is foar gebrûk binnen en alle kommunikaasjebedrading binne beheind ta binnen it gebou.
2

User Manual
Copyright
©Opengear Inc. 2023. Alle rjochten foarbehâlden. Ynformaasje yn dit dokumint is ûnder foarbehâld fan feroaring sûnder notice en net fertsjintwurdigje in ynset fan de kant fan Opengear. Opengear jout dit dokumint "as is," sûnder garânsje fan hokker soart, útdrukt of ymplisearre, ynklusyf, mar net beheind ta, de ymplisearre garânsjes fan fitness of hannelberens foar in bepaald doel. Opengear kin op elts momint ferbetterings en/of wizigingen oanmeitsje yn dizze hantlieding of yn it produkt(en) en/of it programma(s) beskreaun yn dizze hânlieding. Dit produkt kin technyske ûnkrektens as typografyske flaters omfetsje. Feroarings wurde periodyk makke oan de ynformaasje hjiryn; dizze feroarings kinne opnommen wurde yn nije edysjes fan 'e publikaasje.\

Haadstik 1

Dizze hânlieding

DIT HANDLEIDING

Dizze brûkershantlieding ferklearret it ynstallearjen, operearjen en behearen fan Opengear-konsoleservers. Dizze hantlieding giet derfan út dat jo bekend binne mei it ynternet- en IP-netwurken, HTTP, FTP, basisfeiligensoperaasjes en it ynterne netwurk fan jo organisaasje.
1.1 Soarten brûkers
De konsole-tsjinner stipet twa klassen brûkers:
· Behearders dy't ûnbeheinde konfiguraasje- en behearprivileges hawwe oer de konsole
tsjinner en ferbûne apparaten, lykas alle tsjinsten en havens om alle seriële ferbûne apparaten en netwurk ferbûne apparaten (hosts) te kontrolearjen. Behearders wurde ynsteld as leden fan de admin brûkersgroep. In behearder kin tagong krije ta de konsole-tsjinner en kontrolearje mei it konfiguraasjeprogramma, de Linux kommandorigel of de browser-basearre Management Console.
· Brûkers dy't binne ynsteld troch in behearder mei grinzen fan harren tagong en kontrôle autoriteit.
Brûkers hawwe in beheind view fan de Management Console en kin allinnich tagong ta autorisearre ynstelde apparaten en review haven logs. Dizze brûkers binne ynsteld as leden fan ien of mear fan 'e foarôf ynstelde brûkersgroepen lykas PPTPD, dialin, FTP, pmshell, brûkers of brûkersgroepen dy't de behearder mooglik makke hat. Se binne allinich autorisearre om spesifisearre kontrôles út te fieren op spesifike ferbûne apparaten. Brûkers, as autorisearre, kinne tagong krije ta en kontrolearje seriële of netwurk ferbûne apparaten mei oantsjutte tsjinsten (bgl. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Brûkers op ôfstân binne brûkers dy't net op itselde LAN-segmint binne as de konsole-tsjinner. In brûker op ôfstân kin ûnderweis wêze mei ferbining mei behearde apparaten oer it iepenbiere ynternet, in behearder yn in oar kantoar dy't ferbynt mei de konsole-tsjinner fia de Enterprise VPN, of yn deselde keamer as itselde kantoar, mar ferbûn op in apart VLAN mei de konsole tsjinner.
1.2 Management Console
De Opengear Management Console lit jo de funksjes fan jo Opengear-konsole-tsjinner konfigurearje en kontrolearje. De Management Console rint yn in browser en biedt in view fan de konsole-tsjinner en alle ferbûne apparaten. Behearders kinne de Management Console brûke om de konsole-tsjinner, brûkers, havens, hosts, machtapparaten en byhearrende logs en warskôgings te konfigurearjen en te behearjen. Net-admin brûkers kinne gebrûk meitsje fan de Management Console mei beheinde menu tagong ta in kontrôle selektearre apparaten, review harren logs, en tagong ta harren mei help fan de ynboude Web terminal.
De konsole-tsjinner rint in ynbêde Linux-bestjoeringssysteem, en kin wurde konfigureare op 'e kommandorigel. Jo kinne tagong krije ta kommandorigel troch sellulêr / ynbelje, direkt ferbine mei de seriële konsole/modempoarte fan 'e konsole-tsjinner, of troch SSH of Telnet te brûken om te ferbinen mei de konsole-tsjinner oer it LAN (of ferbining mei PPTP, IPsec of OpenVPN) .
6

User Manual
Foar kommandorigelynterface (CLI) kommando's en avansearre ynstruksjes, download de Opengear CLI en Scripting Reference.pdf fan https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Mear ynformaasje
Foar mear ynformaasje, rieplachtsje: · Opengear Products Web Side: Sjoch https://opengear.com/products. Om de meast aktuele ynformaasje te krijen oer wat is opnommen mei jo konsole-tsjinner, besykje de seksje Wat is opnommen foar jo bepaalde produkt. · Quick Start Guide: Om de Quick Start Guide foar jo apparaat te krijen, sjoch https://opengear.com/support/documentation/. · Opengear Knowledge Base: Besykje https://opengear.zendesk.com om tagong te krijen ta technyske how-to-artikels, technyske tips, FAQ's en wichtige notifikaasjes. · Opengear CLI en skriptreferinsje: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Haadstik 2:

Systeem konfiguraasje

SYSTEEM KONFIGURAASJE

Dit haadstik jout stap foar stap ynstruksjes foar de earste konfiguraasje fan jo konsole tsjinner en it ferbinen mei it Management of Operational LAN. De stappen binne:
Aktivearje de Management Console. Feroarje it administrator wachtwurd. Stel de haad LAN-poarte fan 'e IP-adreskonsole-tsjinner yn. Selektearje de tsjinsten dy't moatte wurde ynskeakele en tagongsrjochten. Dit haadstik besprekt ek de kommunikaasjesoftware-ark dy't in behearder kin brûke om tagong te krijen ta de konsole-tsjinner, en de konfiguraasje fan 'e ekstra LAN-poarten.
2.1 Management Console Ferbining
Jo konsole-tsjinner komt ynsteld mei in standert IP-adres 192.168.0.1 en subnetmasker 255.255.255.0 foar NET1 (WAN). Foar inisjele konfiguraasje riede wy oan dat jo in kompjûter direkt ferbine mei de konsole. As jo kieze om jo LAN te ferbinen foardat jo de earste opsetstappen foltôgje, soargje derfoar dat:
· D'r binne gjin oare apparaten op it LAN mei in adres fan 192.168.0.1. · De konsole tsjinner en de kompjûter binne op itselde LAN segment, mei gjin interposed router
apparaten.
2.1.1 Ferbûne komputer opset Om de konsoletsjinner te konfigurearjen mei in browser, moat de ferbûne kompjûter in IP-adres hawwe yn itselde berik as de konsoletsjinner (bgl.ample, 192.168.0.100):
· Om it IP-adres fan jo Linux- of Unix-kompjûter te konfigurearjen, run ifconfig. · Foar Windows PC's:
1. Klik op Start > Ynstellings > Control Panel en dûbelklik op Netwurkferbiningen. 2. Rjochtsklik op Local Area Connection en selektearje Eigenskippen. 3. Selektearje Ynternetprotokol (TCP/IP) en klik op Eigenskippen. 4. Selektearje Brûk it folgjende IP-adres en fier de folgjende details yn:
o IP-adres: 192.168.0.100 o Subnetmasker: 255.255.255.0 5. As jo jo besteande IP-ynstellings foar dizze netwurkferbining behâlde wolle, klikje jo op Avansearre en Foegje it boppesteande ta as sekundêre IP-ferbining.
2.1.2 Blêderferbining
Iepenje in browser op 'e ferbûne PC / wurkstasjon en fier https://192.168.0.1 yn.
Ynlogge mei:
Brûkersnamme> root Wachtwurd> standert
8

User Manual
De earste kear dat jo ynlogge, moatte jo it root-wachtwurd feroarje. Klikje op Submit.
Fier it nije wachtwurd nochris yn om de wiziging te foltôgjen. Klikje op Submit. It Wolkom skerm ferskynt.
As jo systeem in sellulêre modem hat, sille jo de stappen krije om de funksjes fan 'e sellulêre router te konfigurearjen: · Konfigurearje de sellulêre modemferbining (Systeem> Dial-side. Sjoch Haadstik 4) · Tastean trochstjoere nei it sellulêre bestimmingsnetwurk (Systeem> Firewall-side. Sjoch haadstik 4) · IP-maskering ynskeakelje foar sellulêre ferbining (Systeem> Firewall-side. Sjoch haadstik 4)
Nei it foltôgjen fan elk fan 'e boppesteande stappen, kinne jo weromgean nei de konfiguraasjelist troch te klikken op it Opengear-logo yn' e boppeste linker hoeke fan it skerm. OPMERKING As jo net by steat binne om te ferbinen mei de Management Console op 192.168.0.1 of as de standert
Brûkersnamme / Wachtwurd wurde net akseptearre, set jo konsole-tsjinner werom (sjoch haadstik 10).
9

haadstik 2: Systeem konfiguraasje
2.2 Behearder ynstelle
2.2.1 Feroarje standert root-systeemwachtwurd Jo moatte it root-wachtwurd wizigje as jo earst ynlogge op it apparaat. Jo kinne dit wachtwurd op elk momint feroarje.
1. Klik Serial & Network > Users & Groups of, op it Wolkom skerm, klik Feroarje standert administraasje wachtwurd.
2. Rôlje nei ûnderen en sykje de root-brûkersyngong ûnder Brûkers en klikje op Bewurkje. 3. Fier it nije wachtwurd yn yn de Wachtwurd en Befêstigje fjilden.
OPMERKING It kontrolearjen fan Wachtwurd bewarje oer firmware wisket, slaat it wachtwurd op, sadat it net wiske wurdt as de firmware weromset wurdt. As dit wachtwurd ferlern is, moat it apparaat firmware hersteld wurde.
4. Klik Tapasse. Oanmelde mei it nije wachtwurd 2.2.2 In nije behearder ynstelle Meitsje in nije brûker mei bestjoerlike privileezjes en oanmelde as dizze brûker foar administraasjefunksjes, ynstee fan root te brûken.
10

User Manual
1. Klik Serial & Network > Brûkers & groepen. Rôlje nei de boaiem fan 'e side en klikje op de knop Brûker tafoegje.
2. Fier in brûkersnamme yn. 3. Yn de Groepen seksje, kontrolearje de admin fak. 4. Fier in wachtwurd yn yn de Wachtwurd en Befêstigje fjilden.
5. Jo kinne ek tafoegje SSH Authorized Keys en kieze útskeakelje Wachtwurd Authentication foar dizze brûker.
6. Oanfoljende opsjes foar dizze brûker kinne ynsteld wurde op dizze side ynklusyf Dial-in opsjes, tagonklike hosts, tagonklike havens, en tagonklike RPC-útgongen.
7. Klikje op de knop Tapasse ûnderoan it skerm om dizze nije brûker te meitsjen.
11

haadstik 2: Systeem konfiguraasje
2.2.3 Foegje Systeemnamme, Systeembeskriuwing en MOTD ta. 1. Selektearje Systeem > Behear. 2. Fier in Systeemnamme en Systeembeskriuwing yn foar de konsole-tsjinner om it in unike ID te jaan en it makliker te identifisearjen. Systeemnamme kin fan 1 oant 64 alfanumerike tekens befetsje en de spesjale tekens ûnderstreekje (_), minus (-), en punt (.). Systeembeskriuwing kin maksimaal 254 tekens befetsje.
3. De MOTD Banner kin brûkt wurde om in berjocht fan 'e dei tekst oan brûkers te werjaan. It ferskynt linksboppe fan it skerm ûnder it Opengear-logo.
4. Klik Tapasse.
12

haadstik 2: Systeem konfiguraasje
5. Selektearje Systeem > Behear. 6. De MOTD Banner kin brûkt wurde om in berjocht fan 'e dei tekst oan brûkers te sjen. It ferskynt op 'e
lofts boppe op it skerm ûnder it Opengear-logo. 7. Klik Tapasse.
2.3 Netwurkkonfiguraasje
Fier in IP-adres yn foar de wichtichste Ethernet (LAN/Netwurk/Network1)-poarte op de konsole-tsjinner of aktivearje syn DHCP-kliïnt om automatysk in IP-adres te krijen fan in DHCP-tsjinner. Standert hat de konsole-tsjinner syn DHCP-kliïnt ynskeakele en akseptearret automatysk elk netwurk IP-adres tawiisd troch in DHCP-tsjinner op jo netwurk. Yn dizze earste steat sil de konsole-tsjinner reagearje op sawol syn standert statyske adres 192.168.0.1 as syn DHCP-adres.
1. Klik Systeem > IP en klik op de Netwurk ynterface ljepper. 2. Kies of DHCP of Static foar de konfiguraasjemetoade.
As jo Statyske kieze, fier dan it IP-adres, Subnetmasker, Gateway en DNS-tsjinner details yn. Dizze seleksje skeakelet de DHCP-kliïnt út.
12

User Manual
3. De konsole tsjinner LAN haven detektearret automatysk de Ethernet ferbining snelheid. Brûk de dellûklist Media om it Ethernet te beskoatteljen op 10 Mb/s of 100 Mb/s en nei Full Duplex of Half Duplex.
As jo pakketferlies of minne netwurkprestaasjes tsjinkomme mei de Auto-ynstelling, feroarje dan de Ethernet Media-ynstellingen op 'e konsole-tsjinner en it apparaat wêrmei't it is ferbûn. Yn 'e measte gefallen feroarje beide nei 100baseTx-FD (100 megabits, folsleine dupleks).
4. As jo DHCP selektearje, sil de konsole-tsjinner sykje nei konfiguraasjedetails fan in DHCP-tsjinner. Dizze seleksje skeakelet elk statysk adres út. De konsole tsjinner MAC adres kin fûn wurde op in label op de basis plaat.
5. Jo kinne in sekundêr adres of komma-skieden list fan adressen yn CIDR-notaasje ynfiere, bygelyks 192.168.1.1/24 as in IP-alias.
6. Klik Tapasse 7. Ferbine de browser op 'e kompjûter dy't ferbûn is mei de konsole-tsjinner troch yn te gean
http://your new IP address.
As jo it IP-adres fan de konsole-tsjinner feroarje, moatte jo jo kompjûter opnij konfigurearje om in IP-adres te hawwen yn itselde netwurkberik as it nije konsole-tsjinneradres. Jo kinne de MTU ynstelle op Ethernet-ynterfaces. Dit is in avansearre opsje om te brûken as jo ynsetsenario net wurket mei de standert MTU fan 1500 bytes. Om de MTU yn te stellen, klikje op Systeem > IP en klikje op it ljepblêd Netwurkynterface. Rôlje omleech nei it MTU-fjild en fier de winske wearde yn. Jildige wearden binne fan 1280 oant 1500 foar 100-megabit-ynterfaces, en 1280 oant 9100 foar gigabit-ynterfaces. . OPMERKING Yn guon gefallen kin de troch de brûker oantsjutte MTU net effekt wurde. Guon NIC-bestjoerders kinne oergrutte MTU's rûne nei de maksimum tastiene wearde en oaren sille in flaterkoade weromjaan. Jo kinne ek in CLI-kommando brûke om MTU Grutte: konfigurearje
# config -s config.interfaces.wan.mtu=1380 kontrolearje
# config -g config.interfaces.wan config.interfaces.wan.adres 192.168.2.24 config.interfaces.wan.ddns.provider gjin config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode stateless config .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

haadstik 2: Systeem konfiguraasje
2.3.1 IPv6 konfiguraasje De konsole tsjinner Ethernet ynterfaces stypje IPv4 standert. Se kinne wurde konfigureare foar IPv6-operaasje:
1. Klik Systeem > IP. Klikje op it ljepblêd Algemiene ynstellings en kontrolearje IPv6 ynskeakelje. As jo wolle, klikje dan op it karfakje IPv6 foar Cellular útskeakelje.
2. Konfigurearje de IPv6 parameters op eltse ynterface side. IPv6 kin wurde konfigureare foar automatyske modus, dy't SLAAC of DHCPv6 sil brûke om adressen, rûtes en DNS te konfigurearjen, as statyske modus, wêrtroch de adresynformaasje mei de hân ynfierd wurde kin.
2.3.2 Konfiguraasje fan dynamyske DNS (DDNS) Mei dynamyske DNS (DDNS) kin in konsole-tsjinner wêrfan it IP-adres dynamysk wurdt tawiisd, lizze mei in fêste host- of domeinnamme. Meitsje in akkount oan by de stipe DDNS-tsjinstferliener fan jo kar. As jo jo DDNS-akkount ynstelle, kieze jo in brûkersnamme, wachtwurd en hostnamme dy't jo sille brûke as de DNS-namme. DDNS-tsjinstferlieners litte jo in hostnamme kieze URL en set in earste IP-adres yn dat oerienkomt mei dy hostnamme URL.
14

User Manual
Om DDNS yn te skeakeljen en te konfigurearjen op ien fan 'e Ethernet- as sellulêre netwurkferbiningen op' e konsole-tsjinner. 1. Klik Systeem > IP en rôlje nei ûnderen de Dynamic DNS seksje. Selektearje jo DDNS-tsjinstprovider
út de dellûk dynamyske DNS list. Jo kinne ek de DDNS-ynformaasje ynstelle ûnder it tabblêd Cellular Modem ûnder Systeem> Dial.
2. Fier yn DDNS Hostnamme de folslein kwalifisearre DNS-hostnamme yn foar jo konsole-tsjinner, bygelyks yourhostname.dyndns.org.
3. Fier de DDNS Brûkersnamme en DDNS Wachtwurd yn foar de DDNS tsjinst provider account. 4. Spesifisearje de Maksimum ynterval tusken updates yn dagen. In DDNS update sil stjoerd wurde sels as de
adres is net feroare. 5. Spesifisearje de Minimum ynterval tusken kontrôles foar feroare adressen yn sekonden. Updates sille
stjoerd wurde as it adres feroare is. 6. Spesifisearje de Maksimum besykjen per update dat is it oantal kearen om te besykjen in update
foardat it opjaan. Dit is standert 3. 7. Klik Tapasse.
15

haadstik 2: Systeem konfiguraasje
2.3.3 EAPoL-modus foar WAN, LAN en OOBFO
(OOBFO is allinich fan tapassing op de IM7216-2-24E-DAC)
Oerview fan EAPoL IEEE 802.1X, of PNAC (Port-based Network Access Control) makket gebrûk fan 'e fysike tagongseigenskippen fan IEEE 802 LAN-ynfrastruktueren om in middel te jaan foar it autentisearjen en autorisearjen fan apparaten ferbûn oan in LAN-poarte dy't punt-nei- skaaimerken fan puntferbining, en fan it foarkommen fan tagong ta dy poarte yn gefallen dêr't de autentikaasje en autorisaasje mislearret. In haven yn dit ferbân is in inkeld punt fan taheaksel oan de LAN-ynfrastruktuer.
As in nije draadloze of bedrade knooppunt (WN) tagong freget ta in LAN-boarne, freget it tagongspunt (AP) om de identiteit fan it WN. Gjin oar ferkear dan EAP is tastien foardat de WN is authentisearre (de "haven" is sluten, of "net authentisearre"). De draadloze knooppunt dy't ferifikaasje freget wurdt faaks Supplicant neamd, de Supplicant is ferantwurdlik foar it reagearjen op Authenticator-gegevens dy't har bewiisbrieven sille fêststelle. Itselde jildt foar it tagongspunt; de Authenticator is net it tagongspunt. It tagongspunt befettet leaver in Authenticator. De Authenticator hoecht net yn it tagongspunt te wêzen; it kin in eksterne komponint wêze. De folgjende ferifikaasjemetoaden wurde ymplementearre:
· EAP-MD5-oanfreger o De metoade EAP MD5-Challenge brûkt gewoane brûkersnamme/wachtwurd
· EAP-PEAP-MD5 of EAP PEAP (Protected EAP) MD5-ferifikaasjemetoade brûkt brûkersbewizen en CA-sertifikaat
· EAP-TLS of EAP TLS (Transport Layer Security) autentikaasjemetoade fereasket CA-sertifikaat, kliïntsertifikaat en in privee kaai.
It EAP-protokol, dat wurdt brûkt foar autentikaasje, waard oarspronklik brûkt foar dial-up PPP. De identiteit wie de brûkersnamme, en PAP- as CHAP-ferifikaasje waard brûkt om it wachtwurd fan de brûker te kontrolearjen. Om't de identiteit dúdlik (net fersifere) ferstjoerd wurdt, kin in kweade sniffer de identiteit fan de brûker leare. "Identiteit ferbergje" wurdt dêrom brûkt; de echte identiteit wurdt net ferstjoerd foardat de fersifere TLS-tunnel op is.
16

User Manual
Neidat de identiteit is ferstjoerd, begjint it autentikaasjeproses. It protokol dat wurdt brûkt tusken de oanfreger en de Authenticator is EAP, (of EAPoL). De Authenticator kapsuleart de EAP-berjochten opnij yn RADIUS-formaat, en jout se troch oan de Authentication Server. Tidens de autentikaasje bringt de Authenticator pakketten troch tusken de Supplicant en de Authentication Server. As it autentikaasjeproses foltôge is, stjoert de autentikaasjetsjinner in súksesberjocht (of mislearring, as de autentikaasje mislearre). De Authenticator iepenet dan de "poarte" foar de Supplicant. Autentikaasje-ynstellingen kinne tagonklik wurde fan 'e EAPoL Supplicant Settings-side. De status fan aktuele EAPoL wurde yn detail werjûn op 'e Status Statistics side op' e EAPoL ljepper:
In abstraksje fan EAPoL op netwurkROLE's wurdt werjûn yn 'e seksje "Connection Manager" op 'e Dashboard-ynterface.
17

haadstik 2: Systeem konfiguraasje
Hjirûnder werjûn is in eksample fan suksesfolle autentikaasje:
IEEE 802.1x (EAPOL) stipe op de switch havens fan IM7216-2-24E-DAC en ACM7004-5: Om foar te kommen loops, brûkers moatte net plug mear as ien switch haven oan deselde boppeste nivo switch.
18

User Manual
2.4 Service Tagong en Brute Force Protection
De behearder kin tagong krije ta de konsoletsjinner en ferbûne seriële poarten en behearde apparaten mei in ferskaat oan tagongsprotokollen/tsjinsten. Foar elke tagong
· De tsjinst moat earst konfigurearre en ynskeakele wurde om te rinnen op de konsole-tsjinner. · Tagong fia de firewall moat ynskeakele wurde foar elke netwurkferbining. Om in tsjinst yn te skeakeljen en te konfigurearjen: 1. Klik op Systeem > Tsjinsten en klik op it ljepblêd Tsjinstynstellingen.

2. Basistsjinsten ynskeakelje en konfigurearje:

HTTP

Standert rint HTTP-tsjinst en kin net folslein útskeakele wurde. Standert is HTTP-tagong útskeakele op alle ynterfaces. Wy riede oan dat dizze tagong útskeakele bliuwt as de konsoletsjinner op ôfstân tagong wurdt fia it ynternet.
Alternatyf HTTP lit jo in alternative HTTP-poarte konfigurearje om nei te harkjen. De HTTP-tsjinst sil trochgean te harkjen op TCP-poarte 80 foar CMS- en ferbiningskommunikaasje, mar sil net tagonklik wêze fia de firewall.

HTTPS

Standert rint HTTPS-tsjinst en ynskeakele op alle netwurkynterfaces. It wurdt oanrikkemandearre dat allinich HTTPS-tagong brûkt wurdt as de konsole-tsjinner oer elk iepenbier netwurk beheard wurde moat. Dit soarget derfoar dat behearders feilige browser tagong hawwe ta alle menu's op 'e konsole-tsjinner. It lit ek passend ynstelde brûkers befeilige blêder tagong ta selekteare menu's beheare.
De HTTPS-tsjinst kin útskeakele of opnij ynskeakele wurde troch HTTPS te kontrolearjen Web Behear en in alternative haven oantsjutte (standert haven is 443).

Telnet

Standert rint de Telnet-tsjinst mar útskeakele op alle netwurkynterfaces.
Telnet kin brûkt wurde om in behearder tagong te jaan ta de kommandorigel-shell fan it systeem. Dizze tsjinst kin nuttich wêze foar lokale behearder en de brûker tagong ta selekteare seriële konsoles. Wy riede oan dat jo dizze tsjinst útskeakelje as de konsoletsjinner op ôfstân beheard wurdt.
It karfakje Telnet kommando shell ynskeakelje sil de Telnet tsjinst ynskeakelje of útskeakelje. In alternative Telnet-poarte om op te harkjen kin wurde oantsjutte yn Alternate Telnet-poarte (standertpoarte is 23).

haadstik 2: Systeem konfiguraasje

SSH

Dizze tsjinst leveret feilige SSH-tagong ta de konsole-tsjinner en taheakke apparaten

en standert rint de SSH-tsjinst en ynskeakele op alle ynterfaces. It is

oanrikkemandearre dat jo SSH kieze as it protokol wêrmei in behearder ferbynt

de konsole-tsjinner oer it ynternet of in oar iepenbier netwurk. Dit sil foarsjen

autentike kommunikaasje tusken it SSH-kliïntprogramma op 'e ôfstân

kompjûter en de SSH-tsjinner yn 'e konsole-tsjinner. Foar mear ynformaasje oer SSH

konfiguraasje Sjoch Haadstik 8 - Autentikaasje.

It karfakje SSH kommando shell ynskeakelje sil dizze tsjinst yn- of útskeakelje. In alternative SSH-poarte om nei te harkjen kin wurde oantsjutte yn SSH-kommando-shell-poarte (standerthaven is 22).

3. Aktivearje en konfigurearje oare tsjinsten:

TFTP / FTP As in USB flash card of ynterne flash wurdt ûntdutsen op in konsole tsjinner, kontrolearjen ynskeakelje TFTP (FTP) tsjinst ynskeakelje dizze tsjinst en set standert tftp en ftp tsjinner op de USB flash. Dizze servers wurde brûkt om konfiguraasje op te slaan files, ûnderhâlde tagong en transaksje logs etc. Files oerbrocht mei tftp en ftp sil wurde opslein ûnder /var/mnt/storage.usb/tftpboot/ (of /var/mnt/storage.nvlog/tftpboot/ op ACM7000series apparaten). It útskeakeljen fan TFTP (FTP) tsjinst ynskeakelje sil de TFTP (FTP) tsjinst útskeakelje.

DNS-relay-kontrôle DNS-tsjinner/relay ynskeakelje skeakelet de DNS-relay-funksje yn, sadat kliïnten kinne wurde konfigureare mei de IP fan de konsole-tsjinner foar har DNS-tsjinnerynstelling, en de konsole-tsjinner sil de DNS-fragen trochstjoere nei de echte DNS-tsjinner.

Web Terminal kontrôle ynskeakelje Web Terminal lit web browser tagong ta de systeem kommandorigel shell fia Behear> Terminal.

4. Spesifisearje alternative poarte nûmers foar Raw TCP, direkte Telnet / SSH en net authentisearre Telnet / SSH tsjinsten. De konsole tsjinner brûkt spesifike berik foar de TCP / IP havens foar de ferskate tagong
tsjinsten dy't brûkers kinne brûke om tagong te krijen ta apparaten ferbûn oan seriële havens (lykas behannele yn haadstik 3 Serial havens konfigurearje). De behearder kin alternatyf berik ynstelle foar dizze tsjinsten en dizze sekundêre poarten sille brûkt wurde neist de standertynstellingen.

It standert TCP/IP-basispoarteadres foar Telnet-tagong is 2000, en it berik foar Telnet is IP-adres: Poarte (2000 + seriële poarte #) ie 2001 2048. As in behearder 8000 soe ynstelle as sekundêre basis foar Telnet, serial poarte #2 op 'e konsole-tsjinner kin Telnet tagonklik wurde op IP
Adres: 2002 en op IP-adres: 8002. De standertbasis foar SSH is 3000; foar Raw TCP is 4000; en foar RFC2217 is it 5000

5. Oare tsjinsten kinne ynskeakele en ynsteld wurde fanút dit menu troch te selektearjen Klik hjir om te konfigurearjen:

Nagios Tagong ta de Nagios NRPE monitoring daemons

NÚT

Tagong ta de NUT UPS monitoring daemon

SNMP Aktivearret snmp yn de konsole-tsjinner. SNMP is standert útskeakele

NTP

6. Klik Tapasse. In befêstiging berjocht ferskynt: Berjocht Feroarings oan konfiguraasje slagge

De ynstellings foar tagong ta tsjinsten kinne ynsteld wurde om tagong ta te tastean of te blokkearjen. Dit spesifiseart hokker ynskeakele tsjinsten behearders kinne brûke oer elke netwurkynterface om te ferbinen mei de konsole-tsjinner en fia de konsole-tsjinner nei taheakke seriële en netwurk ferbûne apparaten.

User Manual
1. Selektearje de Tsjinst tagong ljepper op de Systeem> Tsjinsten side.
2. Dit toant de ynskeakele tsjinsten foar de netwurkynterfaces fan de konsole-tsjinner. Ofhinklik fan it bepaalde konsole-tsjinnermodel kinne de werjûn ynterfaces omfetsje: · Netwurkynterface (foar de wichtichste Ethernet-ferbining) · Management LAN / OOB Failover (twadde Ethernet-ferbiningen) · Dialout / Cellular (V90 en 3G-modem) · Dial-in (ynterne of eksterne V90-modem) · VPN (IPsec of Open VPN-ferbining oer elke netwurkynterface)
3. Kontrolearje foar elk netwurk hokker tsjinst tagong moat wurde ynskeakele/útskeakele.tage. Dit lit de konsole-tsjinner reagearje op ynkommende ICMP-echo-oanfragen. Ping is standert ynskeakele. Foar ferhege feiligens moatte jo dizze tsjinst útskeakelje as jo inisjele konfiguraasje foltôgje.
4. Klik Tapasse Web Behearynstellingen It karfakje HSTS ynskeakelje makket strikte HTTP- strikte ferfiersfeiligens mooglik. HSTS-modus betsjut dat in StrictTransport-Security-header oer HTTPS-ferfier stjoerd wurde moat. In konform web browser ûnthâldt dizze koptekst, en as jo frege om kontakt op te nimmen mei deselde host fia HTTP (flak) sil it automatysk oerskeakelje nei
19

haadstik 2: Systeem konfiguraasje
HTTPS foardat jo HTTP besykje, salang't de browser ienris tagong hat ta de feilige side en de STS-header sjoen hat.
Brute Force Protection Brute Force Protection (Micro Fail2ban) blokkearret boarne-IP's tydlik dy't kweade tekens sjen litte, lykas tefolle wachtwurdfout. Dit kin helpe as de netwurktsjinsten fan it apparaat bleatsteld wurde oan in net-fertroud netwurk, lykas it iepenbiere WAN en skriptoanfallen as softwarewjirms besykje (brute krêft) brûkersbewizen te rieden en sûnder foech tagong te krijen.

Brute Force Protection kin ynskeakele wurde foar de neamde tsjinsten. Standert, as beskerming ienris ynskeakele is, 3 of mear mislearre ferbiningspogingen binnen 60 sekonden fan in spesifike boarne IP trigger dat it ferbean wurdt fan ferbining foar in ynstelbere tiidperioade. Pogingslimyt en Ban-timeout kinne wurde oanpast. Aktive ferbannen wurde ek neamd en kinne wurde ferfarske troch de side opnij te laden.

NOAT

As jo rinne op in net-fertroud netwurk, beskôgje it brûken fan in ferskaat oan strategyen dy't wurde brûkt om tagong op ôfstân te sluten. Dit omfettet SSH iepenbiere kaai autentikaasje, VPN, en Firewall regels oan
tastiene tagong op ôfstân allinich fan fertroude boarnenetwurken. Sjoch de Opengear Knowledge Base foar details.

2.5 Communications Software
Jo hawwe tagongsprotokollen ynsteld foar de behearderkliïnt om te brûken by it ferbinen mei de konsoletsjinner. Brûkerkliïnten brûke dizze protokollen ek by tagong ta seriële taheakke apparaten oan konsole-tsjinners en hosts taheakke oan it netwurk. Jo moatte kommunikaasjesoftware-ark ynsteld hawwe op 'e kompjûter fan' e behearder en brûkerskliïnt. Om te ferbinen kinne jo ark brûke lykas PuTTY en SSHTerm.

User Manual
Kommersjeel beskikbere ferbiningen koppele it fertroude SSH-tunnelingprotokol mei populêre tagongsynstruminten lykas Telnet, SSH, HTTP, HTTPS, VNC, RDP om punt-en-klik feilige tagong op ôfstân te leverjen oan alle systemen en apparaten dy't wurde beheard. Ynformaasje oer it brûken fan Anschlüsse foar blêder tagong ta de konsole tsjinner syn Management Console, Telnet / SSH tagong ta de konsole tsjinner kommando rigel, en TCP / UDP ferbining mei hosts dy't netwurk ferbûn mei de konsole tsjinner is te finen yn haadstik 5. Connectors kinne wurde ynstalleare op Windows PC's, Mac OS X en op de measte Linux-, UNIX- en Solaris-systemen.
2.6 Management Network Konfiguraasje
Konsole tsjinners hawwe ekstra netwurk havens dy't kinne wurde konfigurearre foar in foarsjen behear LAN tagong en / of failover of out-of-band tagong. 2.6.1 Aktivearje de Management LAN Console tsjinners kinne wurde konfigurearre sadat de twadde Ethernet haven jout in behear LAN poarte. De gateway hat firewall, router en DHCP-tsjinner funksjes. Jo moatte in eksterne LAN-switch ferbine mei Netwurk 2 om hosts oan dit behear LAN te ferbinen:
OPMERKING De twadde Ethernet-poarte kin wurde konfigureare as of in Management LAN-poarte-poarte of as in OOB / Failover-poarte. Soargje derfoar dat jo NET2 net hawwe tawiisd as de Failover-ynterface doe't jo de haadnetwurkferbining yn it menu Systeem> IP konfigureare.
21

haadstik 2: Systeem konfiguraasje
Om de Management LAN-gateway te konfigurearjen: 1. Selektearje it ljepblêd Management LAN Interface yn it menu Systeem > IP en ûntselektearje Utskeakelje. 2. Konfigurearje it IP-adres en subnetmasker foar it behear LAN. Lit de DNS-fjilden leech. 3. Klik Tapasse.
De behearspoartefunksje is ynskeakele mei standert firewall- en routerregels konfigureare sadat it Management LAN allinich tagonklik is troch SSH-poarte trochstjoere. Dit soarget derfoar dat de eksterne en lokale ferbiningen mei Behearde apparaten op it Management LAN feilich binne. De LAN-poarten kinne ek wurde konfigureare yn brêge- of bondele modus of manuell konfigureare fanút de kommandorigel. 2.6.2 Konfigurearje de DHCP-tsjinner De DHCP-tsjinner makket de automatyske ferdieling fan IP-adressen mooglik oan apparaten op it Management LAN dy't DHCP-kliïnten útfiere. Om de DHCP-tsjinner yn te skeakeljen:
1. Klik op Systeem > DHCP-tsjinner. 2. Op de Netwurk Interface ljepper, Kontrolearje ynskeakelje DHCP Server.
22

User Manual
3. Fier it Gateway-adres yn dat útjûn wurde oan de DHCP-kliïnten. As dit fjild leech bliuwt, wurdt it IP-adres fan de konsoletsjinner brûkt.
4. Fier it Primêr DNS- en Secondary DNS-adres yn om de DHCP-kliïnten út te jaan. As dit fjild leech bliuwt, wurdt it IP-adres fan de konsoletsjinner brûkt.
5. Fier opsjoneel in Domain Name-efterheaksel yn om DHCP-kliïnten út te jaan. 6. Fier de Standert Lease tiid en Maksimum Lease tiid yn sekonden. Dit is de hoemannichte tiid
dat in dynamysk tawiisd IP-adres jildich is foardat de kliïnt it opnij oanfreegje moat. 7. Klik Tapasse De DHCP-tsjinner jout IP-adressen út fan oantsjutte adrespools: 1. Klikje op Add yn it fjild Dynamic Address Allocation Pools. 2. Fier it DHCP Pool Startadres en Einadres yn. 3. Klik Tapasse.
23

haadstik 2: Systeem konfiguraasje
De DHCP-tsjinner stipet ek foarôf tawizen fan IP-adressen dy't wurde tawiisd oan spesifike MAC-adressen en it reservearjen fan IP-adressen om te brûken troch ferbûne hosts mei fêste IP-adressen. Om in IP-adres te reservearjen foar in bepaalde host:
1. Klikje op Taheakje yn it fjild Reservearre adressen. 2. Fier de Hostnamme, it Hardware-adres (MAC) en it statysk reservearre IP-adres foar
de DHCP-kliïnt en klikje op Tapasse.
As DHCP hostadressen hat tawiisd, is it oan te rieden om dizze te kopiearjen yn 'e foarôf tawiisde list, sadat itselde IP-adres opnij wurdt tawiisd yn it gefal fan in trochstart.
24

User Manual
2.6.3 Selektearje Failover of breedbân OOB Console tsjinners jouwe in failover opsje dus yn it gefal fan in probleem mei help fan de wichtichste LAN ferbining foar tagong ta de konsole tsjinner in alternatyf tagong paad wurdt brûkt. Om failover yn te skeakeljen:
1. Selektearje de side Netwurkynterface yn it menu Systeem > IP 2. Selektearje de Failover-ynterface dy't brûkt wurdt yn gefal fan in outage op it haadnetwurk.
3. Klik Tapasse. Failover wurdt aktyf neidat jo de eksterne siden oantsjutte dy't moatte wurde ûndersocht om failover te triggerjen en de failover-poarten yn te stellen.
2.6.4 Aggregaasje fan de netwurk havens Standert, de konsole tsjinner syn Management LAN netwurk havens kinne tagong wurde mei help fan SSH tunneling / poarte trochstjoere of troch it oprjochtsjen fan in IPsec VPN tunnel nei de konsole tsjinner. Alle bedrade netwurkpoarten op 'e konsole-tsjinners kinne wurde aggregearre troch te brêgen of bondele.
25

User Manual
· Standert is Interface Aggregation útskeakele yn it menu Systeem> IP> Algemiene ynstellings · Selektearje Bridge Interfaces of Bond Interfaces
o As brêge ynskeakele is, wurdt netwurkferkear trochstjoerd oer alle Ethernet-poarten sûnder brânmuorrebeperkingen. Alle Ethernet-poarten binne allegear transparant ferbûn oan 'e gegevenslinklaach (laach 2), sadat se har unike MAC-adressen behâlde
o Mei bonding wurdt it netwurkferkear droegen tusken de havens, mar oanwêzich mei ien MAC-adres
Beide modi ferwiderje alle funksjes fan Management LAN Interface en Out-of-Band / Failover Interface en skeakelje de DHCP-tsjinner út · Yn aggregaasjemodus wurde alle Ethernet-poarten kollektyf konfigureare mei it menu Network Interface
25

haadstik 2: Systeem konfiguraasje
2.6.5 Statyske rûtes Statyske rûtes jouwe in heul rappe manier om gegevens fan ien subnet nei in oar subnet te routeren. Jo kinne hurd koade in paad dat fertelt de konsole tsjinner / router te krijen ta in bepaald subnet mei help fan in bepaald paad. Dit kin nuttich wêze foar tagong ta ferskate subnets op in side op ôfstân by it brûken fan de sellulêre OOB-ferbining.

Om ta te foegjen oan de statyske rûte oan de rûtetabel fan it Systeem:
1. Selektearje it ljepblêd Rûteynstellingen yn it menu Systeem > IP Algemiene ynstellings.
2. Klik Nije rûte
3. Fier in rûtenamme yn foar de rûte.
4. Fier yn it fjild Destination Network/Host it IP-adres fan it bestimmingsnetwurk/host yn dat de rûte tagong jout.
5. Fier in wearde yn it fjild Destination netmask dat identifisearret de bestimming netwurk of host. Elk nûmer tusken 0 en 32. In subnetmasker fan 32 identifisearret in hostrûte.
6. Fier Route Gateway yn mei it IP-adres fan in router dy't pakketten nei it bestimmingsnetwurk stjoert. Dit kin leech lizze.
7. Selektearje de ynterface om te brûken om de bestimming te berikken, kin wurde oerlitten as Gjin.
8. Fier in wearde yn yn it Metric fjild dat stiet foar de metryske fan dizze ferbining. Brûk elk getal gelyk oan of grutter as 0. Dit moat allinnich ynsteld wurde as twa of mear rûtes yn konflikt binne of oerlappende doelen hawwe.
9. Klik Tapasse.

NOAT

De side mei rûtedetails jout in list mei netwurkynterfaces en modems dêr't in rûte oan bûn wurde kin. Yn it gefal fan in modem sil de rûte wurde hechte oan elke ynbelsesje dy't fia dat apparaat fêststeld is. In rûte kin oantsjutte wurde mei in poarte, in ynterface of beide. As de oantsjutte ynterface net aktyf is, sille rûtes konfigureare foar dy ynterface net aktyf wêze.

Brûkershânlieding 3. SERIAL PORT, HOST, DEVICE & USER CONFIGURATION
De konsole-tsjinner makket tagong en kontrôle fan serial-taheakke apparaten en netwurk-taheakke apparaten (hosts) mooglik. De behearder moat tagongsrjochten foar elk fan dizze apparaten ynstelle en de tsjinsten opjaan dy't brûkt wurde kinne om de apparaten te kontrolearjen. De behearder kin ek nije brûkers ynstelle en de yndividuele tagongs- en kontrôlerjochten fan elke brûker opjaan.
Dit haadstik behannelt elk fan 'e stappen yn it konfigurearjen fan netwurk ferbûne en serial taheakke apparaten: · Serial Poorts ynstellen fan protokollen brûkt serial ferbûn apparaten · Brûkers & Groepen it ynstellen fan brûkers en it definiearjen fan de tagongsrjochten foar elk fan dizze brûkers · Autentikaasje dit wurdt behannele yn mear detail yn haadstik 8 · Netwurkhosts dy't tagong konfigurearje ta lokale netwurk ferbûne kompjûters of apparaten (hosts) · Fertroude netwurken konfigurearje - IP-adressen nominearje dy't fertroude brûkers tagong krije fan · Cascading en omlieding fan Serial Console Ports · Ferbine mei macht (UPS, PDU, en IPMI) en apparaten foar miljeumonitoring (EMD) · Serial Port Redirection mei de PortShare-finsters en Linux-kliïnten · Managed Devices - presintearret in konsolidearre view fan alle ferbiningen · IPSec ynskeakelje VPN-ferbining · OpenVPN · PPTP
3.1 Serial havens ynstelle
De earste stap yn it konfigurearjen fan in seriële poarte is om de mienskiplike ynstellings yn te stellen lykas de protokollen en de RS232-parameters dy't moatte wurde brûkt foar de gegevensferbining mei dy poarte (bgl. baudrate). Selektearje hokker modus de poarte is om yn te operearjen. Elke poarte kin ynsteld wurde om ien fan dizze bestjoeringsmodi te stypjen:
· Utskeakele modus is de standert, de seriële poarte is ynaktyf
27

Haadstik 3:

Serial Port, Host, Apparaat en brûkerskonfiguraasje

· Konsole tsjinner modus jout algemiene tagong ta serial console haven op de serial taheakke apparaten
· Apparaatmodus stelt de seriële poarte yn om te kommunisearjen mei in yntelliginte seriële kontrolearre PDU, UPS of Environmental Monitor Devices (EMD)
· Terminal Server-modus stelt de seriële poarte yn om te wachtsjen op in ynkommende terminal-oanmeldingssesje · Serial Bridge-modus makket de transparante ferbining mooglik fan twa seriële poarte-apparaten oer in
netwurk.
1. Selektearje Serial & Network> Serial Port foar in werjaan seriële poarte details 2. Standert, eltse seriële poarte is ynsteld yn Console tsjinner modus. Klikje op Bewurkje neist de poarte dy't jo wolle
opnij konfigurearre. Of klikje op Meardere havens bewurkje en selektearje hokker havens jo wolle konfigurearje as in groep. 3. As jo hawwe opnij konfigurearre de mienskiplike ynstellings en de modus foar eltse haven, set eltse ôfstân syslog (sjoch de folgjende seksjes foar spesifike ynformaasje). Klikje Tapasse 4. As de konsole-tsjinner is konfigureare mei ferdielde Nagios-monitoring ynskeakele, brûk dan Nagios-ynstellingsopsjes om nominearre tsjinsten op 'e Host te skeakeljen om te kontrolearjen. haven. Dizze binne ûnôfhinklik fan 'e modus wêryn't de haven wurdt brûkt. Dizze parameters foar seriële poarte moatte ynsteld wurde sadat se oerienkomme mei de parameters foar seriële poarte op it apparaat dat jo oan dy poarte hechtsje:
28

User Manual

· Typ in label foar de haven · Selektearje de passende Baud Rate, Parity, Data Bits, Stop Bits en Flow Control foar elke haven

· Stel de Port Pinout yn. Dit menu item ferskynt foar IM7200 havens dêr't pin-out foar eltse RJ45 seriële poarte kin wurde ynsteld as X2 (Cisco Straight) of X1 (Cisco Rolled)

· Stel de DTR-modus yn. Hjirmei kinne jo kieze as DTR altyd beweard wurdt of allinich beweard as d'r in aktive brûkerssesje is

· Foardat jo trochgean mei fierdere seriële poarte konfiguraasje, moatte jo de havens ferbine mei de seriële apparaten dy't se sille kontrolearje en soargje dat se oerienkommende ynstellings hawwe

3.1.2

Konsole Tsjinner Mode
Selektearje Console Server Mode om tagong op ôfstân yn te skeakeljen ta de seriële konsole dy't oan dizze seriële poarte ferbûn is:

Logging Level Dit spesifiseart it nivo fan ynformaasje dat ynlogd en kontrolearre wurde moat.
29

Haadstik 3: Serial Port, Host, Apparaat & Brûkerskonfiguraasje
Nivo 0: logging útskeakelje (standert)
Nivo 1: Log LOGIN, LOGOUT en SIGNAL eveneminten
Nivo 2: Log LOGIN, LOGOUT, SIGNAL, TXDATA en RXDATA eveneminten
Nivo 3: Log LOGIN, LOGOUT, SIGNAL en RXDATA eveneminten
Nivo 4: Log LOGIN, LOGOUT, SIGNAL en TXDATA eveneminten
Input / RXDATA is gegevens ûntfongen troch de Opengear apparaat út de ferbûn serial apparaat, en output / TXDATA is gegevens ferstjoerd troch de Opengear apparaat (bgl. typearre troch de brûker) nei de ferbûn seriële apparaat.
Apparaatkonsoles echo typysk werom karakters as se wurde typt, sadat TXDATA typt troch in brûker dêrnei wurdt ûntfongen as RXDATA, werjûn op har terminal.
OPMERKING: Nei it freegjen fan in wachtwurd, stjoert it ferbûne apparaat * tekens om te foarkommen dat it wachtwurd werjûn wurdt.

Telnet. Om't Telnet-kommunikaasje net fersifere is, wurdt dit protokol allinich oanrikkemandearre foar lokale of VPN-tunnelferbiningen.
As de kommunikaasje op ôfstân wurdt tunneled mei in ferbining, kin Telnet brûkt wurde foar feilige tagong ta dizze taheakke apparaten.

NOAT

Yn konsole-tsjinner-modus kinne brûkers in ferbining brûke om feilige Telnet-ferbiningen yn te stellen dy't SSH wurde tunneleare fan har kliïntkompjûters nei de seriële poarte op 'e konsole-tsjinner. Connectors kinne wurde ynstalleare op Windows PC's en de measte Linux-platfoarms en it makket it mooglik om feilige Telnet-ferbiningen te selektearjen mei punt-en-klik.

Om in ferbiner te brûken om tagong te krijen ta konsoles op 'e seriële poarten fan' e konsole-tsjinner, konfigurearje de ferbining mei de konsole-tsjinner as poarte, en as host, en ynskeakelje Telnet-tsjinst op Port (2000 + seriële poarte #) ie 2001.

Jo kinne ek standert kommunikaasjepakketten lykas PuTTY brûke om in direkte Telnet- of SSH-ferbining yn te stellen nei de seriële havens.

OPMERKING Yn konsole-tsjinnermodus, as jo ferbine mei in seriële poarte, ferbine jo fia pmshell. Om in BREAK op 'e seriële poarte te generearjen, typ de karaktersekwinsje ~b. As jo dit dogge oer OpenSSH type ~~b.

SSH

It wurdt oanrikkemandearre dat jo SSH brûke as protokol as brûkers ferbine mei de konsole-tsjinner

(of ferbine fia de konsole tsjinner mei de taheakke seriële konsoles) oer it ynternet of hokker

oare iepenbiere netwurk.

Foar SSH tagong ta de konsoles op apparaten ferbûn oan de konsole tsjinner seriële havens, kinne jo gebrûk meitsje fan in ferbining. Konfigurearje de ferbining mei de konsole tsjinner as in poarte, en as host, en ynskeakelje SSH tsjinst op Port (3000 + serial poarte #) ie 3001-3048.

Jo kinne ek gewoane kommunikaasjepakketten brûke, lykas PuTTY of SSHTerm om SSH te ferbinen mei poarteadres IP-adres _ Poarte (3000 + seriële poarte #) ie 3001

SSH ferbinings kinne wurde konfigurearre mei help fan de standert SSH haven 22. De seriële poarte wurdt tagong wurdt identifisearre troch taheakjen fan in descriptor oan de brûkersnamme. Dizze syntaksis stipet:

User Manual
: : Foar in brûker mei de namme chris om tagong te krijen ta seriële poarte 2, by it ynstellen fan de SSHTerm of de PuTTY SSH-kliïnt, ynstee fan brûkersnamme = chris en ssh-poarte = 3002 te typen, is it alternatyf om brûkersnamme = chris:port02 te typen (of brûkersnamme = chris: ttyS1) en ssh port = 22. Of troch te typen brûkersnamme = chris: serial en ssh port = 22, de brûker wurdt presintearre mei in poarte seleksje opsje:

Dizze syntaksis stelt brûkers yn steat om SSH-tunnels yn te stellen nei alle seriële poarten mei ien IP-poarte 22 dy't moatte wurde iepene yn har firewall/gateway
NOTE Yn konsole tsjinner modus, jo ferbine mei in seriële poarte fia pmshell. Om in BREAK op 'e seriële poarte te generearjen, typ de karaktersekwinsje ~b. As jo dit oer OpenSSH dogge, typ dan ~~b.

TCP

RAW TCP makket ferbinings mei in TCP-socket mooglik. Wylst kommunikaasjeprogramma's lykas PuTTY

stypje ek RAW TCP, dit protokol wurdt normaal brûkt troch in oanpaste applikaasje

Foar RAW TCP is it standert poarteadres IP-adres _ Poarte (4000 + seriële poarte #) ie 4001 4048

RAW TCP makket it ek mooglik om de seriële poarte te tunneljen nei in konsole-tsjinner op ôfstân, sadat twa seriële poarte-apparaten transparant kinne ferbine oer in netwurk (sjoch Haadstik 3.1.6 Serial Bridging)

RFC2217 It selektearjen fan RFC2217 makket omlieding fan seriële poarte op dy poarte mooglik. Foar RFC2217 is it standert poarteadres IP-adres _ Poarte (5000 + seriële poarte #) ie 5001 5048
Spesjale kliïntsoftware is beskikber foar Windows UNIX en Linux dy't RFC2217 firtuele com-poarten stipet, sadat in host op ôfstân kin kontrolearje en beheare op ôfstân serial taheakke apparaten as binne se ferbûn mei de lokale seriële poarte (sjoch Haadstik 3.6 Serial Port Redirection foar details)
RFC2217 makket it ek mooglik om de seriële poarte te tunnelen nei in konsole-tsjinner op ôfstân, sadat twa seriële poarte-apparaten transparant kinne ferbine oer in netwurk (sjoch Haadstik 3.1.6 Serial Bridging)

Net ferifiearre Telnet Dit makket Telnet tagong ta de seriële poarte sûnder autentikaasjebewiis. As in brûker tagong hat ta de konsole-tsjinner nei Telnet nei in seriële poarte, krije se in oanmeldprompt. Mei net authentisearre Telnet ferbine se direkt troch nei de haven sûnder ienige oanmeldingsútdaging foar konsole-tsjinner. As in Telnet-kliïnt freget om autentikaasje, kinne alle ynfierde gegevens ferbining meitsje.

Haadstik 3: Serial Port, Host, Apparaat & Brûkerskonfiguraasje
Dizze modus wurdt brûkt mei in ekstern systeem (lykas conserver) behear fan brûkersautentikaasje en tagongsrjochten op it seriële apparaatnivo.
Oanmelde by in apparaat ferbûn mei de konsole-tsjinner kin ferifikaasje fereaskje.
Foar Unauthenticated Telnet is it standert poarteadres IP-adres _ Poarte (6000 + seriële poarte #) ie 6001 6048

Unauthentisearre SSH Dit makket SSH tagong ta de seriële poarte sûnder autentikaasjebewiis. As in brûker tagong hat ta de konsole-tsjinner nei Telnet nei in seriële poarte, krije se in oanmeldprompt. Mei net authentisearre SSH ferbine se direkt mei de poarte sûnder ienige oanmeldútdaging foar konsole-tsjinner.
Dizze modus wurdt brûkt as jo in oar systeem hawwe dat brûkersautentikaasje en tagongsrjochten beheart op it seriële apparaatnivo, mar de sesje oer it netwurk fersiferje wolle.
Oanmelde by in apparaat ferbûn mei de konsole-tsjinner kin ferifikaasje fereaskje.
Foar Unauthenticated Telnet is it standert poarteadres IP-adres _ Poarte (7000 + seriële poarte #) ie 7001 7048
De : metoade fan haven tagong (lykas beskreaun yn de boppesteande SSH seksje) altyd fereasket autentikaasje.

Web Terminal Dit makket it mooglik web browser tagong ta de seriële poarte fia Behear> Apparaten: Serial mei de ynboude AJAX-terminal fan 'e Management Console. Web Terminal ferbynt as de op it stuit authentisearre Management Console-brûker en authentifisearret net opnij. Sjoch paragraaf 12.3 foar mear details.

IP Alias

Ynskeakelje tagong ta de serial haven mei help fan in spesifyk IP-adres, oantsjutte yn CIDR opmaak. Elke seriële poarte kin ien of mear IP-aliassen wurde tawiisd, konfigureare op in per-netwurk-ynterfacebasis. In serial haven kin, bygelyksample, tagonklik makke wurde op sawol 192.168.0.148 (as ûnderdiel fan it ynterne netwurk) en 10.10.10.148 (as ûnderdiel fan it Management LAN). It is ek mooglik om in seriële poarte beskikber te meitsjen op twa IP-adressen op itselde netwurk (bglample, 192.168.0.148 en 192.168.0.248).

Dizze IP-adressen kinne allinich brûkt wurde om tagong te krijen ta de spesifike seriële poarte, tagonklik mei it standert protokol TCP-poartenûmers fan 'e konsole-tsjinnertsjinsten. Bygelyksample, SSH op seriële poarte 3 soe wêze tagonklik op haven 22 fan in seriële poarte IP alias (wylst it op de konsole tsjinner syn primêre adres is beskikber op haven 2003).

Dizze funksje kin ek ynsteld wurde fia de bewurkingsside foar meardere havens. Yn dit gefal wurde de IP-adressen sequentieel tapast, wêrby't de earste selekteare poarte de IP ynfierd wurdt en de folgjende wurde ferhege, mei nûmers dy't wurde oerslein foar alle net-selekteare poarten. Bygelyksample, as de havens 2, 3 en 5 binne selektearre en de IP-alias 10.0.0.1/24 wurdt ynfierd foar de netwurkynterface, wurde de folgjende adressen tawiisd:

Poarte 2: 10.0.0.1/24

Poarte 3: 10.0.0.2/24

Poarte 5: 10.0.0.4/24

IP-aliasen stypje ek IPv6-aliasadressen. It ienige ferskil is dat adressen heksadesimale sifers binne, dus poarte 10 kin oerienkomme mei in adres dat einiget op A, en 11 mei ien einigjend op B, ynstee fan 10 of 11 neffens IPv4.

User Manual
Fersiferje ferkear / ferifiearje Triviale fersifering en ferifikaasje fan RFC2217 seriële kommunikaasje ynskeakelje mei Portshare (foar sterke fersifering brûk VPN).
Akkumulaasjeperioade Sadree't in ferbining is makke foar in bepaalde seriële poarte (lykas in RFC2217-omlieding of Telnet-ferbining nei in kompjûter op ôfstân), wurde alle ynkommende tekens op dy poarte trochstjoerd oer it netwurk op in karakter foar karakter basis. De akkumulaasjeperioade spesifisearret in tiidperioade dat ynkommende tekens sammele wurde foardat se as in pakket oer it netwurk ferstjoerd wurde
Escape Character Feroarje it karakter dat brûkt wurdt foar it ferstjoeren fan escape-tekens. De standert is ~. Backspace ferfange Ferfange de standert backspace-wearde fan CTRL+? (127) mei CTRL+h (8). Power Menu It kommando om it macht menu op te heljen is ~p en skeakelet it shell power kommando sa a
brûker kin behearskje de macht ferbining nei in beheard apparaat út kommando rigel as se binne Telnet of SSH ferbûn oan it apparaat. It behearde apparaat moat ynsteld wurde mei sawol de seriële poarteferbining as de machtferbining ynsteld.
Ienfâldige ferbining Dit beheint de poarte ta ien ferbining, dus as meardere brûkers tagongsrjochten hawwe foar in bepaalde poarte kin mar ien brûker tagelyk tagong krije ta dy poarte (dat wol sizze dat poarte snoopjen is net tastien).
33

Haadstik 3: Serial Port, Host, Apparaat & Brûkerskonfiguraasje
3.1.3 Apparaatmodus (RPC, UPS, Miljeu) Dizze modus konfigurearret de selekteare seriële poarte om te kommunisearjen mei in serial kontrolearre Uninterruptable Power Supply (UPS), Remote Power Controller / Power Distribution Units (RPC) of Environmental Monitoring Device (Environmental)

1. Selektearje it winske apparaattype (UPS, RPC, of miljeu)
2. Gean nei de passende apparaatkonfiguraasjeside (Serial & Network> UPS Connections, RPC Connection of Environmental) lykas detaillearre yn haadstik 7.

3.1.4 ·

Terminal Server Mode
Selektearje Terminal Server Mode en it Terminal Type (vt220, vt102, vt100, Linux of ANSI) om in getty yn te skeakeljen op de selektearre seriële poarte

De getty konfigurearret de poarte en wachtsje op in ferbining dy't makke wurdt. In aktive ferbining op in serial apparaat wurdt oanjûn troch de ferhege Data Carrier Detect (DCD) pin op de seriële apparaat. As in ferbining wurdt ûntdutsen, jout it Getty-programma in oanmelding: prompt, en ropt it oanmeldprogramma op om de systeemoanmelding te behanneljen.
OPMERKING It selektearjen fan de Terminal Server-modus skeakelt Port Manager foar dy seriële poarte út, sadat gegevens net mear wurde oanmeld foar warskôgings ensfh.

User Manual
3.1.5 Serial Bridging Mode Mei serial bridging, de seriële gegevens op in nominearre serial haven op ien konsole tsjinner ynkapsele yn netwurk pakketten en ferfierd oer in netwurk nei in twadde console tsjinner dêr't it wurdt fertsjintwurdige as serial gegevens. De twa konsole-tsjinners fungearje as in firtuele seriële kabel oer in IP-netwurk. Ien konsole-tsjinner is konfigureare om de tsjinner te wêzen. De tsjinner seriële poarte dy't moat wurde oerbrêge is ynsteld yn Konsole-tsjinnermodus mei RFC2217 of RAW ynskeakele. Foar de Client-konsole-tsjinner moat de te oerbrêgjende seriële poarte ynsteld wurde yn Bridging Mode:
· Selektearje Serial Bridging Mode en spesifisearje it IP-adres fan 'e serverkonsole-tsjinner en it TCP-poarteadres fan' e remote seriële poarte (foar RFC2217-brêge sil dit 5001-5048 wêze)
· Standert brûkt de brêgekliïnt RAW TCP. Selektearje RFC2217 as dit de konsole tsjinner modus is dy't jo hawwe oantsjutte op de tsjinner konsole tsjinner
· Jo kinne de kommunikaasje befeiligje oer it lokale Ethernet troch SSH yn te skeakeljen. Generearje en upload kaaien.
3.1.6 Syslog. basis:
· Selektearje de Syslog Facility / Priority fjilden om it loggjen fan ferkear op 'e selektearre seriële poarte nei in syslog-tsjinner yn te skeakeljen; en om dy oanmelde berjochten te sortearjen en te hanneljen (dws se trochferwize / warskôgings-e-post stjoere.)
35

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
Bygelyksample, as de kompjûter ferbûn oan seriële poarte 3 moat nea stjoere neat út op syn seriële konsole haven, de behearder kin ynstelle de Facility foar dy haven oan local0 (local0 .. local7 binne bedoeld foar site lokale wearden), en de Prioriteit foar kritysk . Op dizze prioriteit, as de syslog-tsjinner fan de konsole-tsjinner wol in berjocht ûntfangt, ropt it in warskôging op. Sjoch Haadstik 6. 3.1.7 NMEA Streaming De ACM7000-L kin foarsjen GPS NMEA gegevens streaming fan de ynterne GPS / cellular modem. Dizze gegevensstream presintearret as in seriële gegevensstream op poarte 5 op 'e ACM-modellen.
De mienskiplike ynstellings (baudrate ensfh.) wurde negearre by it konfigurearjen fan de NMEA seriële poarte. Jo kinne de Fix Frequency opjaan (dws dizze GPS fix rate bepaalt hoe faak GPS fixes wurde krigen). Jo kinne ek alle ynstellings foar konsoletsjinnermodus, Syslog en Serial Bridging tapasse op dizze poarte.
Jo kinne pmshell brûke, webshell, SSH, RFC2217 of RawTCP om by de stream te kommen:
Bygelyksample, mei help fan de Web Terminal:
36

User Manual

3.1.8 USB Konsoles
Konsol tsjinners mei USB havens stipet USB konsole ferbinings nei apparaten út in breed skala oan vendors, ynklusyf Cisco, HP, Dell en Brocade. Dizze USB-ports kinne ek funksjonearje as gewoane RS-232-seriële havens as in USB-nei-seriële adapter is ferbûn.

Dy USB havens binne beskikber as reguliere portmanager havens en wurde presintearre numerike yn de web UI nei alle gedachten RJ45 serial havens.

De ACM7008-2 hat acht RJ45-seriële havens op 'e efterkant fan' e konsole-tsjinner en fjouwer USB-ports oan 'e foarkant. Yn Serial & Network> Serial Port wurde dizze neamd as

Poarte # Connector

RJ45

USB

10 USB

11 USB

12 USB

As de bepaalde ACM7008-2 in sellulêr model is, sil poarte #13 - foar de GPS - ek wurde neamd.

De 7216-24U hat 16 RJ45-seriële havens en 24 USB-ports op har efterkant, lykas twa USB-ports nei foaren en (yn it sellulêre model) in GPS.

De RJ45-seriële poarten wurde presintearre yn Serial & Network> Serial Port as poartenûmers 1. De 16 efterste USB-poarten nimme poartenûmers 24, en de USB-poarten nei foaren wurde respektivelik oanjûn op poartenûmers 17 en 40. En, lykas by de ACM41-42, as de bepaalde 7008-2U in sellulêr model is, wurdt de GPS presintearre op poartenûmer 7216.

De mienskiplike ynstellings (baudrate, ensfh) wurde brûkt by it konfigurearjen fan de havens, mar guon operaasjes meie net wurkje ôfhinklik fan de útfiering fan de ûnderlizzende USB serial chip.

3.2 Brûkers tafoegje en bewurkje
De behearder brûkt dizze menuseleksje om brûkers te meitsjen, te bewurkjen en te wiskjen en om de tagongsrjochten foar elk fan dizze brûkers te definiearjen.

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje

Brûkers kinne autorisearre wurde om tagong te krijen ta spesifisearre tsjinsten, seriële havens, machtapparaten en oantsjutte netwurk-taheakke hosts. Dizze brûkers kinne ek de folsleine behearderstatus krije (mei folsleine konfiguraasje en behear en tagongsrjochten).

Brûkers kinne wurde tafoege oan groepen. Seis groepen binne standert ynsteld:

admin

Biedt ûnbeheinde konfiguraasje- en behearprivileges.

pptpd

Jout tagong ta de PPTP VPN-tsjinner. Brûkers yn dizze groep hawwe harren wachtwurd opslein yn dúdlike tekst.

ynbelje

Stelt dialin tagong fia modems. Brûkers yn dizze groep hawwe harren wachtwurd opslein yn dúdlike tekst.

ftp

Stelt ftp tagong en file tagong ta opslachapparaten.

pmshell

Stelt standert shell yn op pmshell.

brûkers

Biedt brûkers mei basis behear privileezjes.

De admingroep jout leden folsleine behearderrjochten. De admin-brûker kin tagong krije ta de konsole-tsjinner mei ien fan 'e tsjinsten dy't binne ynskeakele yn Systeem> Tsjinsten. Allinich fertroude brûkers moatte behearder tagong hawwe
De brûkersgroep biedt leden beheinde tagong ta de konsole-tsjinner en ferbûne hosts en seriële apparaten. Dizze brûkers kinne allinich tagong krije ta de Behearseksje fan it menu Management Console en se hawwe gjin kommandorigel tagong ta de konsole-tsjinner. Se kinne allinich tagong krije ta dy Hosts en seriële apparaten dy't foar har binne kontrolearre, mei help fan tsjinsten dy't ynskeakele binne
Brûkers yn 'e pptd-, dialin-, ftp- of pmshell-groepen hawwe tagong ta brûkersshell beheind ta de nominearre behearde apparaten, mar se sille gjin direkte tagong hawwe ta de konsole-tsjinner. Om dit ta te foegjen moatte de brûkers ek lid wêze fan 'e brûkers of admingroepen
De behearder kin ekstra groepen ynstelle mei spesifike machtapparaat, seriële poarte en tagongsrjochten foar host. Brûkers yn dizze ekstra groepen hawwe gjin tagong ta it menu Management Console en hawwe ek gjin kommandorigel tagong ta de konsole-tsjinner.

User Manual
De behearder kin brûkers ynstelle mei spesifike machtapparaat, seriële poarte en tagongsrjochten foar host dy't gjin lid binne fan elke groepen. Dizze brûkers hawwe gjin tagong ta it menu Management Console noch tagong ta de kommandorigel ta de konsole-tsjinner. 3.2.1 Nije groep ynstelle Om nije groepen en nije brûkers op te setten, en brûkers te klassifisearjen as leden fan bepaalde groepen:
1. Selektearje Serial & Network > Users & Groups om alle groepen en brûkers wer te jaan 2. Klik Add Group om in nije groep ta te foegjen
3. Foegje in groepnamme en beskriuwing ta foar elke nije groep, en nominearje de tagonklike hosts, tagonklike havens en tagonklike RPC-outlets wêrmei brûkers yn dizze nije groep tagong kinne krije
4. Klik Tapasse 5. De behearder kin elke tafoege groep bewurkje of wiskje 3.2.2 Nije brûkers ynstelle Om nije brûkers yn te stellen en brûkers as leden fan bepaalde groepen te klassifisearjen: 1. Selektearje Serial & Network > Users & Groups to display alle groepen en brûkers 2. Klik Brûker taheakje
39

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
3. Foegje in brûkersnamme ta foar elke nije brûker. Jo kinne ek ynformaasje oer de brûker opnimme (bgl. kontaktgegevens) yn it Beskriuwingsfjild. De brûkersnamme kin fan 1 oant 127 alfanumerike tekens befetsje en de tekens "-", "_" en ".".
4. Spesifisearje hokker groepen jo wolle dat de brûker lid is fan 5. Foegje in befêstige wachtwurd ta foar elke nije brûker. Alle karakters binne tastien. 6. SSH pass-key autentikaasje kin brûkt wurde. Plak de iepenbiere kaaien fan autorisearre publyk / privee
toetseparen foar dizze brûker yn it fjild Autorisearre SSH-kaaien.
by it brûken fan SSH 8. Kontrolearje Dial-Back ynskeakelje yn it menu Opsjes foar ynbelopsjes om in útgeande werombelferbining mooglik te meitsjen
te aktivearjen troch yn te loggen op dizze poarte. Fier it Dial-Back telefoannûmer yn mei it telefoannûmer om werom te skiljen as brûker oanmeldet 9. Kontrolearje tagonklike hosts en/of tagonklike havens om de seriële poarten en netwurk ferbûne hosts te nominearjen dy't jo wolle dat de brûker tagongsrjochten hat ta 10. As der binne konfigurearre RPCs, check Accessible RPC Outlets foar in oantsjutte hokker ferkeappunten de brûker is by steat om te kontrolearjen (ie Power On / Off) 11. Klik Tapasse. De nije brûker sil tagong krije ta de tagonklike netwurkapparaten, havens en RPC-outlets. As de brûker in groepslid is, kinne se ek tagong krije ta elk oar apparaat / haven / outlet dat tagonklik is foar de groep
40

User Manual
D'r binne gjin grinzen foar it oantal brûkers dat jo kinne ynstelle of it oantal brûkers per seriële poarte of host. Meardere brûkers kinne de iene poarte as host kontrolearje / kontrolearje. D'r binne gjin limiten op it oantal groepen en elke brûker kin lid wêze fan in oantal groepen. In brûker hoecht gjin lid te wêzen fan alle groepen, mar as de brûker lid is fan 'e standert brûkersgroep, kinne se de Management Console net brûke om havens te behearjen. Wylst d'r gjin grinzen binne, nimt de tiid om opnij te konfigurearjen ta as it oantal en kompleksiteit ferheget. Wy riede oan dat it totale oantal brûkers en groepen ûnder 250 hâlden wurdt. De behearder kin ek de tagongsynstellingen foar alle besteande brûkers bewurkje:
· Selektearje Serial & Network> Brûkers en groepen en klikje op Bewurkje om de tagongsrjochten foar brûkers te wizigjen · Klikje Wiskje om de brûker te ferwiderjen · Klikje útskeakelje om tagongsrjochten tydlik te blokkearjen
3.3 Ferifikaasje
Sjoch Haadstik 8 foar autentikaasje konfiguraasje details.
3.4 Netwurkhosts
Om te kontrolearjen en op ôfstân tagong te krijen ta in lokaal netwurke kompjûter of apparaat (oantsjutten as in Host) moatte jo de Host identifisearje:
1. Selektearje Serial & Network> Network Hosts presintearret alle netwurk ferbûn Hosts dy't ynskeakele binne foar gebrûk.
2. Klikje Host tafoegje om tagong ta in nije host yn te skeakeljen (of selektearje Bewurkje om de ynstellings foar besteande host te aktualisearjen)
41

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
3. As de Host is in PDU of UPS macht apparaat of in tsjinner mei IPMI macht kontrôle, spesifisearje RPC (foar IPMI en PDU) of UPS en it apparaat Type. De behearder kin dizze apparaten ynstelle en ynskeakelje hokker brûkers tastimming hawwe om macht op ôfstân te fytsen, ensfh. Sjoch Haadstik 7. Lit oars it Apparaattype ynsteld op Gjin.
4. As de konsole-tsjinner is konfigureare mei ferdielde Nagios-monitoring ynskeakele, sille jo ek Nagios-ynstellingsopsjes sjen om nominearre tsjinsten op 'e Host te kontrolearjen.
5. Klik Tapasse. Dit makket de nije Host en meitsje ek in nij beheard apparaat mei deselde namme.
3.5 Fertroude netwurken
De foarsjenning foar Trusted Networks jout jo in opsje om IP-adressen te nominearjen wêrop brûkers moatte lizze, om tagong te hawwen ta seriële poarten fan konsole-tsjinner:
42

User Manual
1. Selektearje Serial & Network > Fertroude netwurken 2. Om in nij fertroud netwurk ta te foegjen, selektearje Regel taheakje. By it ûntbrekken fan regels binne d'r gjin tagong
beheiningen oangeande it IP-adres wêrop brûkers kinne lizze.

3. Selektearje de tagonklike havens wêrop de nije regel tapast wurde moat
4. Fier it netwurkadres yn fan it subnet om tagong te krijen
5. Spesifisearje it berik fan adressen dy't tastien wurde moatte troch in netwurkmasker yn te fieren foar dat tastiene IP-berik, bgl.
· Om alle brûkers mei in bepaalde Klasse C netwurkferbining ta de nominearre poarte ta te stean, foegje de folgjende Fertroude Netwurk Nije Regel ta:

Netwurk IP-adres

204.15.5.0

Subnetmasker

255.255.255.0

· Om mar ien brûker op in spesifyk IP-adres ta te stean om te ferbinen:

Netwurk IP-adres

204.15.5.13

Subnetmasker

255.255.255.255

· Om alle brûkers dy't operearje fanút in spesifyk berik fan IP-adressen (sizze ien fan 'e tritich adressen fan 204.15.5.129 oant 204.15.5.158) ferbining mei de nominearre poarte te tastean:

Host / subnetadres

204.15.5.128

Subnetmasker

255.255.255.224

6. Klik Tapasse

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
3.6 Serial Port Cascading
Cascaded Ports kinne jo cluster ferspraat konsole tsjinners sadat in grut oantal serial havens (oant 1000) kin wurde konfigurearre en tagong fia ien IP-adres en beheard fia de iene Management Console. Ien konsole-tsjinner, de Primêr, kontrolearret oare konsole-tsjinners as Node-ienheden en alle seriële poarten op 'e Node-ienheden ferskine as binne se diel fan' e Primary. De klustering fan Opengear ferbynt elke Node mei de Primêr mei in SSH-ferbining. Dit wurdt dien mei ferifikaasje fan iepenbiere kaaien, sadat de Primêr tagong kin ta elke Node mei it SSH-kaaipaar (ynstee fan wachtwurden te brûken). Dit soarget foar feilige autentike kommunikaasje tusken primêre en knooppunten, wêrtroch't de Node-konsole-tsjinner-ienheden lokaal ferspraat wurde op in LAN of op ôfstân om 'e wrâld.
3.6.1 Automatysk generearje en uploade SSH-kaaien. Dit kin automatysk dien wurde fanút de Primêr:
44

User Manual
1. Selektearje Systeem > Behear op de Behearkonsole fan Primêr
2. Kontrolearje Generearje SSH kaaien automatysk. 3. Klik Tapasse
Dêrnei moatte jo selektearje of jo kaaien wolle generearje mei RSA en/of DSA (as jo net wis binne, selektearje allinich RSA). It generearjen fan elke set fan kaaien fereasket twa minuten en de nije kaaien ferneatigje âlde kaaien fan dat type. Wylst de nije generaasje oan 'e gong is, kinne funksjes dy't ôfhinklik binne op SSH-kaaien (bgl Om kaaien te generearjen:
1. Selektearje fakjes foar de kaaien dy't jo wolle generearje. 2. Klik Tapasse
3. Sadree't de nije kaaien binne oanmakke, klik op de keppeling Klik hjir om werom. De kaaien wurde opladen
nei de primêre en ferbûne knooppunten.
3.6.2 SSH-kaaien mei de hân generearje en uploaden As alternatyf as jo in RSA- of DSA-kaaipaar hawwe, kinne jo se uploade nei de Primêre en Node-konsoleservers. Om de kaai iepenbiere en privee kaai pear te uploaden nei de Primêre konsole tsjinner:
1. Selektearje Systeem > Behear op de Behearkonsole fan de Primêr
2. Blêdzje nei de lokaasje dy't jo RSA (of DSA) Public Key hawwe opslein en upload it nei SSH RSA (DSA) Public Key
3. Blêdzje nei de bewarre RSA (of DSA) Private Key en upload it nei SSH RSA (DSA) Private Key 4. Klik Tapasse
45

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
Folgjende moatte jo de iepenbiere kaai registrearje as in autorisearre kaai op 'e knooppunt. Yn it gefal fan ien primêre mei meardere knooppunten, uploade jo ien RSA- as DSA-iepenbiere kaai foar elke knooppunt.
1. Selektearje Systeem> Behear op 'e Knooppunt's Management Console 2. Blêdzje nei de bewarre RSA (of DSA) Iepenbiere kaai en upload it nei Node's SSH Authorized Key
3. Klik Tapasse De folgjende stap is in Fingerprint eltse nije Node-Primary ferbining. Dizze stap befêstiget dat jo in SSH-sesje meitsje foar wa't jo tinke dat jo binne. Op de earste ferbining ûntfangt de knooppunt in fingerprint fan 'e primêre dy't brûkt wurdt op alle takomstige ferbiningen: Om de fingerprint earst oan te melden yn 'e primêre tsjinner as root en in SSH-ferbining te meitsjen mei de node-host op ôfstân:
# ssh remhost Sadree't de SSH-ferbining is oprjochte, wurdt jo frege de kaai te akseptearjen. Antwurdzje ja en de fingerprint wurdt tafoege oan de list mei bekende hosts. As jo frege wurde om in wachtwurd op te jaan, wie d'r probleem by it opladen fan kaaien. 3.6.3 Konfigurearje de knooppunten en har seriële poarten Begjin mei it ynstellen fan 'e knooppunten en konfigurearjen fan knooppunten seriële poarten fan 'e primêre konsole-tsjinner:
1. Selektearje Serial & Network > Cascaded Ports op de Behearkonsole fan 'e Primary: 2. Om klusterstipe ta te foegjen, selektearje Add Node
Jo kinne gjin knopen tafoegje oant jo SSH-kaaien hawwe oanmakke. Om in knooppunt te definiearjen en te konfigurearjen:
46

User Manual
1. Fier de ôfstân IP-adres of DNS Namme foar de Node konsole tsjinner 2. Fier in koarte beskriuwing en in koarte Label foar de Node 3. Fier it folsleine oantal serial havens op de Node ienheid yn Oantal havens 4. Klik Tapasse. Dit stelt de SSH-tunnel tusken de primêre en de nije knooppunt
It menu Serial & Network > Cascaded Ports toant alle knooppunten en de poartenûmers dy't oan 'e Primêr binne tawiisd. As de primêre konsole-tsjinner 16 eigen havens hat, wurde de havens 1-16 foarôf tawiisd oan de primêre, sadat de earste knooppunt tafoege wurdt poartenûmer 17 en fierder tawiisd. Sadree't jo alle Node-konsole-tsjinners hawwe tafoege, binne de Node-seriële poarten en de ferbûne apparaten konfigureare en tagonklik fanút it Primary's Management Console-menu en tagonklik fia it Primary's IP-adres.
1. Selektearje de passende Serial & Network> Serial Port en bewurkje foar in konfigurearje de serial havens op de
Node.
2. Selektearje de passende Serial & Network > Users & Groups om nije brûkers mei tagongsrjochten ta te foegjen
nei de Node-seriële havens (of om besteande brûkers tagongsrjochten út te wreidzjen).
3. Selektearje de passende Serial & Network > Fertroude netwurken om netwurkadressen oan te jaan dat
kin tagong ta nominearre node serial havens. 4. Selektearje de passende Alerts & Logging> Alerts om Node haven Connection, State te konfigurearjen
Warskôgings foar Changeor Pattern Match. De konfiguraasjewizigingen dy't makke binne op 'e Primêr wurde ferspraat nei alle knopen as jo op Tapasse klikke.
3.6.4 Knooppunten beheare De primêre is yn kontrôle fan de node serial havens. Bygelyksample, as in brûker tagongsrjochten wizigje of elke ynstellings foar seriële poarte op 'e primêre bewurkje, de bywurke konfiguraasje files wurde ferstjoerd út nei eltse Node yn parallel.Elke Node makket feroarings oan harren lokale konfiguraasjes (en allinnich makket feroarings dy't relatearje oan syn bysûndere serial havens). Jo kinne de lokale Node Management Console brûke om de ynstellings op elke node seriële poarte te feroarjen (lykas feroarje de baud tariven). Dizze wizigingen wurde de folgjende kear oerskreaun as de Primary in konfiguraasje stjoert file update. Wylst de primêre is yn kontrôle fan alle node seriële poarte-relatearre funksjes, it is net primêr oer de node netwurk host ferbinings of oer de Node Console Server systeem. Knooppuntfunksjes lykas IP, SMTP & SNMP Ynstellings, Datum & Tiid, DHCP-tsjinner moatte wurde beheard troch direkt tagong te krijen ta elke knooppunt en dizze funksjes binne net oerskreaun as konfiguraasjewizigingen wurde propagearre fanút de Primêr. De ynstellings foar netwurkhost en IPMI fan 'e knooppunt moatte wurde konfigureare op elke knooppunt.
47

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
De Management Console fan 'e Primêr leveret in konsolidearre view fan 'e ynstellings foar har eigen en de hiele node's serial havens. De basisskoalle jout gjin folslein konsolidearre view. Bygelyksample, as jo wolle útfine wa't is oanmeld by cascaded seriële poarten fan de primêre, do silst sjen dat Status > Aktive brûkers allinnich werjaan dy brûkers aktyf op de primêre havens, dus jo moatte miskien skriuwe oanpaste skripts te foarsjen dit view.
3.7 Serial Port Redirection (PortShare)
Opengear's Port Share-software leveret de technology foar firtuele seriële poarte dy't jo Windows- en Linux-applikaasjes nedich binne om seriële poarten op ôfstân te iepenjen en de gegevens te lêzen fan seriële apparaten dy't ferbûn binne mei jo konsole-tsjinner.
PortShare wurdt fergees levere mei elke konsole-tsjinner en jo hawwe lisinsje om PortShare op ien of mear kompjûters te ynstallearjen foar tagong ta elk serial apparaat ferbûn oan in konsole-tsjinnerpoarte. PortShare foar Windows De portshare_setup.exe kin ynladen wurde fan de ftp-side. Sjoch de PortShare User Manual en Quick Start foar details oer ynstallaasje en operaasje. PortShare foar Linux. Opengear hat de portshare-seriële-kliïnt frijlitten as in iepen boarne-hulpprogramma foar Linux, AIX, HPUX, SCO, Solaris en UnixWare. Dit hulpprogramma kin wurde downloade fan 'e ftp-side. Dizze PortShare serial port redirector lit jo in serial apparaat brûke ferbûn mei de remote konsole tsjinner as soe it ferbûn wêze mei jo lokale seriële poarte. De portshare-serial-client makket in pseudo tty-poarte, ferbynt de seriële applikaasje mei de pseudo tty-poarte, ûntfangt gegevens fan 'e pseudo tty-poarte, stjoert it nei de konsole-tsjinner fia it netwurk en ûntfangt gegevens fan 'e konsole-tsjinner fia it netwurk en stjoert it oer nei de pseudo-tty haven. De .tar file kin ynladen wurde fan 'e ftp-side. Sjoch de PortShare User Manual en Quick Start foar details oer ynstallaasje en operaasje.
48

User Manual
3.8 Beheare apparaten
De side Beheare apparaten presintearret in konsolidearre view fan alle ferbinings nei in apparaat dat kin wurde tagong en kontrolearre fia de konsole tsjinner. Nei view de ferbiningen mei de apparaten, selektearje Serial & Network> Managed Devices
Dit skerm toant alle behearde apparaten mei har beskriuwing/notysjes en listen fan alle ynstelde ferbiningen:
· Serial Port # (as serial ferbûn) of · USB (as USB ferbûn) · IP-adres (as netwurk ferbûn) · Power PDU / outlet details (as fan tapassing) en alle UPS-ferbiningen Apparaten lykas tsjinners meie hawwe mear as ien macht ferbining (bgl. dûbele macht levere) en mear as ien netwurk ferbining (bgl. foar BMC / tsjinst prosessor). Alle brûkers kinne view dizze behearde apparaatferbiningen troch te selektearjen Beheare > Apparaten. Behearders kinne ek dizze behearde apparaten en har ferbiningen bewurkje en tafoegje / wiskje. Om in besteand apparaat te bewurkjen en in nije ferbining ta te foegjen: 1. Selektearje Bewurkje op de Serial & Network > Managed Devices en klik op Add Ferbining 2. Selektearje it ferbiningstype foar de nije ferbining (Serial, Network Host, UPS of RPC) en selektearje
de ferbining fan 'e presintearre list mei ynstelde net-allokearre hosts / havens / outlets
49

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
Om in nij netwurk ferbûn beheard apparaat ta te foegjen: 1. De behearder foeget in nij netwurk ferbûn beheard apparaat ta mei help fan Add Host yn it Serial & Network > Network Host menu. Dit makket automatysk in oerienkommende nij beheard apparaat. 2. By it tafoegjen fan in nij netwurk ferbûn RPC of UPS macht apparaat, jo opsetten in Netwurk Host, designate it as RPC of UPS. Gean nei RPC-ferbiningen of UPS-ferbiningen om de oanbelangjende ferbining te konfigurearjen. Korrespondearjend nij beheard apparaat mei deselde namme / beskriuwing as de RPC/UPS-host wurdt net makke oant dizze ferbiningstap is foltôge.
NOTE De outlet nammen op de nij oanmakke PDU binne Outlet 1 en Outlet 2. As jo ferbine in bepaald managed apparaat dat lûkt macht út de outlet, de outlet nimt de namme fan de powered managed apparaat.
Om in nij serial ferbûn beheard apparaat ta te foegjen: 1. Konfigurearje de seriële poarte mei it menu Serial & Network > Serial Port (Sjoch paragraaf 3.1 Konfigurearje Serial Port) 2. Selektearje Serial & Network > Managed Devices en klik op Add Device 3. Fier in apparaat yn Namme en beskriuwing foar it behearde apparaat

4. Klikje Ferbining taheakje en selektearje Serial en de poarte dy't ferbynt mei it behearde apparaat

5. Om in UPS / RPC macht ferbining of netwurk ferbining of in oare serial ferbining klik Add Connection

6. Klik Tapasse

NOAT

Om in serial ferbûn RPC UPS of EMD apparaat yn te stellen, konfigurearje de seriële poarte, oanwize it as in apparaat, en fier in namme en beskriuwing foar dat apparaat yn yn de Serial & Network> RPC Connections (of UPS Connections of Environmental). Dit makket in oerienkommende nij beheard apparaat mei deselde namme / beskriuwing as de RPC / UPS Host. De outlet nammen op dizze nij oanmakke PDU binne Outlet 1and Outlet 2. As jo ferbine in managed apparaat dat lûkt macht út de outlet, de outlet nimt de namme fan de powered managed Device.

3.9 IPsec VPN
De ACM7000, CM7100 en IM7200 omfetsje Openswan, in Linux-ymplemintaasje fan de IPsec (IP Security) protokollen, dy't kinne wurde brûkt om in Virtual Private Network (VPN) te konfigurearjen. De VPN lit meardere siden as behearders op ôfstân tagong krije ta de konsole-tsjinner en beheare apparaten feilich fia it ynternet.

User Manual
De behearder kin fersifere authentisearre VPN-ferbiningen fêststelle tusken konsole-tsjinners ferspraat op eksterne sites en in VPN-gateway (lykas Cisco-router dy't IOS IPsec draait) op har sintrale kantoarnetwurk:
· Brûkers op it sintrale kantoar kinne feilich tagong krije ta de konsole-tsjinners op ôfstân en oansletten seriële konsole-apparaten en masines op it Management LAN-subnet op 'e lokaasje op ôfstân as wiene se lokaal
· Al dizze konsole-tsjinners op ôfstân kinne wurde kontrolearre mei in CMS6000 op it sintrale netwurk · Mei seriële brêge kinne serial gegevens fan kontrôler op 'e sintrale kantoarmasine feilich wêze
ferbûn mei de serial kontrolearre apparaten op de ôfstân sites De road warrior behearder kin brûke in VPN IPsec software client om op ôfstân tagong ta de konsole tsjinner en elke masine op de Management LAN subnet op de ôfstân lokaasje
Konfiguraasje fan IPsec is frij kompleks, sadat Opengear in GUI-ynterface leveret foar basisopset lykas hjirûnder beskreaun. Om de VPN-gateway yn te skeakeljen:
1. Selektearje IPsec VPN yn it menu Serial & Networks
2. Klikje op Add en foltôgje it Add IPsec Tunnel skerm.
WestStOutlet-VPN
51

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
4. Selektearje de ferifikaasjemetoade te brûken, itsij RSA digitale hantekeningen of in dielde geheim (PSK) o As jo RSA selektearje, wurde jo frege hjir te klikken om kaaien te generearjen. Dit genereart in iepenbiere RSA-kaai foar de konsole-tsjinner (de lofter iepenbiere kaai). Sykje de kaai dy't moat wurde brûkt op 'e poarte op ôfstân, knipje en plakke it yn' e rjochter iepenbiere kaai
o As jo Dielde geheim selektearje, fier dan in Pre-dield geheim (PSK) yn. De PSK moat oerienkomme mei de PSK konfigureare oan it oare ein fan 'e tunnel
5. Selektearje yn Authentication Protocol it te brûken autentikaasjeprotokol. Of autentisearje as ûnderdiel fan ESP (Encapsulating Security Payload) fersifering of apart mei it AH (Authentication Header) protokol.
52

User Manual
6. Fier in lofts ID en rjochts ID. Dit is de identifier dy't de Lokale host/gateway en remote host/gateway brûke foar IPsec-ûnderhanneling en autentikaasje. Elke ID moat in @ befetsje en kin in folslein kwalifisearre domeinnamme befetsje (bgl. left@example.com)
7. Fier it iepenbiere IP- of DNS-adres fan dizze Opengear VPN-gateway yn as it Linkeradres. Jo kinne dit leech litte om de ynterface fan 'e standertrûte te brûken
8. Fier yn Rjochtsadres it iepenbiere IP- of DNS-adres yn fan it ein fan 'e tunnel op ôfstân (allinich as it ein fan' e ôfstân in statysk of DynDNS-adres hat). Oars lit dit leech
9. As de Opengear VPN-poarte tsjinnet as in VPN-poarte nei in lokaal subnet (bgl. de konsole-tsjinner hat in Management LAN konfigureare) ynfiere de privee subnet-details yn Left Subnet. Brûk de CIDR-notaasje (wêr't it IP-adresnûmer folge wurdt troch in slash en it oantal `ien' bits yn 'e binêre notaasje fan it netmasker). Bygelyksample, 192.168.0.0/24 jout in IP-adres oan dêr't de earste 24 bits wurde brûkt as netwurkadres. Dit is itselde as 255.255.255.0. As de VPN-tagong allinich is foar de konsole-tsjinner en nei de taheakke seriële konsole-apparaten, lit jo lofter subnet leech litte
10. As d'r in VPN-poarte is oan 'e ein fan' e ôfstân, fier dan de details fan 'e privee subnet yn Rjochts subnet. Brûk de CIDR-notaasje en lit leech as d'r mar in host op ôfstân is
11. Selektearje Initiate Tunnel as de tunnel ferbining moat wurde inisjearre út de Linker konsole tsjinner ein. Dit kin allinich inisjearre wurde fanút de VPN-gateway (links) as it ein op ôfstân is konfigureare mei in statysk (of DynDNS) IP-adres
12. Klik Tapasse te bewarjen feroarings
OPMERKING Konfiguraasjedetails ynsteld op 'e konsole-tsjinner (oantsjutten as de lofter of pleatslike host) moatte oerienkomme mei de opset dy't ynfierd is by it konfigurearjen fan de host/gateway op ôfstân (rjochts) of softwarekliïnt. Sjoch http://www.opengear.com/faq.html foar details oer it konfigurearjen fan dizze einen op ôfstân
3.10 OpenVPN
De ACM7000, CM7100, en IM7200 mei firmware V3.2 en letter omfetsje OpenVPN. OpenVPN brûkt de OpenSSL-bibleteek foar fersifering, autentikaasje en sertifikaasje, wat betsjut dat it SSL/TSL (Secure Socket Layer/Transport Layer Security) brûkt foar kaai-útwikseling en kin sawol gegevens- as kontrôlekanalen fersiferje. It brûken fan OpenVPN soarget foar it bouwen fan cross-platfoarm, punt-to-punt VPN's mei X.509 PKI (Public Key Infrastructure) as oanpaste konfiguraasje files. OpenVPN lit feilige tunneling fan gegevens fia in inkele TCP / UDP-poarte oer in net befeilige netwurk, sadat se feilige tagong krije ta meardere siden en feilige administraasje op ôfstân nei in konsole-tsjinner oer it ynternet. OpenVPN lit ek it brûken fan dynamyske IP-adressen troch sawol de tsjinner as de client, sadat klantmobiliteit leveret. Bygelyksample, in OpenVPN-tunnel kin fêststeld wurde tusken in roaming windows client en in Opengear konsole tsjinner binnen in data sintrum. Konfiguraasje fan OpenVPN kin kompleks wêze, sadat Opengear in GUI-ynterface leveret foar basisopset lykas hjirûnder beskreaun. Mear detaillearre ynformaasje is beskikber op http://www.openvpn.net
3.10.1 De OpenVPN ynskeakelje 1. Selektearje OpenVPN yn it menu Serial & Networks
53

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
2. Klikje op Add en foltôgje it Add OpenVPN Tunnel skerm 3. Fier elke beskriuwende namme yn dy't jo de OpenVPN Tunnel wolle identifisearje dy't jo tafoegje, bygelyksample
NorthStOutlet-VPN
4. Selektearje de te brûken autentikaasjemetoade. Om te ferifiearjen mei sertifikaten selektearje PKI (X.509-sertifikaten) of selektearje Oanpaste konfiguraasje om oanpaste konfiguraasje te uploaden files. Oanpaste konfiguraasjes moatte wurde opslein yn /etc/config.
OPMERKING As jo PKI selektearje, fêstigje: Separate sertifikaat (ek bekend as in iepenbiere kaai). Dit sertifikaat File is in *.crt file typ Private Key foar de tsjinner en elke kliïnt. Dizze privee kaai File is in *.key file type
Primary Certificate Authority (CA) sertifikaat en kaai dy't wurdt brûkt om elk fan 'e tsjinner te ûndertekenjen
en kliïnt sertifikaten. Dit Root CA-sertifikaat is in *.crt file type Foar in tsjinner, kinne jo ek nedich dh1024.pem (Diffie Hellman parameters). Sjoch http://openvpn.net/easyrsa.html foar in gids foar basis RSA kaai behear. Foar alternative autentikaasjemetoaden sjoch http://openvpn.net/index.php/documentation/howto.html#auth.
5. Selektearje de Device Driver te brûken, itsij Tun-IP of Tap-Ethernet. De TUN (netwurktunnel) en TAP (netwurkkraan)-bestjoerders binne firtuele netwurkbestjoerders dy't respektivelik IP-tunneling en Ethernet-tunneling stypje. TUN en TAP binne diel fan 'e Linux-kernel.
6. Selektearje of UDP of TCP as it protokol. UDP is it standert en foarkommende protokol foar OpenVPN. 7. Kontrolearje of útskeakelje de kompresje knop om kompresje yn of út te skeakeljen. 8. Yn Tunnel Mode, nominearje oft dit is de Client of Server ein fan 'e tunnel. By it rinnen as
in tsjinner, de konsole-tsjinner stipet meardere kliïnten dy't ferbine mei de VPN-tsjinner oer deselde poarte.
54

User Manual
3.10.2 Konfigurearje as Server of Client
1. Folje de Client Details of Server Details ôfhinklik fan de selektearre Tunnel Mode. o As Client is selektearre, is it Primary Server Address it adres fan de OpenVPN Server. o As Server is selektearre, fier dan it IP Pool Netwurkadres en it IP Pool Netwurkmasker foar de IP Pool yn. It netwurk definieare troch it IP Pool Netwurkadres / masker wurdt brûkt om de adressen te leverjen foar it ferbinen fan kliïnten.
2. Klik Tapasse te bewarjen feroarings
55

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
3. Om ynfiere autentikaasje sertifikaten en files, selektearje de Behear OpenVPN Files tab. Upload of blêdzje nei relevante autentikaasje sertifikaten en files.
4. Tapasse om wizigingen te bewarjen. Opslein files wurde werjûn yn read oan de rjochterkant fan de Upload knop.
5. Om OpenVPN te aktivearjen, bewurkje de OpenVPN-tunnel
56

User Manual
6. Kontrolearje de Ynskeakele knop. 7. Tapasse om wizigingen op te slaan OPMERKING Soargje derfoar dat de systeemtiid fan 'e konsole-tsjinner korrekt is as jo wurkje mei OpenVPN om foar te kommen
autentikaasje problemen.
8. Selektearje Statistyk op it Status menu om te kontrolearjen dat de tunnel operasjoneel is.
57

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
3.10.3 Windows OpenVPN Client en Server opset Dizze paragraaf sketst de ynstallaasje en konfiguraasje fan in Windows OpenVPN client of in Windows OpenVPN tsjinner en it ynstellen fan in VPN ferbining mei in konsole tsjinner. Konsole-tsjinners generearje automatysk Windows-kliïntkonfiguraasje fan 'e GUI foar Pre-dield geheim (Static Key File) konfiguraasjes.
As alternatyf kin OpenVPN GUI foar Windows-software (dy't it standert OpenVPN-pakket plus in Windows GUI omfettet) wurde downloade fan http://openvpn.net. Ienris ynstalleare op 'e Windows-masine, wurdt in OpenVPN-ikoan tafoege oan it Notifikaasjegebiet oan' e rjochterkant fan 'e taakbalke. Rjochtsklik op dit ikoan om VPN-ferbiningen te begjinnen en te stopjen, konfiguraasjes te bewurkjen, en view logs.
As de OpenVPN-software begjint te rinnen, sil it C: Programma FilesOpenVPNconfig map wurdt skansearre foar .opvn files. Dizze map wurdt opnij kontrolearre foar nije konfiguraasje files elke kear as it OpenVPN GUI-ikoantsje mei rjochtsklik wurdt. Sadree't OpenVPN is ynstalleare, meitsje in konfiguraasje file:
58

User Manual

Meitsje in tekstbewurker in xxxx.ovpn file en bewarje yn C: Programma FilesOpenVPNconfig. Bygelyksample, C: Programma FilesOpenVPNconfigclient.ovpn
In eksample fan in OpenVPN Windows-kliïntkonfiguraasje file wurdt hjirûnder werjûn:
# beskriuwing: IM4216_client client proto udp tiidwurd 3 dev tun remote 192.168.250.152 poarte 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\persist-key nobind-key persist.key tun comp-lzo
In eksample fan in OpenVPN Windows Server konfiguraasje file wurdt hjirûnder werjûn:
server 10.100.10.0 255.255.255.0 poarte 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeysnkeysnserver. kaai dh c:\openvpnkeys\dh.pem comp-lzo tiidwurd 1 syslog IM4216_OpenVPN_Server
De Windows client/server konfiguraasje file opsjes binne:

Opsjes #beskriuwing: Client server proto udp proto tcp mssfix tiidwurd
dev tun dev tap

Beskriuwing Dit is in opmerking dy't de konfiguraasje beskriuwt. Kommentaarrigels begjinne mei `#' en wurde negearre troch OpenVPN. Spesifisearje oft dit in client- of serverkonfiguraasje sil wêze file. Yn de tsjinner konfiguraasje file, definiearje de IP-adrespool en netmasker. Bygelyksample, tsjinner 10.100.10.0 255.255.255.0 Stel it protokol oan UDP of TCP. De client en server moatte deselde ynstellings brûke. Mssfix stelt de maksimale grutte fan it pakket yn. Dit is allinich nuttich foar UDP as problemen foarkomme.
Stel log yn file nivo fan verbosity. Logverbosity-nivo kin ynsteld wurde fan 0 (minimum) oant 15 (maksimaal). Bygelyksample, 0 = stil, útsein foar fatale flaters 3 = medium útfier, goed foar algemien gebrûk 5 = helpt by it debuggen fan ferbiningsproblemen 9 = verbose, poerbêst foar troubleshooting Selektearje `dev tun' om in routerde IP-tunnel te meitsjen of `dev tap' om te meitsjen in Ethernet-tunnel. De client en server moatte deselde ynstellings brûke.

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje

ôfstân Port Keepalive
http-proxy cafile namme >
certfile namme >
kaaifile namme >
dhfile namme> Nobind persist-key persist-tun cipher BF-CBC Blowfish (standert) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

De hostnamme/IP fan OpenVPN-tsjinner by it operearjen as client. Fier de DNS-hostnamme of it statyske IP-adres fan de tsjinner yn. De UDP/TCP-poarte fan de tsjinner. Keepalive brûkt ping om de OpenVPN-sesje yn libben te hâlden. 'Keepalive 10 120′ pings elke 10 sekonden en giet derfan út dat de peer op ôfstân del is as gjin ping is ûntfongen oer in 120 sekonden tiidperioade. As in proxy nedich is om tagong te krijen ta de tsjinner, fier dan de proxyserver DNS-namme of IP en poartenûmer yn. Fier it CA-sertifikaat yn file namme en lokaasje. Itselde CA sertifikaat file kin brûkt wurde troch de tsjinner en alle kliïnten. Opmerking: soargje derfoar dat elk `' yn it mappaad wurdt ferfongen troch ` \'. Bygelyksample, c:openvpnkeysca.crt wurdt c:\openvpnkeys\ca.crt Fier it sertifikaat fan de klant of tsjinner yn file namme en lokaasje. Elke klant moat in eigen sertifikaat en kaai hawwe files. Opmerking: soargje derfoar dat elk `' yn it mappaad wurdt ferfongen troch ` \'. Fier de file namme en lokaasje fan de kaai fan de kliïnt of tsjinner. Elke klant moat in eigen sertifikaat en kaai hawwe files. Opmerking: soargje derfoar dat elk `' yn it mappaad wurdt ferfongen troch ` \'. Dit wurdt allinich brûkt troch de tsjinner. Fier it paad nei de kaai yn mei de Diffie-Hellman parameters. `Nobind' wurdt brûkt as kliïnten net hoege te binen oan in lokaal adres of spesifyk lokaal poartenûmer. Dit is it gefal yn 'e measte kliïntkonfiguraasjes. Dizze opsje foarkomt it opnij laden fan kaaien oer opnij starte. Dizze opsje foarkomt it sluten en opnij iepenjen fan TUN / TAP-apparaten oer opnij starte. Selektearje in kryptografysk sifer. De client en server moatte deselde ynstellings brûke.
Aktivearje kompresje op de OpenVPN-keppeling. Dit moat ynskeakele wurde op sawol de client as de tsjinner. Standert binne logs te finen yn syslog of, as jo as tsjinst op Finster rinne, yn Program FilesOpenVPNlog map.

Om de OpenVPN-tunnel te begjinnen nei it oanmeitsjen fan de client/server-konfiguraasje files: 1. Rjochts klikke op de OpenVPN ikoan yn de notifikaasje gebiet 2. Selektearje de nij oanmakke client of tsjinner konfiguraasje. 3. Klik Ferbine

4. It log file wurdt werjûn as de ferbining is oprjochte
60

User Manual
5. Ienris fêststeld, lit it OpenVPN-ikoan in berjocht sjen dat in suksesfolle ferbining en tawiisd IP oanjout. Dizze ynformaasje, lykas de tiid dat de ferbining waard oprjochte, is beskikber troch te rôljen oer it OpenVPN-ikoan.
3.11 PPTP VPN
Konsole-tsjinners omfetsje in PPTP-tsjinner (Point-to-Point Tunneling Protocol). PPTP wurdt brûkt foar kommunikaasje oer in fysike of firtuele seriële keppeling. De PPP-einpunten definiearje in firtuele IP-adres foar harsels. Rûten nei netwurken kinne wurde definieare mei dizze IP-adressen as de poarte, wat resulteart yn ferkear dat oer de tunnel stjoerd wurdt. PPTP stelt in tunnel yn tusken de fysike PPP-einpunten en ferfiert gegevens feilich oer de tunnel.
De krêft fan PPTP is it gemak fan konfiguraasje en yntegraasje yn besteande Microsoft-ynfrastruktuer. It wurdt algemien brûkt foar it ferbinen fan inkele remote Windows-kliïnten. As jo jo draachbere kompjûter meinimme op in saaklike reis, kinne jo in lokaal nûmer skilje om te ferbinen mei jo provider fan ynternet tagong (ISP) en meitsje in twadde ferbining (tunnel) yn jo kantoar netwurk oer it ynternet en hawwe deselde tagong ta jo bedriuwsnetwurk as wiene jo direkt ferbûn fan jo kantoar. Telecommuters kinne ek in VPN-tunnel ynstelle oer har kabelmodem of DSL-keppelings nei har lokale ISP.
61

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
Om in PPTP-ferbining yn te stellen fan in Windows-kliïnt op ôfstân nei jo Opengear-apparaat en lokaal netwurk:
1. Aktivearje en konfigurearje de PPTP VPN-tsjinner op jo Opengear-apparaat 2. Stel VPN-brûkersakkounts op it Opengear-apparaat yn en aktivearje de passende
autentikaasje 3. Konfigurearje de VPN kliïnten op de ôfstân sites. De klant net nedich spesjale software as
de PPTP-tsjinner stipet de standert PPTP-kliïntsoftware opnommen mei Windows NT en letter 4. Ferbine mei de VPN op ôfstân 3.11.1 De PPTP VPN-tsjinner ynskeakelje 1. Selektearje PPTP VPN yn it menu Serial & Networks
2. Selektearje it karfakje ynskeakelje om de PPTP-tsjinner yn te skeakeljen 3. Selektearje de minimale ferifikaasje fereaske. Tagong wurdt wegere oan brûkers op ôfstân dy't besykje om
ferbine mei in autentikaasjeskema swakker dan it selektearre skema. De regelingen wurde hjirûnder beskreaun, fan sterkste oant swakste. · Fersifere ferifikaasje (MS-CHAP v2): De sterkste soarte fan ferifikaasje om te brûken; dit is
de oanrikkemandearre opsje · Weakly Encrypted Authentication (CHAP): Dit is it swakste type fersifere wachtwurd
autentikaasje te brûken. It wurdt net oanrikkemandearre dat kliïnten ferbining meitsje mei dit, om't it heul min wachtwurdbeskerming leveret. Tink derom ek dat kliïnten dy't ferbine mei CHAP net yn steat binne om ferkear te fersiferjen
62

User Manual
· Unfersifere ferifikaasje (PAP): Dit is gewoane tekst wachtwurdferifikaasje. By it brûken fan dit soarte fan autentikaasje wurdt it kliïntwachtwurd ûnfersifere oerstjoerd.
· Gjin 4. Selektearje it fereaske fersiferingsnivo. Tagong wurdt wegere oan brûkers op ôfstân dy't besykje te ferbinen
dy't dit fersiferingsnivo net brûke. 5. Fier yn Lokaal adres IP-adres yn om ta te jaan oan it ein fan 'e tsjinner fan' e VPN-ferbining.
ferbinings (bgl. 192.168.1.10-20). Dit moat in fergees IP-adres wêze as berik fan adressen fan it netwurk dat brûkers op ôfstân wurde tawiisd wylst se ferbûn binne mei it Opengear-apparaat 7. Fier de winske wearde yn fan 'e Maximum Transmission Unit (MTU) foar de PPTP-ynterfaces yn it MTU-fjild (standert foar 1400). 8. Aktivearje Verbose Logging om te helpen by it debuggen fan ferbiningsproblemen 9. Klik Ynstellings tapasse 10 Add a PPTP user 11. Selektearje Users & Groups on the Serial & Networks menu en folje de fjilden yn lykas behannele yn paragraaf 3.11.2. 1. Soargje derfoar dat de pptpd-groep kontrolearre is, om tagong te krijen ta de PPTP VPN-tsjinner. Opmerking - brûkers yn dizze groep hawwe har wachtwurden opslein yn dúdlike tekst. 3.2. Hâld notysje fan de brûkersnamme en wachtwurd foar as jo moatte ferbine mei de VPN ferbining 2. Klik Tapasse
63

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
3.11.3 Set in remote PPTP client Soargje derfoar dat de remote VPN client PC hat ynternet ferbining. Om in VPN-ferbining oer it ynternet te meitsjen, moatte jo twa netwurkferbiningen ynstelle. Ien ferbining is foar de ISP, en de oare ferbining is foar de VPN-tunnel nei it Opengear-apparaat. OPMERKING Dizze proseduere stelt in PPTP-kliïnt yn it Windows Professional bestjoeringssysteem yn. De stappen
kin wat ferskille ôfhinklik fan jo netwurk tagong of as jo in alternative ferzje fan Windows brûke. Mear detaillearre ynstruksjes binne te krijen by de Microsoft web site. 1. Oanmelde by jo Windows client mei administrator privileezjes 2. Fan it Netwurk & Sharing Center op it Control Panel selektearje Netwurkferbiningen en meitsje in nije ferbining
64

User Manual
3. Selektearje Myn ynternetferbining (VPN) brûke en fier it IP-adres fan it Opengear-apparaat yn Om VPN-kliïnten op ôfstân te ferbinen mei it lokale netwurk, moatte jo de brûkersnamme en wachtwurd witte foar it PPTP-akkount dat jo tafoege hawwe, en ek de ynternet-IP adres fan it Opengear apparaat. As jo ISP jo gjin statysk IP-adres hat tawiisd, beskôgje dan it brûken fan in dynamyske DNS-tsjinst. Oars moatte jo de PPTP-kliïntkonfiguraasje feroarje elke kear as jo ynternet IP-adres feroaret.
65

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje

3.12 Call Home
Alle konsole-tsjinners omfetsje de Call Home-funksje dy't de opset fan in feilige SSH-tunnel inisjearret fan 'e konsole-tsjinner nei in sintralisearre Opengear Lighthouse. De konsole-tsjinner registrearret as kandidaat op 'e Lighthouse. Ienris akseptearre dêr wurdt it in Managed Console Server.
Lighthouse kontrolearret de Managed Console Server en behearders kinne tagong krije ta de remote Managed Console Server fia de Lighthouse. Dizze tagong is beskikber sels as de konsole-tsjinner op ôfstân efter in firewall fan tredden is of in privee net-routerbere IP-adressen hat.

NOAT

Lighthouse ûnderhâldt iepenbiere kaai autentike SSH-ferbiningen mei elk fan har Managed Console Servers. Dizze ferbiningen wurde brûkt foar it kontrolearjen, rjochtsjen en tagong krije ta de Behearde Konsole-tsjinners en de behearde apparaten dy't ferbûn binne mei de Behearde Konsole-tsjinner.

Om lokale konsole-tsjinners te behearjen, of konsole-tsjinners dy't te berikken binne fanút de Lighthouse, wurde de SSH-ferbiningen inisjearre troch Lighthouse.

Om Remote Console Servers te behearjen, of konsole-tsjinners dy't firewalled, net routable, of oars net te berikken binne fan 'e Lighthouse, wurde de SSH-ferbiningen inisjearre troch de Managed ConsoleServer fia in earste Call Home-ferbining.

Dit soarget foar feilige, authentisearre kommunikaasje en makket it mooglik om ienheden fan Managed Console Servers lokaal te fersprieden op in LAN, of op ôfstân om 'e wrâld.

3.12.1 Call Home-kandidaat ynstelle Om de konsole-tsjinner yn te stellen as in Call Home-behearskandidaat op 'e Lighthouse:
1. Selektearje Call Home op it Serial & Network menu

2. As jo noch gjin SSH-kaaipear foar dizze konsole-tsjinner generearre of upload hawwe, doch dat dan foardat jo trochgean
3. Klik Add

4. Fier it IP-adres of DNS-namme yn (bygelyks it dynamyske DNS-adres) fan 'e Lighthouse.
5. Fier it Wachtwurd yn dat jo op 'e CMS ynsteld hawwe as it Call Home Wachtwurd.
66

User Manual
6. Klik Tapasse Dizze stappen begjinne de Call Home-ferbining fan 'e konsole-tsjinner nei de Lighthouse. Dit makket in SSHlistening-poarte op 'e Lighthouse en stelt de konsole-tsjinner op as kandidaat.
Sadree't de kandidaat is akseptearre op de Lighthouse in SSH tunnel nei de konsole tsjinner wurdt omlaat werom oer de Call Home ferbining. De konsole-tsjinner is in Managed Console Server wurden en de Lighthouse kin ferbine mei en kontrolearje it fia dizze tunnel. 3.12.2 Akseptearje Call Home kandidaat as Managed Console Server op Lighthouse Dizze seksje jout in oerview op it konfigurearjen fan de Lighthouse om konsole Lighthouse-tsjinners te kontrolearjen dy't ferbûn binne fia Call Home. Foar mear details sjoch de Lighthouse User Guide:
1. Fier in nij Call Home Wachtwurd op de Lighthouse. Dit wachtwurd wurdt brûkt om te akseptearjen
Rop thúsferbiningen fan kandidaatkonsole-tsjinners
2. De fjoertoer kin kontakt opnommen wurde mei de konsole-tsjinner, it moat in statyske IP hawwe
adres of, mei DHCP, wurde konfigureare om in dynamyske DNS-tsjinst te brûken
It skerm ynstelle > Beheare konsole-tsjinners op 'e Lighthouse toant de status fan
lokale andremote Managed Console Servers en kandidaten.
De seksje Managed Console Servers toant de konsole-tsjinners wurde kontrolearre troch de
Lighthouse.De seksje Detected Console Servers befettet:
o De pleatslike konsole-tsjinners útklapmenu dy't alle konsole-tsjinners listet dy't op 'e
itselde subnet as de Lighthouse, en wurde net kontrolearre
67

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
o It útklapmenu Servers op ôfstân dy't alle konsole-tsjinners listet dy't in Call Home-ferbining hawwe makke en net wurde kontrolearre (dus kandidaten). Jo kinne op Ferfarskje klikke om te aktualisearjen
Om in kandidaat foar konsole-tsjinner ta te foegjen oan 'e list Beheare konsole-tsjinner, selektearje it út 'e dellûklist fan tsjinners op ôfstân en klikje op Taheakje. Fier IP-adres en SSH-poarte yn (as dizze fjilden net automatysk ynfold binne) en fier in beskriuwing en unike namme yn foar de Managed Console-tsjinner dy't jo tafoegje
Fier it Root Wachtwurd op ôfstân yn (dws Systeemwachtwurd dat is ynsteld op dizze Managed Console-tsjinner). Dit wachtwurd wurdt brûkt troch de Lighthouse om automatysk oanmakke SSH-kaaien te propagearjen en wurdt net opslein. Klik Tapasse. De fjoertoer stelt feilige SSH-ferbiningen op nei en fan 'e Managed Console Server en helje syn Managed Devices, brûkersaccountdetails en ynstelde warskôgings op 3.12.3 Thús oproppe nei in generike sintrale SSH-tsjinner As jo ferbine mei in generike SSH-tsjinner (net Lighthouse) jo kinne Avansearre ynstellings konfigurearje: · Fier de SSH-tsjinnerpoarte en SSH-brûker yn. · Fier de details yn foar de SSH-poarte foarút(en) om te meitsjen
Troch Listening Server te selektearjen, kinne jo in poarte op ôfstân meitsje fan 'e tsjinner nei dizze ienheid, of in lokale poarte trochstjoere fan dizze ienheid nei de tsjinner:
68

User Manual
· Spesifisearje in harkjende poarte om fan troch te stjoeren, lit dit fjild leech litte om in net brûkte poarte te tawizen · Fier de Doeltsjinner en Doelpoarte yn dy't de ûntfanger wêze fan trochstjoerde ferbining
3.13 IP Passthrough
IP Passthrough wurdt brûkt om in modemferbining (bygelyks it ynterne sellulêre modem) te meitsjen as in gewoane Ethernet-ferbining nei in streamôfwerts router fan tredden, wêrtroch de streamôfwerts router de modemferbining kin brûke as in primêre of reservekopy WAN-ynterface.
It Opengear-apparaat leveret it modem IP-adres en DNS-details oan it streamôfwerts apparaat oer DHCP en jout netwurkferkear nei en fan 'e modem en router.
Wylst IP Passthrough in Opengear feroaret yn in modem-nei-Ethernet heale brêge, kinne guon laach 4-tsjinsten (HTTP/HTTPS/SSH) wurde beëinige by de Opengear (Service Intercepts). Tsjinsten dy't rinne op 'e Opengear kinne ek útgeande sellulêre ferbiningen inisjearje ûnôfhinklik fan' e downstream router.
Hjirmei kin de Opengear trochgean wurde brûkt foar bûten-bandbehear en warskôging en ek wurde beheard fia Lighthouse, wylst yn IP Passthrough-modus.
3.13.1 Downstream Router Setup Foar in gebrûk failover ferbining op de downstream router (aka Failover to Cellular of F2C), it moat hawwe twa of mear WAN ynterface.
NOTE Failover yn IP Passthrough kontekst wurdt útfierd troch de streamôfwerts router, en de ynboude out-ofband failover logika op de Opengear is net beskikber wylst yn IP Passthrough modus.
Ferbine in Ethernet WAN-ynterface op 'e streamôfwerts router nei de Opengear's Network Interface of Management LAN-poarte mei in Ethernet-kabel.
Konfigurearje dizze ynterface op 'e downstream router om syn netwurkynstellingen te ûntfangen fia DHCP. As failover is nedich, konfigurearje de streamôfwerts router foar failover tusken syn primêre ynterface en de Ethernet haven ferbûn mei de Opengear.
3.13.2 IP Passthrough Pre-konfiguraasje Foarôfgeande stappen om IP Passthrough yn te skeakeljen binne:
1. Konfigurearje it netwurk ynterface en wêr fan tapassing Management LAN Schnittstellen mei statyske netwurk ynstellings. · Klik op Serial & Network > IP. · Foar netwurkynterface en wêr fan tapassing Management LAN, selektearje Statysk foar de konfiguraasjemetoade en fier de netwurkynstellingen yn (sjoch de seksje mei de titel Netwurkkonfiguraasje foar detaillearre ynstruksjes). · Foar de ynterface ferbûn mei de streamôfwerts router, kinne jo elk tawijd privee netwurk kieze, dit netwurk bestiet allinich tusken de Opengear en streamôfwerts router en is normaal net tagonklik. · Foar de oare ynterface, konfigurearje it lykas jo normaal op it lokale netwurk soene. · Foar beide ynterfaces, lit Gateway leech.
2. Konfigurearje de modem yn Altyd On Out-of-band modus.
69

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
· Foar in sellulêre ferbining klikje op Systeem > Dial: Ynterne sellulêre modem. · Selektearje Dial-Out ynskeakelje en fier de dragerdetails yn lykas APN (sjoch seksje Cellular Modem
Ferbining foar detaillearre ynstruksjes). 3.13.3 IP Passthrough konfiguraasje Om IP Passthrough te konfigurearjen:
· Klik Serial & Network > IP Passthrough en kontrolearje ynskeakelje. · Selektearje it Opengear-modem om te brûken foar streamop-ferbining. · Fier opsjoneel it MAC-adres yn fan 'e ferbûne ynterface fan' e downstream-router. As MAC-adres is
net oantsjutte, sil de Opengear trochjaan nei it earste streamôfwerts apparaat dat in DHCP-adres freget. · Selektearje de Opengear Ethernet-ynterface om te brûken foar ferbining mei de streamôfwerts router.
· Klikje op Tapasse. 3.13.4 Tsjinstûndersiken Dizze kinne de Opengear trochgean mei it leverjen fan tsjinsten, bglample, foar out-of-band behear as yn IP Passthrough modus. Ferbinings nei it modemadres op 'e oantsjutte ûnderskeppingspoarte (s) wurde behannele troch de Opengear ynstee fan trochjûn nei de streamôfwerts router.
· Foar de fereaske tsjinst fan HTTP, HTTPS of SSH, check Ynskeakelje.
wolle trochgean om de streamôfwerts router tagonklik te bliuwen fia syn reguliere poarte. 3.13.5 IP Passthrough Status Ferfarskje de side nei view de Status seksje. It toant it eksterne IP-adres fan it modem dat trochjûn wurdt, it ynterne MAC-adres fan 'e downstream-router (allinich befolke as de downstream-router de DHCP-lease akseptearret), en de algemiene rinnende status fan' e IP Passthrough-tsjinst. Jo kinne warskôge wurde foar de failover-status fan 'e streamôfwerts router troch it konfigurearjen fan in Routed Data Usage Check ûnder Alerts & Logging> Auto-Response. 3.13.6 Caveats Guon streamôfwerts routers meie wêze ynkompatibel mei de gateway rûte. Dit kin barre as IP Passthrough in 3G sellulêr netwurk oerbrânt wêr't it gatewayadres in punt-tot-punt bestimmingsadres is en gjin subnetynformaasje beskikber is. De Opengear stjoert in DHCP-netmaske fan 255.255.255.255. Apparaten tolke dit normaal as ien hostrûte op 'e ynterface, mar guon âldere streamôfwerts apparaten kinne problemen hawwe.
70

User Manual
Underskeppen foar lokale tsjinsten sille net wurkje as de Opengear in oare standertrûte brûkt as it modem. Ek sille se net wurkje, útsein as de tsjinst is ynskeakele en tagong ta de tsjinst is ynskeakele (sjoch Systeem> Tsjinsten, ûnder it ljepblêd Tsjinst tagong fine Dialout / Cellular).
Utgeande ferbiningen dy't ûntstien binne fan Opengear nei tsjinsten op ôfstân wurde stipe (bygelyks ferstjoeren fan SMTP-e-postwarskôgings, SNMP-traps, krije NTP-tiid, IPSec-tunnels). D'r is in lyts risiko fan ferbiningsflater as sawol de Opengear as it streamôfwerts apparaat besykje tagelyk tagong te krijen ta deselde UDP- as TCP-poarte op deselde host op ôfstân as se willekeurich itselde oarspronklike lokale poartenûmer hawwe keazen.
3.14 Konfiguraasje oer DHCP (ZTP)
Opengear-apparaten kinne wurde foarsjoen tidens har earste boot fan in DHCPv4- of DHCPv6-tsjinner mei config-over-DHCP. Foarsjenning op net-fertroude netwurken kin wurde fasilitearre troch it leverjen fan kaaien op in USB-flashdrive. De ZTP-funksjonaliteit kin ek brûkt wurde om in firmware-upgrade út te fieren by earste ferbining mei it netwurk, of om yn te registrearjen yn in Lighthouse 5-eksimplaar.
Tarieding De typyske stappen foar konfiguraasje oer in fertroud netwurk binne:
1. Konfigurearje in itselde-model Opengear apparaat. 2. Bewarje syn konfiguraasje as in Opengear backup (.opg) file. 3. Selektearje Systeem > Konfiguraasje Reservekopy > Reservekopy op ôfstân. 4. Klik Reservekopy bewarje. In reservekopy konfiguraasje file - model-name_iso-format-date_config.opg - wurdt ynladen fan it Opengear-apparaat nei it lokale systeem. Jo kinne de konfiguraasje bewarje as in xml file: 1. Selektearje Systeem> Konfiguraasje Reservekopy> XML konfiguraasje. In bewurkber fjild mei dêryn de
konfiguraasje file yn XML-formaat ferskynt. 2. Klik yn it fjild om it aktyf te meitsjen. 3. As jo rinne eltse blêder op Windows of Linux, rjochts-klikke en kies Selektearje Alles út de
kontekstuele menu of druk op Control-A. Rjochts-klikke en kies Kopiearje út it kontekstmenu of druk op Control-C. 4. As jo in browser brûke op macOS, kies Bewurkje > Alles selektearje of druk op Kommando-A. Kies Bewurkje > Kopiearje of druk op Command-C. 5. Meitsje yn jo foarkar tekstbewurker in nij leech dokumint, plak de kopiearre gegevens yn it lege dokumint en bewarje de file. Whatever file-namme dy't jo kieze, it moat de .xml filenamme efterheaksel. 6. Kopiearje de bewarre .opg of .xml file nei in publyk-facing triemtafel op in file tsjinner tsjinnet op syn minst ien fan de folgjende protokollen: HTTPS, HTTP, FTP of TFTP. (Allinich HTTPS kin brûkt wurde as de ferbining tusken de file tsjinner en in te konfigurearjen Opengear-apparaat reizget oer in net-fertroud netwurk.). 7. Konfigurearje jo DHCP-tsjinner om in `vendor-spesifike' opsje op te nimmen foar Opengear-apparaten. (Dit sil dien wurde op in DHCP-tsjinner-spesifike manier.) De ferkeaperspesifike opsje moat ynsteld wurde op in tekenrige mei de URL fan de publisearre .opg of .xml file yn 'e stap hjirboppe. De opsjestring mei net mear wêze as 250 tekens en moat einigje op .opg of .xml.
71

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
8. Ferbine in nij Opengear apparaat, itsij factory-reset of Config-Erased, oan it netwurk en tapasse macht. It kin maksimaal 5 minuten duorje foar it apparaat sels opnij opstart.
Example ISC DHCP (dhcpd) tsjinner konfiguraasje
It folgjende is in eksample DHCP-tsjinnerkonfiguraasjefragmint foar it tsjinjen fan in .opg-konfiguraasjeôfbylding fia de ISC DHCP-tsjinner, dhcpd:
opsje romte opengear koade breedte 1 lingte breedte 1; opsje opengear.config-url koade 1 = tekst; klasse "opengear-config-over-dhcp-test" {
match if option vendor-class-identifier ~~ “^Opengear/”; ferkeaper-opsje-romte iepengear; opsje opengear.config-url "https://eksample.com/opg/${class}.opg"; }
Dizze opset kin wizige wurde om de konfiguraasjeôfbylding te upgrade mei de opengear.image-url opsje, en it jaan fan in URI oan it firmwareôfbylding.
Opset as it LAN is net fertroud As de ferbining tusken de file tsjinner en in te konfigurearjen Opengear-apparaat omfettet in net-fertroude netwurk, in oanpak mei twa hannen kin it probleem ferminderje.
OPMERKING Dizze oanpak yntrodusearret twa fysike stappen wêrby't fertrouwen lestich, as net ûnmooglik, folslein fêst te stellen kin. Earst, de bewarketting fan 'e skepping fan' e gegevensdragende USB-flashdrive oant syn ynset. Twadder, de hannen dy't de USB-flash-drive ferbine mei it Opengear-apparaat.
· Generearje in X.509-sertifikaat foar it Opengear-apparaat.
· Ferbine it sertifikaat en syn privee kaai yn ien file neamd client.pem.
· Kopiearje client.pem op in USB-flashdrive.
· Stel in HTTPS-tsjinner op sadat tagong ta de .opg of .xml file is beheind ta kliïnten dy't it hjirboppe generearre X.509-kliïntsertifikaat kinne leverje.
· Set in kopy fan it CA-sertifikaat dat it sertifikaat fan de HTTP-tsjinner ûndertekene hat - ca-bundle.crt - op it USB-flashstasjon mei client.pem.
· Foegje de USB-flash-drive yn it Opengear-apparaat foardat jo macht as netwurk oanmeitsje.
· Trochgean mei de proseduere fan `Copy the saved .opg or .xml file nei in publyk-facing triemtafel op in file server' hjirboppe mei it HTTPS-protokol tusken de client en de server.
Tariede in USB drive en meitsje it X.509 sertifikaat en privee kaai
· Generearje it CA-sertifikaat sadat de kliïnt- en tsjinner Certificate Signing Requests (CSR's) kinne wurde ûndertekene.
# cp /etc/ssl/openssl.cnf . # mkdir -p eksampleCA/newcerts # echo 00 > exampleCA/searje # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Dizze proseduere genereart in sertifikaat neamd ExampleCA, mar elke tastiene sertifikaatnamme kin brûkt wurde. Ek dizze proseduere brûkt openssl ca. As jo organisaasje in bedriuwsbreed, feilich CA-generaasjeproses hat, moat dat ynstee brûkt wurde.
72

User Manual
· Generearje it tsjinnersertifikaat.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-kaaifile ca.key -policy policy_anything -batch -notext
OPMERKING De hostnamme of IP-adres moat deselde tekenrige wêze dy't brûkt wurdt yn 'e tsjinst URL. Yn 'e eksample boppe, de hostnamme is demo.example.com.
· Generearje it kliïntsertifikaat.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-kaaifile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatearje in USB-flashdrive as ien FAT32-folume.
· Ferpleats de client.pem en ca-bundle.crt files op de rootmap fan it flash drive.
ZTP-problemen debuggen Brûk de ZTP-logfunksje om ZTP-problemen te debuggen. Wylst it apparaat besiket ZTP-operaasjes út te fieren, wurdt logynformaasje skreaun nei /tmp/ztp.log op it apparaat.
It folgjende is in eksample fan it log file fan in suksesfolle ZTP run.
# cat /tmp/ztp.log Wed Dec 13 22:22:17 UTC 2017 [5127 notice] odhcp6c.eth0: konfiguraasje weromsette fia DHCP Wed Dec 13 22:22:17 UTC 2017 [5127 notice] odhcp6c:0c waiting foar netwurk om te regeljen Wo Dec 10 13:22:22 UTC 27 [2017 notice] odhcp5127c.eth6: NTP oerslein: gjin tsjinner Wo Dec 0 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.eth0: vendorspec. http://[fd1:07:2218:1350::44]/tftpboot/config.sh' Wed Dec 1 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) Wed Des 2 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) Wo Dec 3 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec. ) Wed Dec 0 4:13:22 UTC 22 [27 info] odhcp2017c.eth5127: vendorspec.6 (n/a) Wed Dec 0 5:13:22 UTC 22 [28 info] odhcp2017c.c.eth5127: (vendor /a) Wo Dec 6 0:6:13 UTC 22 [22 info] odhcp28c.eth2017: gjin firmware te downloaden (vendorspec.5127) backup-url: besykje http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: twingt wan config modus nei DHCP backup-url: hostnamme ynstelle nei acm7004-0013c601ce97 backup-url: load slagge Wed Dec 13 22:22:36 UTC 2017 [5127 notice] odhcp6c.eth0: suksesfolle config load Wed Dec 13 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: gjin konfiguraasje foar lighthouse. 3/4/5) Wo Dec 6 13:22:22 UTC 36 [2017 notice] odhcp5127c.eth6: foarsjenning foltôge, net opnij opstarten
Flaters wurde opnommen yn dit logboek.
3.15 Ynskriuwing yn Lighthouse
Brûk Ynskriuwing yn Lighthouse om Opengear-apparaten yn te registrearjen yn in Lighthouse-eksimplaar, it bieden fan sintrale tagong ta konsole-poarten, en it tastean fan sintrale konfiguraasje fan de Opengear-apparaten.
Sjoch de Lighthouse User Guide foar ynstruksjes foar it ynskriuwen fan Opengear-apparaten yn Lighthouse.
73

Haadstik 3: Serial Port, Apparaat en brûker konfiguraasje
3.16 DHCPv4 Relay ynskeakelje
In DHCP-relaytsjinst stjoert de DHCP-pakketten troch tusken kliïnten en DHCP-tsjinners op ôfstân. DHCP-relay-tsjinst kin ynskeakele wurde op in Opengear-konsole-tsjinner, sadat har harket nei DHCP-kliïnten op oanwiisde legere ynterfaces, har berjochten wraps en trochstjoert nei DHCP-tsjinners mei normale routing, of direkt útstjoerd op oanwiisde boppeste ynterfaces. De DHCP-relay-agint ûntfangt dus DHCP-berjochten en genereart in nij DHCP-berjocht om út te stjoeren op in oare ynterface. Yn 'e stappen hjirûnder kinne de konsole-tsjinners ferbine mei circuit-ids, Ethernet of selmodems mei DHCPv4 Relay-tsjinst.
DHCPv4 Relay + DHCP Opsje 82 (circuit-id) Ynfrastruktuer - Lokale DHCP-tsjinner, ACM7004-5 foar estafette, alle oare apparaten foar kliïnten. Elk apparaat mei LAN-rol kin brûkt wurde as estafette. Yn dizze eksample, de 192.168.79.242 is it adres foar de trochstjoerde ynterface fan de kliïnt (lykas definiearre yn 'e DHCP-tsjinnerkonfiguraasje file boppe) en de 192.168.79.244 is it boppeste interface-adres fan it estafettefak, en enp112s0 is de streamôfwerts ynterface fan 'e DHCP-tsjinner.
1 Ynfrastruktuer - DHCPv4 Relay + DHCP Opsje 82 (circuit-id)
Stappen op de DHCP-tsjinner 1. Set de lokale DHCP v4-tsjinner yn, yn it bysûnder, it moat in "host"-yngong befetsje lykas hjirûnder foar de DHCP-kliïnt: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; host-identifikaasje opsje agent.circuit-id "relay1"; fêste adres 192.168.79.242; } Opmerking: de line "hardware ethernet" wurdt kommentearre ôf, sadat de DHCP-tsjinner gebrûk makket fan de "circuit-id" ynstelling om in adres ta te jaan foar relevante kliïnt. 2. Re-start DHCP Server foar in opnij laden syn feroare konfiguraasje file. pkill -HUP dhcpd
74

User Manual
3. Foegje in hostrûte manuell ta oan 'e client "relayed" ynterface (de ynterface efter it DHCP-estafette, net oare ynterfaces dy't de kliïnt ek hawwe kin:
sudo ip route add 192.168.79.242/32 fia 192.168.79.244 dev enp112s0 Dit sil helpe om it asymmetryske routingprobleem te foarkommen as de kliïnt en DHCP-tsjinner inoar tagong wolle fia de trochstjoerde ynterface fan 'e kliïnt, as de kliïnt deselde oare ynterfaces hat yn' e subnet fan 'e DHCP-adrespool.
Opmerking: Dizze stap is in must-have om de dhcp-tsjinner en kliïnt te stypjen dy't elkoar tagong kinne.
Stappen op de Relay doaze - ACM7004-5
1. Set WAN / eth0 yn beide statyske of dhcp modus (net unconfigured modus). As yn statyske modus, moat it in IP-adres hawwe binnen de adrespool fan 'e DHCP-tsjinner.
2. Tapasse dizze konfiguraasje fia CLI (wêr't 192.168.79.1 DHCP-tsjinneradres is)
config -s config.services.dhcprelay.enabled=op config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. De legere ynterface fan it DHCP-relay moat in statysk IP-adres hawwe binnen de adrespool fan de DHCP-tsjinner. Yn dizze eksample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=statyske config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Wachtsje in koart skoft foar de kliïnt om in DHCP-lease te krijen fia it estafette.
Stappen op de kliïnt (CM7116-2-dac yn dizze eksample of in oare OG CS)
1. Plug yn 'e kliïnt syn LAN / eth1 oan it estafette syn LAN / eth1 2. Konfigurearje de kliïnt syn LAN te krijen IP adres fia DHCP as per gewoane 3. Ien kear de clie

Dokuminten / Resources

opengear ACM7000 Remote Site Gateway [pdf] Brûkershânlieding
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Referinsjes

User Manual

opengear ACM7000 Remote Site Gateway

Produkt ynformaasje

Produkt Usage Ynstruksjes

FAQs

Dizze hânlieding

Systeem konfiguraasje

Serial Port, Host, Apparaat en brûkerskonfiguraasje

Dokuminten / Resources

Referinsjes

Lit in reaksje efter

Antwurd annulearje