opengear ACM7000 Remote Site Gateway-gebruikershandleiding

Sluit de consoleserver niet aan of ontkoppel deze niet tijdens onweer. Gebruik altijd een piekonderdrukker of UPS om de apparatuur tegen transiënten te beschermen.

FCC-waarschuwing:

Dit apparaat voldoet aan Deel 15 van de FCC-regels. Het gebruik van dit apparaat is onderworpen aan de volgende voorwaarden: (1) Dit apparaat mag geen schadelijke interferentie veroorzaken, en (2) dit apparaat moet elke interferentie accepteren die een ongewenste werking kan veroorzaken.

Veelgestelde vragen

V: Kan ik de ACM7000 Remote Site Gateway gebruiken tijdens onweer?
- A: Nee, om schade te voorkomen wordt geadviseerd om de consoleserver niet aan te sluiten of los te koppelen tijdens onweer.

Vraag: Aan welke versie van de FCC-regels voldoet het apparaat?
- A: Het apparaat voldoet aan Deel 15 van de FCC-regels.

View Fullscreen

Gebruiksaanwijzing
ACM7000 Gateway voor externe locaties ACM7000-L Veerkrachtgateway IM7200 Infrastructuurbeheer CM7100-consoleservers
Versie 5.0 – 2023-12

Veiligheid
Volg de onderstaande veiligheidsmaatregelen bij het installeren en bedienen van de consoleserver: · Verwijder de metalen afdekkingen niet. Binnenin bevinden zich geen onderdelen die door de operator onderhouden kunnen worden. Als u de klep opent of verwijdert, kunt u worden blootgesteld aan gevaarlijke voltage, wat brand of een elektrische schok kan veroorzaken. Laat alle service over aan gekwalificeerd personeel van Opengear. · Om elektrische schokken te voorkomen, moet de beschermende aardgeleider van het netsnoer met aarde worden verbonden. · Trek altijd aan de stekker en niet aan het snoer als u het netsnoer uit het stopcontact haalt.
Sluit de consoleserver niet aan of ontkoppel deze niet tijdens onweer. Gebruik ook een overspanningsbeveiliging of UPS om de apparatuur tegen transiënten te beschermen.
Waarschuwingsverklaring van de FCC
Dit apparaat voldoet aan Deel 15 van de FCC-regels. De bediening van dit apparaat is onderworpen aan het volgende
voorwaarden: (1) Dit apparaat mag geen schadelijke interferentie veroorzaken, en (2) dit apparaat moet elke interferentie accepteren die een ongewenste werking kan veroorzaken.
Er moet gebruik worden gemaakt van de juiste back-upsystemen en noodzakelijke veiligheidsvoorzieningen om te beschermen tegen letsel, overlijden of materiële schade als gevolg van systeemstoringen. Dergelijke bescherming is de verantwoordelijkheid van de gebruiker. Dit consoleserverapparaat is niet goedgekeurd voor gebruik als levensondersteunend of medisch systeem. Eventuele wijzigingen of aanpassingen aan dit consoleserverapparaat zonder de uitdrukkelijke goedkeuring of toestemming van Opengear maken Opengear ongeldig van elke aansprakelijkheid of verantwoordelijkheid voor letsel of verlies veroorzaakt door een storing. Deze apparatuur is bedoeld voor gebruik binnenshuis en alle communicatiebedradingen zijn beperkt tot de binnenkant van het gebouw.
2

Gebruiksaanwijzing
Copyright
©Opengear Inc. 2023. Alle rechten voorbehouden. De informatie in dit document kan zonder voorafgaande kennisgeving worden gewijzigd en vertegenwoordigt geen verplichting van Opengear. Opengear levert dit document “zoals het is”, zonder enige vorm van garantie, expliciet of impliciet, inclusief maar niet beperkt tot de impliciete garanties van geschiktheid of verkoopbaarheid voor een bepaald doel. Opengear kan te allen tijde verbeteringen en/of wijzigingen aanbrengen in deze handleiding of in de producten en/of programma('s) die in deze handleiding worden beschreven. Dit product kan technische onnauwkeurigheden of typografische fouten bevatten. Er worden periodiek wijzigingen aangebracht in de informatie hierin; deze wijzigingen kunnen worden opgenomen in nieuwe edities van de publicatie.\

Hoofdstuk 1

Deze handleiding

DEZE HANDLEIDING

In deze gebruikershandleiding wordt het installeren, bedienen en beheren van Opengear-consoleservers uitgelegd. In deze handleiding wordt ervan uitgegaan dat u bekend bent met internet en IP-netwerken, HTTP, FTP, basisbeveiligingsbewerkingen en het interne netwerk van uw organisatie.
1.1 Soorten gebruikers
De consoleserver ondersteunt twee klassen gebruikers:
· Beheerders die onbeperkte configuratie- en beheerrechten hebben via de console
server en aangesloten apparaten, evenals alle services en poorten om alle serieel aangesloten apparaten en op het netwerk aangesloten apparaten (hosts) te besturen. Beheerders worden ingesteld als leden van de beheerdersgebruikersgroep. Een beheerder kan toegang krijgen tot de consoleserver en deze beheren met behulp van het configuratiehulpprogramma, de Linux-opdrachtregel of de browsergebaseerde Management Console.
· Gebruikers die zijn ingesteld door een beheerder met beperkingen op het gebied van toegang en controle.
Gebruikers hebben een beperkt aantal view van de Management Console en heeft alleen toegang tot geautoriseerde geconfigureerde apparaten en review poort logs. Deze gebruikers zijn ingesteld als leden van een of meer van de vooraf geconfigureerde gebruikersgroepen, zoals PPTPD, dialin, FTP, pmshell, gebruikers of gebruikersgroepen die de beheerder mogelijk heeft aangemaakt. Ze zijn alleen bevoegd om specifieke controles uit te voeren op specifieke aangesloten apparaten. Gebruikers kunnen, indien geautoriseerd, toegang krijgen tot seriële of op het netwerk aangesloten apparaten en deze beheren met behulp van specifieke services (bijv. Telnet, HHTPS, RDP, IPMI, Serieel over LAN, Power Control). Externe gebruikers zijn gebruikers die zich niet in hetzelfde LAN-segment bevinden als de consoleserver. Een externe gebruiker kan onderweg verbinding maken met beheerde apparaten via het openbare internet, een beheerder in een ander kantoor kan verbinding maken met de consoleserver via de zakelijke VPN, of in dezelfde kamer of hetzelfde kantoor maar via een afzonderlijk VLAN met de console zijn verbonden server.
1.2 Beheerconsole
Met de Opengear Management Console kunt u de functies van uw Opengear consoleserver configureren en bewaken. De Management Console draait in een browser en biedt een view van de consoleserver en alle aangesloten apparaten. Beheerders kunnen de Management Console gebruiken om de consoleserver, gebruikers, poorten, hosts, voedingsapparaten en bijbehorende logboeken en waarschuwingen te configureren en beheren. Gebruikers zonder beheerdersrechten kunnen de Management Console gebruiken met beperkte menutoegang om bepaalde apparaten te bedienen, bijvview hun logs, en open ze met behulp van de ingebouwde Web terminal.
De consoleserver draait op een ingebed Linux-besturingssysteem en kan via de opdrachtregel worden geconfigureerd. U kunt opdrachtregeltoegang krijgen via mobiel/inbellen, rechtstreeks verbinding maken met de seriële console/modempoort van de consoleserver, of door SSH of Telnet te gebruiken om via het LAN verbinding te maken met de consoleserver (of verbinding te maken met PPTP, IPsec of OpenVPN) .
6

Gebruiksaanwijzing
Voor opdrachtregelinterface (CLI)-opdrachten en geavanceerde instructies downloadt u de Opengear CLI en Scripting Reference.pdf van https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Meer informatie
Raadpleeg voor meer informatie: · Opengear-producten Web Site: Zie https://opengear.com/products. Voor de meest actuele informatie over wat er bij uw consoleserver is inbegrepen, gaat u naar het gedeelte Wat is inbegrepen voor uw specifieke product. · Snelstartgids: Zie https://opengear.com/support/documentation/ voor de snelstartgids voor uw apparaat. · Opengear Knowledge Base: Bezoek https://opengear.zendesk.com voor technische how-to-artikelen, technische tips, veelgestelde vragen en belangrijke meldingen. · Opengear CLI en scriptreferentie: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Hoofdstuk 2:

Systeemconfiguratie

SYSTEEM CONFIGURATIE

Dit hoofdstuk biedt stapsgewijze instructies voor de initiële configuratie van uw consoleserver en het verbinden ervan met het management- of operationele LAN. De stappen zijn:
Activeer de beheerconsole. Wijzig het beheerderswachtwoord. Stel de belangrijkste LAN-poort van de IP-adresconsoleserver in. Selecteer de services die moeten worden ingeschakeld en toegangsrechten. In dit hoofdstuk worden ook de communicatiesoftwaretools besproken die een beheerder kan gebruiken om toegang te krijgen tot de consoleserver, en de configuratie van de extra LAN-poorten.
2.1 Verbinding met beheerconsole
Uw consoleserver wordt geconfigureerd met een standaard IP-adres 192.168.0.1 en subnetmasker 255.255.255.0 voor NET1 (WAN). Voor de eerste configuratie raden wij u aan een computer rechtstreeks op de console aan te sluiten. Als u ervoor kiest om uw LAN te verbinden voordat u de eerste installatiestappen voltooit, zorg er dan voor dat:
· Er zijn geen andere apparaten op het LAN met het adres 192.168.0.1. · De consoleserver en de computer bevinden zich op hetzelfde LAN-segment, zonder tussenliggende router
apparaten.
2.1.1 Verbonden computer instellen Om de consoleserver met een browser te configureren, moet de verbonden computer een IP-adres hebben in hetzelfde bereik als de consoleserver (bijvoorbeeldampbestand, 192.168.0.100):
· Voer ifconfig uit om het IP-adres van uw Linux- of Unix-computer te configureren. · Voor Windows-pc's:
1. Klik op Start > Instellingen > Configuratiescherm en dubbelklik op Netwerkverbindingen. 2. Klik met de rechtermuisknop op LAN-verbinding en selecteer Eigenschappen. 3. Selecteer Internet Protocol (TCP/IP) en klik op Eigenschappen. 4. Selecteer Gebruik het volgende IP-adres en voer de volgende gegevens in:
o IP-adres: 192.168.0.100 o Subnetmasker: 255.255.255.0 5. Als u uw bestaande IP-instellingen voor deze netwerkverbinding wilt behouden, klikt u op Geavanceerd en voegt u bovenstaande toe als secundaire IP-verbinding.
2.1.2 Browserverbinding
Open een browser op de aangesloten pc/werkstation en voer https://192.168.0.1 in.
Login met:
Gebruikersnaam> rootwachtwoord> standaard
8

Gebruiksaanwijzing
De eerste keer dat u inlogt, moet u het rootwachtwoord wijzigen. Klik op Verzenden.
Om de wijziging te voltooien, voert u het nieuwe wachtwoord opnieuw in. Klik op Verzenden. Het welkomstscherm verschijnt.
Als uw systeem over een mobiel modem beschikt, krijgt u de stappen te zien om de functies van de mobiele router te configureren: · Configureer de mobiele modemverbinding (Systeem > Kiespagina. Zie hoofdstuk 4) · Sta doorsturen naar het mobiele bestemmingsnetwerk toe (Systeem > Firewallpagina. Zie hoofdstuk 4) · Schakel IP-maskering in voor mobiele verbindingen (pagina Systeem > Firewall. Zie hoofdstuk 4)
Nadat u elk van de bovenstaande stappen heeft voltooid, kunt u terugkeren naar de configuratielijst door op het Opengear-logo in de linkerbovenhoek van het scherm te klikken. OPMERKING Als u geen verbinding kunt maken met de Management Console op 192.168.0.1 of als de standaard
Gebruikersnaam/wachtwoord worden niet geaccepteerd. Reset uw consoleserver (zie hoofdstuk 10).
9

Hoofdstuk 2: Systeemconfiguratie
2.2 Beheerder instellen
2.2.1 Het standaard root-systeemwachtwoord wijzigen U bent verplicht het root-wachtwoord te wijzigen wanneer u voor het eerst inlogt op het apparaat. U kunt dit wachtwoord op elk moment wijzigen.
1. Klik op Serieel en netwerk > Gebruikers en groepen of klik in het welkomstscherm op Standaard beheerderswachtwoord wijzigen.
2. Blader naar beneden, zoek de rootgebruikersinvoer onder Gebruikers en klik op Bewerken. 3. Voer het nieuwe wachtwoord in de velden Wachtwoord en Bevestigen in.
OPMERKING Als u Wachtwoord opslaan aanvinkt bij het wissen van de firmware, wordt het wachtwoord opgeslagen, zodat het niet wordt gewist wanneer de firmware opnieuw wordt ingesteld. Als dit wachtwoord verloren gaat, moet de firmware van het apparaat worden hersteld.
4. Klik op Toepassen. Log in met het nieuwe wachtwoord 2.2.2 Stel een nieuwe beheerder in Maak een nieuwe gebruiker met beheerdersrechten en log in als deze gebruiker voor beheerfuncties, in plaats van root te gebruiken.
10

Gebruiksaanwijzing
1. Klik op Serieel en netwerk > Gebruikers en groepen. Scroll naar de onderkant van de pagina en klik op de knop Gebruiker toevoegen.
2. Voer een gebruikersnaam in. 3. Vink in het gedeelte Groepen het beheerdersvakje aan. 4. Voer een wachtwoord in de velden Wachtwoord en Bevestigen in.
5. U kunt ook SSH-geautoriseerde sleutels toevoegen en ervoor kiezen om wachtwoordauthenticatie voor deze gebruiker uit te schakelen.
6. Op deze pagina kunnen aanvullende opties voor deze gebruiker worden ingesteld, waaronder inbelopties, toegankelijke hosts, toegankelijke poorten en toegankelijke RPC-uitgangen.
7. Klik op de knop Toepassen onder aan het scherm om deze nieuwe gebruiker aan te maken.
11

Hoofdstuk 2: Systeemconfiguratie
2.2.3 Systeemnaam, systeembeschrijving en MOTD toevoegen. 1. Selecteer Systeem > Beheer. 2. Voer een Systeemnaam en Systeembeschrijving in voor de consoleserver om deze een unieke ID te geven en gemakkelijker te identificeren. Systeemnaam kan 1 tot 64 alfanumerieke tekens bevatten en de speciale tekens onderstrepingstekens (_), minteken (-) en punt (.). Systeembeschrijving kan maximaal 254 tekens bevatten.
3. De MOTD Banner kan worden gebruikt om een bericht van de dag aan gebruikers weer te geven. Het verschijnt linksboven in het scherm, onder het Opengear-logo.
4. Klik op Toepassen.
12

Hoofdstuk 2: Systeemconfiguratie
5. Selecteer Systeem > Beheer. 6. De MOTD Banner kan worden gebruikt om een bericht van de dag aan gebruikers weer te geven. Het verschijnt op de
linksboven in het scherm, onder het Opengear-logo. 7. Klik op Toepassen.
2.3 Netwerkconfiguratie
Voer een IP-adres in voor de belangrijkste Ethernet-poort (LAN/Netwerk/Netwerk1) op de consoleserver of schakel de DHCP-client in om automatisch een IP-adres te verkrijgen van een DHCP-server. De DHCP-client van de consoleserver is standaard ingeschakeld en accepteert automatisch elk netwerk-IP-adres dat is toegewezen door een DHCP-server in uw netwerk. In deze beginstatus reageert de consoleserver op zowel het standaard statische adres 192.168.0.1 als het DHCP-adres.
1. Klik op Systeem > IP en klik op het tabblad Netwerkinterface. 2. Kies DHCP of Statisch als configuratiemethode.
Als u Statisch kiest, voert u de details van het IP-adres, het subnetmasker, de gateway en de DNS-server in. Deze selectie schakelt de DHCP-client uit.
12

Gebruiksaanwijzing
3. De LAN-poort van de consoleserver detecteert automatisch de Ethernet-verbindingssnelheid. Gebruik de vervolgkeuzelijst Media om het Ethernet te vergrendelen op 10 Mb/s of 100 Mb/s en op Full Duplex of Half Duplex.
Als u pakketverlies of slechte netwerkprestaties ondervindt met de Auto-instelling, wijzigt u de Ethernet Media-instellingen op de consoleserver en het apparaat waarmee deze is verbonden. In de meeste gevallen wijzigt u beide in 100baseTx-FD (100 megabits, full duplex).
4. Als u DHCP selecteert, zoekt de consoleserver naar configuratiegegevens van een DHCP-server. Deze selectie schakelt elk statisch adres uit. Het MAC-adres van de consoleserver kunt u vinden op een label op de basisplaat.
5. U kunt een secundair adres of een door komma's gescheiden lijst met adressen in CIDR-notatie invoeren, bijvoorbeeld 192.168.1.1/24 als IP-alias.
6. Klik op Toepassen. 7. Sluit de browser opnieuw aan op de computer die is verbonden met de consoleserver door te typen
http://your new IP address.
Als u het IP-adres van de consoleserver wijzigt, moet u uw computer opnieuw configureren zodat deze een IP-adres heeft in hetzelfde netwerkbereik als het nieuwe adres van de consoleserver. Bij Ethernet-interfaces kunt u de MTU instellen. Dit is een geavanceerde optie die u kunt gebruiken als uw implementatiescenario niet werkt met de standaard MTU van 1500 bytes. Om de MTU in te stellen, klikt u op Systeem > IP en klikt u op het tabblad Netwerkinterface. Scroll naar beneden naar het MTU-veld en voer de gewenste waarde in. Geldige waarden zijn van 1280 tot 1500 voor 100 megabit-interfaces en 1280 tot 9100 voor gigabit-interfaces. Als bridging of bonding is geconfigureerd, wordt de MTU die op de netwerkinterfacepagina is ingesteld, ingesteld op de interfaces die deel uitmaken van de bridge of de bond . OPMERKING In sommige gevallen is de door de gebruiker opgegeven MTU mogelijk niet van kracht. Sommige NIC-stuurprogramma's ronden te grote MTU's af op de maximaal toegestane waarde, terwijl andere een foutcode retourneren. U kunt ook een CLI-opdracht gebruiken om MTU Size: configure te beheren
# config -s config.interfaces.wan.mtu=1380 controle
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider geen config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode staatloze configuratie .interfaces.wan.media Automatische config.interfaces.wan.mode statische config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Hoofdstuk 2: Systeemconfiguratie
2.3.1 IPv6-configuratie De Ethernet-interfaces van de consoleserver ondersteunen standaard IPv4. Ze kunnen worden geconfigureerd voor IPv6-gebruik:
1. Klik op Systeem > IP. Klik op het tabblad Algemene instellingen en vink IPv6 inschakelen aan. Klik indien gewenst op het selectievakje IPv6 voor mobiel uitschakelen.
2. Configureer de IPv6-parameters op elke interfacepagina. IPv6 kan worden geconfigureerd voor de automatische modus, waarbij gebruik wordt gemaakt van SLAAC of DHCPv6 om adressen, routes en DNS te configureren, of voor de statische modus, waarbij de adresinformatie handmatig kan worden ingevoerd.
2.3.2 Dynamische DNS (DDNS)-configuratie Met Dynamische DNS (DDNS) kan een consoleserver waarvan het IP-adres dynamisch wordt toegewezen, worden gelokaliseerd met behulp van een vaste host- of domeinnaam. Maak een account aan bij de ondersteunde DDNS-serviceprovider van uw keuze. Wanneer u uw DDNS-account instelt, kiest u een gebruikersnaam, wachtwoord en hostnaam die u als DNS-naam gaat gebruiken. Bij DDNS-serviceproviders kunt u een hostnaam kiezen URL en stel een initieel IP-adres in dat overeenkomt met die hostnaam URL.
14

Gebruiksaanwijzing
Om DDNS in te schakelen en te configureren op een van de Ethernet- of mobiele netwerkverbindingen op de consoleserver. 1. Klik op Systeem > IP en scroll naar beneden in de sectie Dynamische DNS. Selecteer uw DDNS-serviceprovider
uit de vervolgkeuzelijst Dynamische DNS. U kunt de DDNS-informatie ook instellen op het tabblad Mobiel modem onder Systeem > Bellen.
2. Voer bij DDNS-hostnaam de volledig gekwalificeerde DNS-hostnaam voor uw consoleserver in, bijvoorbeeld uwhostnaam.dyndns.org.
3. Voer de DDNS-gebruikersnaam en het DDNS-wachtwoord in voor het account van de DDNS-serviceprovider. 4. Geef het maximale interval tussen updates op in dagen. Er wordt een DDNS-update verzonden, zelfs als de
adres is niet veranderd. 5. Geef het minimale interval tussen controles op gewijzigde adressen op in seconden. Updates zullen
worden verzonden als het adres is gewijzigd. 6. Geef het Maximale aantal pogingen per update op. Dit is het aantal keren dat een update moet worden geprobeerd
voordat je het opgeeft. Standaard is dit 3. 7. Klik op Toepassen.
15

Hoofdstuk 2: Systeemconfiguratie
2.3.3 EAPoL-modus voor WAN, LAN en OOBFO
(OOBFO is alleen van toepassing op de IM7216-2-24E-DAC)
Overview van EAPoL IEEE 802.1X, of PNAC (Port-based Network Access Control) maakt gebruik van de fysieke toegangskenmerken van IEEE 802 LAN-infrastructuren om een manier te bieden voor het authenticeren en autoriseren van apparaten die zijn aangesloten op een LAN-poort met point-to- kenmerken van puntverbindingen, en het voorkomen van toegang tot die poort in gevallen waarin de authenticatie en autorisatie mislukken. Een poort is in deze context een enkel verbindingspunt met de LAN-infrastructuur.
Wanneer een nieuw draadloos of bekabeld knooppunt (WN) toegang vraagt tot een LAN-bron, vraagt het toegangspunt (AP) om de identiteit van de WN. Er is geen ander verkeer dan EAP toegestaan voordat de WN is geverifieerd (de “poort” is gesloten of “niet-geverifieerd”). Het draadloze knooppunt dat om authenticatie vraagt, wordt vaak Supplicant genoemd. De Supplicant is verantwoordelijk voor het reageren op Authenticator-gegevens die zijn inloggegevens zullen vaststellen. Hetzelfde geldt voor het toegangspunt; de Authenticator is niet het toegangspunt. In plaats daarvan bevat het toegangspunt een Authenticator. De Authenticator hoeft zich niet in het toegangspunt te bevinden; het kan een externe component zijn. De volgende authenticatiemethoden zijn geïmplementeerd:
· EAP-MD5 aanvrager o De EAP MD5-Challenge-methode maakt gebruik van een gewone gebruikersnaam/wachtwoord
· EAP-PEAP-MD5 o EAP PEAP (Protected EAP) MD5-authenticatiemethode maakt gebruik van gebruikersreferenties en CA-certificaat
· EAP-TLS o De EAP TLS-authenticatiemethode (Transport Layer Security) vereist een CA-certificaat, een clientcertificaat en een privésleutel.
Het EAP-protocol, dat wordt gebruikt voor authenticatie, werd oorspronkelijk gebruikt voor inbel-PPP. De identiteit was de gebruikersnaam en er werd PAP- of CHAP-authenticatie gebruikt om het wachtwoord van de gebruiker te controleren. Omdat de identiteit duidelijk (niet gecodeerd) wordt verzonden, kan een kwaadwillende sniffer de identiteit van de gebruiker achterhalen. Er wordt daarom gebruik gemaakt van ‘identiteit verbergen’; de echte identiteit wordt niet verzonden voordat de gecodeerde TLS-tunnel actief is.
16

Gebruiksaanwijzing
Nadat de identiteit is verzonden, begint het authenticatieproces. Het protocol dat wordt gebruikt tussen de aanvrager en de authenticator is EAP (of EAPoL). De Authenticator vat de EAP-berichten opnieuw in in RADIUS-formaat en geeft ze door aan de Authenticatieserver. Tijdens de authenticatie stuurt de Authenticator pakketten door tussen de aanvrager en de authenticatieserver. Wanneer het authenticatieproces is voltooid, verzendt de Authenticatieserver een succesbericht (of een mislukking als de authenticatie is mislukt). De Authenticator opent vervolgens de “poort” voor de Supplicant. De authenticatie-instellingen zijn toegankelijk via de pagina EAPoL Supplicant-instellingen. De status van de huidige EAPoL wordt gedetailleerd weergegeven op de pagina Statusstatistieken op het EAPoL-tabblad:
Een abstractie van EAPoL over netwerk-ROLE's wordt weergegeven in het gedeelte "Verbindingsbeheer" op de Dashboard-interface.
17

Hoofdstuk 2: Systeemconfiguratie
Hieronder getoond is een exampbestand van succesvolle authenticatie:
IEEE 802.1x (EAPOL)-ondersteuning op de switchpoorten van IM7216-2-24E-DAC en ACM7004-5: Om lussen te voorkomen, mogen gebruikers niet meer dan één switchpoort aansluiten op dezelfde switch op het hoogste niveau.
18

Gebruiksaanwijzing
2.4 Servicetoegang en brute force-bescherming
De beheerder heeft toegang tot de consoleserver en de aangesloten seriële poorten en beheerde apparaten met behulp van een reeks toegangsprotocollen/diensten. Voor elke toegang
· De service moet eerst worden geconfigureerd en ingeschakeld om op de consoleserver te worden uitgevoerd. · Toegang via de firewall moet voor elke netwerkverbinding zijn ingeschakeld. Een service inschakelen en configureren: 1. Klik op Systeem > Services en klik op het tabblad Service-instellingen.

2. Basisservices inschakelen en configureren:

HTTP

Standaard is de HTTP-service actief en kan deze niet volledig worden uitgeschakeld. Standaard is HTTP-toegang op alle interfaces uitgeschakeld. We raden aan dat deze toegang uitgeschakeld blijft als de consoleserver op afstand via internet wordt benaderd.
Met Alternatieve HTTP kunt u een alternatieve HTTP-poort configureren om op te luisteren. De HTTP-service blijft luisteren op TCP-poort 80 voor CMS- en connectorcommunicatie, maar is niet toegankelijk via de firewall.

HTTPS

Standaard is de HTTPS-service actief en ingeschakeld op alle netwerkinterfaces. Het wordt aanbevolen alleen HTTPS-toegang te gebruiken als de consoleserver via een openbaar netwerk moet worden beheerd. Dit zorgt ervoor dat beheerders veilige browsertoegang hebben tot alle menu's op de consoleserver. Het biedt ook correct geconfigureerde gebruikers veilige browsertoegang tot geselecteerde beheermenu's.
De HTTPS-service kan worden uitgeschakeld of opnieuw ingeschakeld door HTTPS aan te vinken Web Beheer en een alternatieve poort opgegeven (standaardpoort is 443).

Telnet

Standaard is de Telnet-service actief, maar uitgeschakeld op alle netwerkinterfaces.
Telnet kan worden gebruikt om een beheerder toegang te geven tot de opdrachtregelshell van het systeem. Deze service kan nuttig zijn voor lokale beheerders en gebruikerstoegang tot geselecteerde seriële consoles. We raden u aan deze service uit te schakelen als de consoleserver op afstand wordt beheerd.
Met het selectievakje Telnet-opdrachtshell inschakelen wordt de Telnet-service in- of uitgeschakeld. Een alternatieve Telnet-poort om op te luisteren kan worden opgegeven in Alternatieve Telnet-poort (standaardpoort is 23).

Hoofdstuk 2: Systeemconfiguratie

SSH

Deze service biedt veilige SSH-toegang tot de consoleserver en aangesloten apparaten

en standaard is de SSH-service actief en ingeschakeld op alle interfaces. Het is

aanbevolen dat u SSH kiest als het protocol waarmee een beheerder verbinding maakt

de consoleserver via internet of een ander openbaar netwerk. Dit zal voorzien

geverifieerde communicatie tussen het SSH-clientprogramma op de afstandsbediening

computer en de SSH-server in de consoleserver. Voor meer informatie over SSH

configuratie Zie Hoofdstuk 8 – Authenticatie.

Met het selectievakje SSH-opdrachtshell inschakelen wordt deze service in- of uitgeschakeld. Een alternatieve SSH-poort om op te luisteren kan worden opgegeven in de SSH-opdrachtshellpoort (standaardpoort is 22).

3. Schakel andere services in en configureer deze:

TFTP/FTP Als een USB-flashkaart of intern flashgeheugen wordt gedetecteerd op een consoleserver, schakelt u het selectievakje TFTP (FTP) inschakelen in om deze service in te schakelen en de standaard tftp- en ftp-server op het USB-flashstation in te stellen. Deze servers worden gebruikt om configuratie op te slaan files, toegangs- en transactielogboeken bijhouden enz. Files die via tftp en ftp worden overgedragen, worden opgeslagen onder /var/mnt/storage.usb/tftpboot/ (of /var/mnt/storage.nvlog/tftpboot/ op apparaten uit de ACM7000-serie). Als u de TFTP (FTP)-service inschakelen uitschakelt, wordt de TFTP (FTP)-service uitgeschakeld.

DNS Relay Controleren Enable DNS Server/Relay schakelt de DNS-relayfunctie in, zodat clients kunnen worden geconfigureerd met het IP-adres van de consoleserver voor hun DNS-serverinstelling, en de consoleserver de DNS-query's doorstuurt naar de echte DNS-server.

Web Terminalcontrole inschakelen Web Terminal staat toe web browsertoegang tot de systeemopdrachtregelshell via Beheren > Terminal.

4. Geef alternatieve poortnummers op voor Raw TCP, directe Telnet/SSH en niet-geverifieerde Telnet/SSH-services. De consoleserver gebruikt specifieke bereiken voor de TCP/IP-poorten voor de verschillende toegangen
services die gebruikers kunnen gebruiken om toegang te krijgen tot apparaten die zijn aangesloten op seriële poorten (zoals behandeld in Hoofdstuk 3 Seriële poorten configureren). De beheerder kan alternatieve bereiken voor deze services instellen en deze secundaire poorten worden gebruikt naast de standaardwaarden.

Het standaard TCP/IP-basispoortadres voor Telnet-toegang is 2000, en het bereik voor Telnet is IP-adres: Poort (2000 + seriële poort #), dwz 2001 2048. Als een beheerder 8000 zou instellen als secundair basisstation voor Telnet, Poort #2 op de consoleserver kan via Telnet worden benaderd via IP
Adres:2002 en op IP-adres:8002. De standaardbasis voor SSH is 3000; voor Raw TCP is 4000; en voor RFC2217 is dit 5000

5. Andere services kunnen vanuit dit menu worden ingeschakeld en geconfigureerd door Klik hier om te configureren te selecteren:

Nagios Toegang tot de Nagios NRPE-bewakingsdaemons

MOER

Toegang tot de NUT UPS-bewakingsdaemon

SNMP Schakelt snmp in de consoleserver in. SNMP is standaard uitgeschakeld

NTP

6. Klik op Toepassen. Er verschijnt een bevestigingsbericht: Bericht Wijzigingen in configuratie geslaagd

De instellingen voor Services Access kunnen worden ingesteld om toegang toe te staan of te blokkeren. Dit specificeert welke ingeschakelde services beheerders via elke netwerkinterface kunnen gebruiken om verbinding te maken met de consoleserver en via de consoleserver met aangesloten seriële en op het netwerk aangesloten apparaten.

Gebruiksaanwijzing
1. Selecteer het tabblad Servicetoegang op de pagina Systeem > Services.
2. Hier worden de ingeschakelde services voor de netwerkinterfaces van de consoleserver weergegeven. Afhankelijk van het specifieke consoleservermodel kunnen de weergegeven interfaces het volgende omvatten: · Netwerkinterface (voor de belangrijkste Ethernet-verbinding) · Beheer LAN / OOB Failover (tweede Ethernet-verbindingen) · Uitbellen/mobiel (V90- en 3G-modem) · Inbellen (intern of extern V90-modem) · VPN (IPsec- of open VPN-verbinding via elke netwerkinterface)
3. Vink voor elk netwerk aan/uit welke servicetoegang moet worden in-/uitgeschakeld. De Reageren op ICMP echo's (dwz ping) servicetoegangsopties die op dit moment kunnen worden geconfigureerdtage. Hierdoor kan de consoleserver reageren op binnenkomende ICMP-echoverzoeken. Ping is standaard ingeschakeld. Voor meer veiligheid moet u deze service uitschakelen wanneer u de initiële configuratie voltooit. U kunt toestaan dat seriële poortapparaten worden benaderd via genomineerde netwerkinterfaces met behulp van Raw TCP, directe Telnet/SSH, niet-geverifieerde Telnet/SSH-services, enz.
4. Klik op Toepassen Web Beheerinstellingen Het selectievakje HSTS inschakelen schakelt strikte HTTP-strikte transportbeveiliging in. HSTS-modus betekent dat een StrictTransport-Security-header via HTTPS-transport moet worden verzonden. Een conform web browser onthoudt deze header, en wanneer hem wordt gevraagd contact op te nemen met dezelfde host via HTTP (gewoon), zal hij automatisch overschakelen naar
19

Hoofdstuk 2: Systeemconfiguratie
HTTPS voordat HTTP wordt geprobeerd, zolang de browser één keer de beveiligde site heeft bezocht en de STS-header heeft gezien.
Brute Force-bescherming Brute Force-bescherming (Micro Fail2ban) blokkeert tijdelijk bron-IP's die kwaadaardige signalen vertonen, zoals te veel wachtwoordfouten. Dit kan helpen wanneer de netwerkdiensten van het apparaat worden blootgesteld aan een niet-vertrouwd netwerk, zoals het openbare WAN, en scriptaanvallen of softwarewormen proberen de inloggegevens van gebruikers te raden (brute force) en ongeautoriseerde toegang te verkrijgen.

Brute Force Protection is mogelijk ingeschakeld voor de genoemde services. Als de bescherming eenmaal is ingeschakeld, zorgen drie of meer mislukte verbindingspogingen binnen 3 seconden vanaf een specifiek bron-IP-adres er standaard voor dat deze geen verbinding meer kan maken voor een configureerbare tijdsperiode. Pogingslimiet en ban-time-out kunnen worden aangepast. Actieve verboden worden ook vermeld en kunnen worden vernieuwd door de pagina opnieuw te laden.

OPMERKING

Wanneer u op een niet-vertrouwd netwerk draait, kunt u overwegen verschillende strategieën te gebruiken om externe toegang te vergrendelen. Dit omvat SSH-authenticatie met openbare sleutels, VPN en firewallregels
Alleen externe toegang vanaf vertrouwde bronnetwerken op de toelatingslijst. Zie de Opengear Knowledge Base voor meer informatie.

2.5 Communicatiesoftware
U hebt toegangsprotocollen geconfigureerd die de beheerderclient moet gebruiken bij het verbinden met de consoleserver. Gebruikersclients gebruiken deze protocollen ook bij toegang tot serieel aangesloten consoleserverapparaten en netwerkaangesloten hosts. U hebt communicatiesoftwaretools nodig die zijn geïnstalleerd op de computer van de beheerder en de gebruikersclient. Om verbinding te maken kunt u gebruik maken van tools als PuTTY en SSHTerm.

Gebruiksaanwijzing
In de handel verkrijgbare connectoren koppelen het vertrouwde SSH-tunnelingprotocol met populaire toegangstools zoals Telnet, SSH, HTTP, HTTPS, VNC en RDP om point-and-click-veilige beheertoegang op afstand te bieden tot alle systemen en apparaten die worden beheerd. Informatie over het gebruik van connectoren voor browsertoegang tot de Management Console van de consoleserver, Telnet/SSH-toegang tot de opdrachtregel van de consoleserver en TCP/UDP-verbinding met hosts die via een netwerk zijn verbonden met de consoleserver, kunt u vinden in Hoofdstuk 5. Connectors kunnen worden gevonden in hoofdstuk XNUMX. geïnstalleerd op Windows-pc's, Mac OS X en op de meeste Linux-, UNIX- en Solaris-systemen.
2.6 Beheernetwerkconfiguratie
Consoleservers hebben extra netwerkpoorten die kunnen worden geconfigureerd om beheer-LAN-toegang en/of failover- of out-of-band-toegang te bieden. 2.6.1 Het beheer-LAN inschakelen Consoleservers kunnen zo worden geconfigureerd dat de tweede Ethernet-poort een beheer-LAN-gateway biedt. De gateway beschikt over firewall-, router- en DHCP-serverfuncties. U moet een externe LAN-switch aansluiten op Netwerk 2 om hosts aan dit beheer-LAN te koppelen:
OPMERKING De tweede Ethernet-poort kan worden geconfigureerd als een Management LAN-gatewaypoort of als een OOB/Failover-poort. Zorg ervoor dat u NET2 niet als failoverinterface hebt toegewezen toen u de hoofdnetwerkverbinding configureerde in het menu Systeem > IP.
21

Hoofdstuk 2: Systeemconfiguratie
De Management LAN-gateway configureren: 1. Selecteer het tabblad Management LAN Interface in het menu Systeem > IP en schakel Uitschakelen uit. 2. Configureer het IP-adres en het subnetmasker voor het beheer-LAN. Laat de DNS-velden leeg. 3. Klik op Toepassen.
De beheergatewayfunctie is ingeschakeld met standaard firewall- en routerregels die zo zijn geconfigureerd dat het beheer-LAN alleen toegankelijk is via SSH-poortdoorschakeling. Dit zorgt ervoor dat de externe en lokale verbindingen met beheerde apparaten op het Management LAN veilig zijn. De LAN-poorten kunnen ook worden geconfigureerd in bridged- of bonded-modus of handmatig worden geconfigureerd vanaf de opdrachtregel. 2.6.2 Configureer de DHCP-server De DHCP-server maakt de automatische distributie van IP-adressen mogelijk naar apparaten op het Management LAN waarop DHCP-clients draaien. Om de DHCP-server in te schakelen:
1. Klik op Systeem > DHCP-server. 2. Op het tabblad Netwerkinterface selecteert u DHCP-server inschakelen.
22

Gebruiksaanwijzing
3. Voer het Gateway-adres in dat aan de DHCP-clients moet worden verstrekt. Als dit veld leeg wordt gelaten, wordt het IP-adres van de consoleserver gebruikt.
4. Voer het primaire DNS- en secundaire DNS-adres in om de DHCP-clients uit te geven. Als dit veld leeg wordt gelaten, wordt het IP-adres van de consoleserver gebruikt.
5. Voer optioneel een domeinnaamachtervoegsel in om DHCP-clients uit te geven. 6. Voer de Standaardleasetijd en Maximale leasetijd in seconden in. Dit is de hoeveelheid tijd
dat een dynamisch toegewezen IP-adres geldig is voordat de client het opnieuw moet aanvragen. 7. Klik op Toepassen. De DHCP-server geeft IP-adressen uit uit opgegeven adrespools: 1. Klik op Toevoegen in het veld Dynamische adrestoewijzingspools. 2. Voer het startadres en eindadres van de DHCP-pool in. 3. Klik op Toepassen.
23

Hoofdstuk 2: Systeemconfiguratie
De DHCP-server ondersteunt ook het vooraf toewijzen van IP-adressen die aan specifieke MAC-adressen moeten worden toegewezen en het reserveren van IP-adressen voor gebruik door aangesloten hosts met vaste IP-adressen. Een IP-adres reserveren voor een bepaalde host:
1. Klik op Toevoegen in het veld Gereserveerde adressen. 2. Voer de hostnaam, het hardwareadres (MAC) en het statisch gereserveerde IP-adres in
de DHCP-client en klik op Toepassen.
Wanneer DHCP hosts-adressen heeft toegewezen, wordt aanbevolen deze naar de vooraf toegewezen lijst te kopiëren, zodat hetzelfde IP-adres opnieuw wordt toegewezen in het geval van een herstart.
24

Gebruiksaanwijzing
2.6.3 Selecteer Failover of breedband OOB Consoleservers bieden een failover-optie, zodat in het geval van een probleem bij het gebruik van de hoofd-LAN-verbinding voor toegang tot de consoleserver een alternatief toegangspad wordt gebruikt. Failover inschakelen:
1. Selecteer de pagina Netwerkinterface in het menu Systeem > IP 2. Selecteer de failoverinterface die moet worden gebruikt in het geval van een storingtage op het hoofdnetwerk.
3. Klik op Toepassen. Failover wordt actief nadat u de externe sites hebt opgegeven die moeten worden onderzocht om failover te activeren en de failover-poorten in te stellen.
2.6.4 De netwerkpoorten samenvoegen Standaard zijn de Management LAN-netwerkpoorten van de consoleserver toegankelijk via SSH-tunneling/port forwarding of door een IPsec VPN-tunnel naar de consoleserver tot stand te brengen. Alle bekabelde netwerkpoorten op de consoleservers kunnen worden samengevoegd door middel van bridge of bonding.
25

Gebruiksaanwijzing
· Interfaceaggregatie is standaard uitgeschakeld in het menu Systeem > IP > Algemene instellingen · Selecteer Bridge Interfaces of Bond Interfaces
o Wanneer bridging is ingeschakeld, wordt netwerkverkeer zonder firewallbeperkingen doorgestuurd over alle Ethernet-poorten. Alle Ethernet-poorten zijn allemaal transparant verbonden op de datalinklaag (laag 2), zodat ze hun unieke MAC-adressen behouden
o Bij bonding wordt het netwerkverkeer tussen de poorten vervoerd, maar aanwezig met één MAC-adres
Beide modi verwijderen alle functies van de Management LAN Interface en Out-of-Band/Failover Interface en schakelen de DHCP-server uit. · In de aggregatiemodus worden alle Ethernet-poorten gezamenlijk geconfigureerd met behulp van het Network Interface-menu
25

Hoofdstuk 2: Systeemconfiguratie
2.6.5 Statische routes Statische routes bieden een zeer snelle manier om gegevens van het ene subnet naar het andere subnet te routeren. U kunt een pad hardcoderen dat de consoleserver/router vertelt om via een bepaald pad naar een bepaald subnet te gaan. Dit kan handig zijn voor toegang tot verschillende subnetten op een externe locatie bij gebruik van de mobiele OOB-verbinding.

Om de statische route toe te voegen aan de routetabel van het systeem:
1. Selecteer het tabblad Route-instellingen in het menu Systeem > Algemene IP-instellingen.
2. Klik op Nieuwe route
3. Voer een routenaam in voor de route.
4. Voer in het veld Bestemmingsnetwerk/host het IP-adres in van het bestemmingsnetwerk/de host waartoe de route toegang biedt.
5. Voer in het veld Bestemmingsnetmasker een waarde in die het bestemmingsnetwerk of de host identificeert. Elk getal tussen 0 en 32. Een subnetmasker van 32 identificeert een hostroute.
6. Voer Route Gateway in met het IP-adres van een router die pakketten naar het bestemmingsnetwerk routeert. Dit mag leeg gelaten worden.
7. Selecteer de interface die u wilt gebruiken om de bestemming te bereiken. U kunt dit op Geen laten staan.
8. Voer in het veld Metrisch een waarde in die de metriek van deze verbinding vertegenwoordigt. Gebruik een getal gelijk aan of groter dan 0. Dit hoeft alleen te worden ingesteld als twee of meer routes conflicteren of overlappende doelen hebben.
9. Klik op Toepassen.

OPMERKING

De routedetailspagina biedt een lijst met netwerkinterfaces en modems waaraan een route kan worden gekoppeld. In het geval van een modem wordt de route gekoppeld aan elke inbelsessie die via dat apparaat tot stand wordt gebracht. Een route kan worden gespecificeerd met een gateway, een interface of beide. Als de opgegeven interface niet actief is, zullen routes die voor die interface zijn geconfigureerd, niet actief zijn.

Gebruikershandleiding 3. SERIËLE POORT, HOST, APPARAAT & GEBRUIKERSCONFIGURATIE
De consoleserver maakt toegang tot en controle mogelijk over serieel aangesloten apparaten en netwerkapparaten (hosts). De beheerder moet voor elk van deze apparaten toegangsrechten configureren en de services opgeven die kunnen worden gebruikt om de apparaten te bedienen. De beheerder kan ook nieuwe gebruikers instellen en de individuele toegangs- en controlerechten van elke gebruiker opgeven.
Dit hoofdstuk behandelt elk van de stappen bij het configureren van op het netwerk aangesloten en serieel aangesloten apparaten: · Seriële poorten instellen van protocollen gebruikt serieel aangesloten apparaten · Gebruikers en groepen instellen van gebruikers en definiëren van de toegangsrechten voor elk van deze gebruikers · Authenticatie dit wordt behandeld in meer details in hoofdstuk 8 · Netwerkhosts configureren de toegang tot op het lokale netwerk aangesloten computers of apparaten (hosts) · Configureren van vertrouwde netwerken – nomineer IP-adressen waar vertrouwde gebruikers toegang toe hebben · Cascading en omleiding van seriële consolepoorten · Aansluiten op stroom (UPS, PDU en IPMI) en apparaten voor omgevingsmonitoring (EMD) · Seriële poortomleiding met behulp van de PortShare-vensters en Linux-clients · Beheerde apparaten – presenteert een geconsolideerde view van alle verbindingen · IPSec maakt VPN-verbinding mogelijk · OpenVPN · PPTP
3.1 Seriële poorten configureren
De eerste stap bij het configureren van een seriële poort is het instellen van de algemene instellingen, zoals de protocollen en de RS232-parameters die moeten worden gebruikt voor de gegevensverbinding met die poort (bijvoorbeeld baudsnelheid). Selecteer in welke modus de poort moet werken. Elke poort kan worden ingesteld om een van deze bedrijfsmodi te ondersteunen:
· Uitgeschakelde modus is de standaardinstelling, de seriële poort is inactief
27

Hoofdstuk 3:

Seriële poort, host, apparaat en gebruikersconfiguratie

· De consoleservermodus maakt algemene toegang tot de seriële consolepoort op de serieel aangesloten apparaten mogelijk
· Apparaatmodus stelt de seriële poort in om te communiceren met een intelligente serieel bestuurde PDU, UPS of Environmental Monitor Devices (EMD)
· De Terminal Server-modus stelt de seriële poort in om te wachten op een inkomende terminal-inlogsessie · De Serial Bridge-modus maakt de transparante onderlinge verbinding van twee seriële poortapparaten via een
netwerk.
1. Selecteer Serieel en netwerk > Seriële poort om de details van de seriële poort weer te geven. 2. Standaard is elke seriële poort ingesteld in de consoleservermodus. Klik op Bewerken naast de gewenste poort
opnieuw geconfigureerd. Of klik op Meerdere poorten bewerken en selecteer welke poorten u als groep wilt configureren. 3. Wanneer u de algemene instellingen en de modus voor elke poort opnieuw hebt geconfigureerd, stelt u een extern syslog in (zie de volgende secties voor specifieke informatie). Klik op Toepassen. 4. Als de consoleserver is geconfigureerd met gedistribueerde Nagios-monitoring ingeschakeld, gebruikt u de opties van Nagios-instellingen om genomineerde services op de host in te schakelen voor monitoring. 3.1.1 Algemene instellingen Er zijn een aantal algemene instellingen die kunnen worden ingesteld voor elke seriële haven. Deze zijn onafhankelijk van de modus waarin de poort wordt gebruikt. Deze seriële poortparameters moeten zo worden ingesteld dat ze overeenkomen met de seriële poortparameters op het apparaat dat u op die poort aansluit:
28

Gebruiksaanwijzing

· Typ een label voor de poort · Selecteer de juiste baudsnelheid, pariteit, databits, stopbits en flowcontrol voor elke poort

· Stel de poort-pinout in. Dit menu-item verschijnt voor IM7200-poorten waarbij de pin-out voor elke RJ45 seriële poort kan worden ingesteld als X2 (Cisco Straight) of X1 (Cisco Rolled)

· Stel de DTR-modus in. Hierdoor kunt u kiezen of DTR altijd wordt gehandhaafd of alleen wordt gehandhaafd wanneer er een actieve gebruikerssessie is

· Voordat u verdergaat met de verdere configuratie van de seriële poort, moet u de poorten aansluiten op de seriële apparaten die ze zullen besturen en ervoor zorgen dat ze overeenkomende instellingen hebben

3.1.2

Consoleservermodus
Selecteer Consoleservermodus om externe beheertoegang in te schakelen tot de seriële console die op deze seriële poort is aangesloten:

Logboekniveau Dit specificeert het niveau van de informatie die moet worden geregistreerd en bewaakt.
29

Hoofdstuk 3: Seriële poort, host-, apparaat- en gebruikersconfiguratie
Niveau 0: Logboekregistratie uitschakelen (standaard)
Niveau 1: Log IN-, LOGOUT- en SIGNAL-gebeurtenissen
Niveau 2: Log IN-, LOGOUT-, SIGNAL-, TXDATA- en RXDATA-gebeurtenissen
Niveau 3: Log IN-, LOGOUT-, SIGNAL- en RXDATA-gebeurtenissen
Niveau 4: Log IN-, LOGOUT-, SIGNAL- en TXDATA-gebeurtenissen
Invoer/RXDATA zijn gegevens die door het Opengear-apparaat worden ontvangen van het aangesloten seriële apparaat, en uitvoer/TXDATA zijn gegevens die door het Opengear-apparaat worden verzonden (bijvoorbeeld getypt door de gebruiker) naar het aangesloten seriële apparaat.
Apparaatconsoles echoën doorgaans tekens terug terwijl ze worden getypt, zodat TXDATA die door een gebruiker wordt getypt, vervolgens wordt ontvangen als RXDATA en wordt weergegeven op hun terminal.
OPMERKING: Nadat om een wachtwoord wordt gevraagd, verzendt het aangesloten apparaat *-tekens om te voorkomen dat het wachtwoord wordt weergegeven.

Telnet Wanneer de Telnet-service is ingeschakeld op de consoleserver, kan een Telnet-client op de computer van een gebruiker verbinding maken met een serieel apparaat dat is aangesloten op deze seriële poort op de consoleserver. Omdat Telnet-communicatie niet-versleuteld is, wordt dit protocol alleen aanbevolen voor lokale of VPN-tunnelverbindingen.
Als de externe communicatie wordt getunneld met een connector, kan Telnet worden gebruikt voor veilige toegang tot deze aangesloten apparaten.

OPMERKING

In de consoleservermodus kunnen gebruikers een connector gebruiken om veilige Telnet-verbindingen op te zetten die via SSH worden getunneld van hun clientcomputers naar de seriële poort op de consoleserver. Connectors kunnen op Windows-pc's en de meeste Linux-platforms worden geïnstalleerd en maken het mogelijk om beveiligde Telnet-verbindingen te selecteren met aanwijzen en klikken.

Om een connector te gebruiken voor toegang tot consoles op de seriële poorten van de consoleserver, configureert u de connector met de consoleserver als gateway en als host, en schakelt u de Telnet-service in op poort (2000 + seriële poort #), dwz 2001.

U kunt ook standaard communicatiepakketten zoals PuTTY gebruiken om een directe Telnet- of SSH-verbinding met de seriële poorten tot stand te brengen.

OPMERKING Als u in de consoleservermodus verbinding maakt met een seriële poort, maakt u verbinding via pmshell. Om een BREAK op de seriële poort te genereren, typt u de tekenreeks ~b. Als u dit via OpenSSH doet, typt u ~~b.

SSH

Het wordt aanbevolen dat u SSH als protocol gebruikt wanneer gebruikers verbinding maken met de consoleserver

(of maak via de consoleserver verbinding met de aangesloten seriële consoles) via internet of een ander medium

ander openbaar netwerk.

Voor SSH-toegang tot de consoles op apparaten die zijn aangesloten op de seriële poorten van de consoleserver, kunt u een connector gebruiken. Configureer de connector met de consoleserver als gateway en als host, en schakel de SSH-service in op poort (3000 + seriële poort #), dwz 3001-3048.

U kunt ook gewone communicatiepakketten gebruiken, zoals PuTTY of SSHTerm om SSH verbinding te maken met poortadres IP-adres _ Poort (3000 + seriële poort #), dwz 3001

SSH-verbindingen kunnen worden geconfigureerd met behulp van de standaard SSH-poort 22. De seriële poort waartoe toegang wordt verkregen, wordt geïdentificeerd door een descriptor aan de gebruikersnaam toe te voegen. Deze syntaxis ondersteunt:

Gebruiksaanwijzing
: : Om ervoor te zorgen dat een gebruiker met de naam Chris toegang krijgt tot seriële poort 2, bij het instellen van de SSHTerm of de PuTTY SSH-client, in plaats van gebruikersnaam = chris en ssh port = 3002 te typen, is het alternatief het typen van gebruikersnaam = chris:port02 (of gebruikersnaam = chris: ttyS1) en ssh port = 22. Of door gebruikersnaam=chris:serial en ssh port = 22 te typen, krijgt de gebruiker een poortselectieoptie te zien:

Met deze syntaxis kunnen gebruikers SSH-tunnels opzetten naar alle seriële poorten, waarbij één enkele IP-poort 22 moet worden geopend in hun firewall/gateway
OPMERKING In de consoleservermodus maakt u via pmshell verbinding met een seriële poort. Om een BREAK op de seriële poort te genereren, typt u de tekenreeks ~b. Als u dit via OpenSSH doet, typt u ~~b.

TCP

RAW TCP maakt verbindingen met een TCP-socket mogelijk. Terwijl communicatieprogramma's zoals PuTTY

ondersteunen ook RAW TCP, dit protocol wordt meestal gebruikt door een aangepaste toepassing

Voor RAW TCP is het standaardpoortadres IP-adres _ Poort (4000 + seriële poort #), dwz 4001 4048

Met RAW TCP kan de seriële poort ook worden getunneld naar een consoleserver op afstand, zodat twee seriële poortapparaten transparant met elkaar kunnen worden verbonden via een netwerk (zie hoofdstuk 3.1.6 Seriële overbrugging)

RFC2217 Als u RFC2217 selecteert, wordt seriële poortomleiding op die poort ingeschakeld. Voor RFC2217 is het standaardpoortadres IP-adres _ Poort (5000 + seriële poort #), dwz 5001 5048
Er is speciale clientsoftware beschikbaar voor Windows UNIX en Linux die RFC2217 virtuele com-poorten ondersteunt, zodat een externe host extern serieel aangesloten apparaten kan monitoren en beheren alsof ze zijn aangesloten op de lokale seriële poort (zie Hoofdstuk 3.6 Seriële poortomleiding voor details)
RFC2217 maakt het ook mogelijk dat de seriële poort wordt getunneld naar een consoleserver op afstand, zodat twee seriële poortapparaten transparant met elkaar kunnen worden verbonden via een netwerk (zie hoofdstuk 3.1.6 Seriële overbrugging)

Niet-geverifieerd Telnet Hiermee wordt Telnet-toegang tot de seriële poort mogelijk gemaakt zonder verificatiegegevens. Wanneer een gebruiker via een seriële poort toegang krijgt tot de consoleserver naar Telnet, krijgt hij of zij een aanmeldingsprompt. Met niet-geverifieerd Telnet maken ze rechtstreeks verbinding met de poort, zonder enige inlogproblemen op de consoleserver. Als een Telnet-client om authenticatie vraagt, staan alle ingevoerde gegevens verbinding toe.

Hoofdstuk 3: Seriële poort, host-, apparaat- en gebruikersconfiguratie
Deze modus wordt gebruikt met een extern systeem (zoals Conserver) dat de gebruikersauthenticatie en toegangsrechten op serieel apparaatniveau beheert.
Voor inloggen op een apparaat dat is verbonden met de consoleserver is mogelijk verificatie vereist.
Voor niet-geverifieerd Telnet is het standaardpoortadres IP-adres _ Poort (6000 + seriële poort #), dwz 6001 6048

Niet-geverifieerde SSH Hiermee wordt SSH-toegang tot de seriële poort mogelijk gemaakt zonder authenticatiegegevens. Wanneer een gebruiker via een seriële poort toegang krijgt tot de consoleserver naar Telnet, krijgt hij of zij een aanmeldingsprompt. Met niet-geverifieerde SSH maken ze rechtstreeks verbinding met de poort, zonder enige inlogproblemen op de consoleserver.
Deze modus wordt gebruikt wanneer u een ander systeem heeft dat de gebruikersauthenticatie en toegangsrechten op serieel apparaatniveau beheert, maar de sessie via het netwerk wilt coderen.
Voor inloggen op een apparaat dat is verbonden met de consoleserver is mogelijk verificatie vereist.
Voor niet-geverifieerd Telnet is het standaardpoortadres IP-adres _ Poort (7000 + seriële poort #), dwz 7001 7048
De : methode voor poorttoegang (zoals beschreven in de bovenstaande SSH-sectie) vereist altijd authenticatie.

Web Terminal Hiermee wordt ingeschakeld web browsertoegang tot de seriële poort via Beheren > Apparaten: Serieel met behulp van de ingebouwde AJAX-terminal van de Management Console. Web Terminal maakt verbinding als de momenteel geverifieerde Management Console-gebruiker en verifieert niet opnieuw. Zie paragraaf 12.3 voor meer details.

IP-aliassen

Schakel toegang tot de seriële poort in met behulp van een specifiek IP-adres, gespecificeerd in CIDR-indeling. Aan elke seriële poort kunnen een of meer IP-aliassen worden toegewezen, geconfigureerd per netwerkinterface. Een seriële poort kan bijvampbestand toegankelijk worden gemaakt op zowel 192.168.0.148 (als onderdeel van het interne netwerk) als 10.10.10.148 (als onderdeel van het Management LAN). Het is ook mogelijk om een seriële poort beschikbaar te maken op twee IP-adressen op hetzelfde netwerk (bijvample, 192.168.0.148 en 192.168.0.248).

Deze IP-adressen kunnen alleen worden gebruikt om toegang te krijgen tot de specifieke seriële poort, toegankelijk via de standaardprotocol-TCP-poortnummers van de consoleserverservices. Bijvoorbeeldample zou SSH op seriële poort 3 toegankelijk zijn op poort 22 van een IP-alias van een seriële poort (terwijl het op het primaire adres van de consoleserver beschikbaar is op poort 2003).

Deze functie kan ook worden geconfigureerd via de bewerkingspagina voor meerdere poorten. In dit geval worden de IP-adressen opeenvolgend toegepast, waarbij de eerste geselecteerde poort het IP-adres krijgt ingevoerd en de volgende worden verhoogd, waarbij nummers voor niet-geselecteerde poorten worden overgeslagen. Bijvoorbeeldample, als poorten 2, 3 en 5 zijn geselecteerd en de IP-alias 10.0.0.1/24 is ingevoerd voor de netwerkinterface, worden de volgende adressen toegewezen:

Poort 2: 10.0.0.1/24

Poort 3: 10.0.0.2/24

Poort 5: 10.0.0.4/24

IP-aliassen ondersteunen ook IPv6-aliasadressen. Het enige verschil is dat adressen hexadecimale getallen zijn, dus poort 10 kan overeenkomen met een adres dat eindigt op A, en 11 met een adres dat eindigt op B, in plaats van 10 of 11 volgens IPv4.

Gebruiksaanwijzing
Verkeer versleutelen / authenticeren Schakel triviale versleuteling en authenticatie van RFC2217 seriële communicatie in met behulp van Portshare (gebruik VPN voor sterke versleuteling).
Accumulatieperiode Zodra er een verbinding tot stand is gebracht voor een bepaalde seriële poort (zoals een RFC2217-omleiding of Telnet-verbinding met een externe computer), worden alle binnenkomende tekens op die poort teken voor teken doorgestuurd over het netwerk. De accumulatieperiode specificeert een tijdsperiode waarin inkomende tekens worden verzameld voordat ze als pakket over het netwerk worden verzonden
Escape-teken Wijzig het teken dat wordt gebruikt voor het verzenden van escape-tekens. De standaardwaarde is ~. Vervang Backspace Vervang de standaard backspace-waarde van CTRL+? (127) met CTRL+h (8). Power Menu Het commando om het powermenu te openen is ~p en schakelt het shell power-commando zo in
De gebruiker kan de stroomaansluiting naar een beheerd apparaat beheren vanaf de opdrachtregel wanneer hij via Telnet of SSH op het apparaat is aangesloten. Het beheerde apparaat moet worden ingesteld met zowel de seriële poortverbinding als de stroomaansluiting geconfigureerd.
Enkele verbinding Dit beperkt de poort tot een enkele verbinding, dus als meerdere gebruikers toegangsrechten hebben voor een bepaalde poort, heeft slechts één gebruiker tegelijk toegang tot die poort (dat wil zeggen dat poortspionage niet is toegestaan).
33

Hoofdstuk 3: Seriële poort, host-, apparaat- en gebruikersconfiguratie
3.1.3 Apparaatmodus (RPC, UPS, Omgevingsmodus) Deze modus configureert de geselecteerde seriële poort om te communiceren met een serieel geregelde ononderbroken stroomvoorziening (UPS), externe stroomcontroller / stroomdistributie-eenheden (RPC) of omgevingsbewakingsapparaat (omgevingsmodus).

1. Selecteer het gewenste apparaattype (UPS, RPC of Omgeving)
2. Ga naar de juiste apparaatconfiguratiepagina (Serieel en netwerk > UPS-verbindingen, RPC-verbinding of Omgeving), zoals beschreven in hoofdstuk 7.

3.1.4 ·

Terminalserver-modus
Selecteer Terminal Server Mode en het Terminal Type (vt220, vt102, vt100, Linux of ANSI) om een getty op de geselecteerde seriële poort in te schakelen

De Getty configureert de poort en wacht tot er een verbinding tot stand is gebracht. Een actieve verbinding op een serieel apparaat wordt aangegeven door de verhoogde Data Carrier Detect (DCD)-pin op het seriële apparaat. Wanneer er een verbinding wordt gedetecteerd, geeft het getty-programma een login:-prompt af en roept het login-programma op om de systeemaanmelding af te handelen.
OPMERKING Als u de Terminal Server-modus selecteert, wordt Port Manager voor die seriële poort uitgeschakeld, zodat er geen gegevens meer worden geregistreerd voor waarschuwingen enz.

Gebruiksaanwijzing
3.1.5 Seriële overbruggingsmodus Bij seriële overbrugging worden de seriële gegevens op een genomineerde seriële poort op één consoleserver ingekapseld in netwerkpakketten en via een netwerk naar een tweede consoleserver getransporteerd, waar ze worden weergegeven als seriële gegevens. De twee consoleservers fungeren als een virtuele seriële kabel via een IP-netwerk. Eén consoleserver is geconfigureerd als server. De seriële poort van de server die moet worden overbrugd, wordt ingesteld in de consoleservermodus met RFC2217 of RAW ingeschakeld. Voor de clientconsoleserver moet de seriële poort die moet worden overbrugd, zijn ingesteld in de bridgingmodus:
· Selecteer de seriële brugmodus en specificeer het IP-adres van de serverconsoleserver en het TCP-poortadres van de externe seriële poort (voor RFC2217-bridging is dit 5001-5048)
· Standaard gebruikt de bridging-client RAW TCP. Selecteer RFC2217 als dit de consoleservermodus is die u hebt opgegeven op de serverconsoleserver
· U kunt de communicatie via het lokale Ethernet beveiligen door SSH in te schakelen. Genereer en upload sleutels.
3.1.6 Syslog Naast de ingebouwde logboekregistratie en monitoring die kan worden toegepast op serieel aangesloten en netwerkgekoppelde beheertoegangen, zoals besproken in hoofdstuk 6, kan de consoleserver ook worden geconfigureerd om het externe syslog-protocol op een seriële poort te ondersteunen. basis:
· Selecteer de velden Syslog Facility/Priority om het loggen van verkeer op de geselecteerde seriële poort naar een syslog-server mogelijk te maken; en om deze geregistreerde berichten te sorteren en er actie op te ondernemen (dwz ze door te sturen / waarschuwings-e-mail te verzenden).
35

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
Bijvoorbeeldample, als de computer die is aangesloten op seriële poort 3 nooit iets mag verzenden via de seriële consolepoort, kan de beheerder de faciliteit voor die poort instellen op local0 (local0 .. local7 zijn bedoeld voor lokale waarden van de site), en de prioriteit op kritiek . Als de syslog-server van de consoleserver bij deze prioriteit een bericht ontvangt, genereert deze een waarschuwing. Zie hoofdstuk 6. 3.1.7 NMEA-streaming De ACM7000-L kan GPS NMEA-gegevensstreaming leveren vanaf het interne GPS-/mobiele modem. Deze datastroom wordt op de ACM-modellen gepresenteerd als een seriële datastroom op poort 5.
De algemene instellingen (baudsnelheid enz.) worden genegeerd bij het configureren van de NMEA seriële poort. U kunt de fixfrequentie opgeven (dat wil zeggen dat deze GPS-fixfrequentie bepaalt hoe vaak GPS-fixes worden verkregen). U kunt ook alle instellingen van de consoleservermodus, syslog en seriële brug op deze poort toepassen.
Je kunt pmshell gebruiken, webshell, SSH, RFC2217 of RawTCP om bij de stream te komen:
Bijvoorbeeldample, met behulp van de Web Terminal:
36

Gebruiksaanwijzing

3.1.8 USB-consoles
Consoleservers met USB-poorten ondersteunen USB-consoleverbindingen met apparaten van een breed scala aan leveranciers, waaronder Cisco, HP, Dell en Brocade. Deze USB-poorten kunnen ook functioneren als gewone RS-232 seriële poorten wanneer een USB-naar-serieel adapter is aangesloten.

Deze USB-poorten zijn beschikbaar als reguliere portmanager-poorten en worden numeriek weergegeven in de web UI immers RJ45 seriële poorten.

De ACM7008-2 heeft acht RJ45 seriële poorten aan de achterkant van de consoleserver en vier USB-poorten aan de voorkant. In Serieel en netwerk > Seriële poort worden deze vermeld als

Poort #-connector

RJ45

USB

10 USB

11 USB

12 USB

Als de specifieke ACM7008-2 een mobiel model is, wordt poort #13 – voor de GPS – ook vermeld.

De 7216-24U heeft 16 RJ45 seriële poorten en 24 USB-poorten aan de achterkant, evenals twee USB-poorten aan de voorkant en (in het mobiele model) een GPS.

De seriële RJ45-poorten worden weergegeven in Serieel en netwerk > Seriële poort als poortnummer 1. De 16 naar achteren gerichte USB-poorten hebben poortnummer 24 en de naar voren gerichte USB-poorten worden respectievelijk vermeld op poortnummers 17 en 40. En als de specifieke 41-42U een mobiel model is, wordt, net als bij de ACM7008-2, de GPS gepresenteerd op poortnummer 7216.

De algemene instellingen (baudsnelheid, enz.) worden gebruikt bij het configureren van de poorten, maar sommige bewerkingen werken mogelijk niet, afhankelijk van de implementatie van de onderliggende seriële USB-chip.

3.2 Gebruikers toevoegen en bewerken
De beheerder gebruikt deze menuselectie om gebruikers aan te maken, te bewerken en te verwijderen en om de toegangsrechten voor elk van deze gebruikers te definiëren.

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie

Gebruikers kunnen worden geautoriseerd voor toegang tot gespecificeerde services, seriële poorten, voedingsapparaten en gespecificeerde op het netwerk aangesloten hosts. Deze gebruikers kunnen ook de volledige beheerdersstatus krijgen (met volledige configuratie- en beheer- en toegangsrechten).

Gebruikers kunnen aan groepen worden toegevoegd. Er zijn standaard zes groepen ingesteld:

beheerder

Biedt onbeperkte configuratie- en beheerrechten.

pptpd

Geeft toegang tot de PPTP VPN-server. Gebruikers in deze groep hebben hun wachtwoord in leesbare tekst opgeslagen.

inbellen

Maakt inbeltoegang via modems mogelijk. Gebruikers in deze groep hebben hun wachtwoord in leesbare tekst opgeslagen.

ftp

Staat ftp-toegang toe en file toegang tot opslagapparaten.

pmshell

Stelt de standaardshell in op pmshell.

gebruikers

Biedt gebruikers basisbeheerrechten.

De beheerdersgroep biedt leden volledige beheerdersrechten. De admin-gebruiker heeft toegang tot de consoleserver met behulp van een van de services die zijn ingeschakeld in Systeem > Services. Hij heeft ook toegang tot alle aangesloten hosts of seriële poortapparaten met behulp van een van de services die voor deze verbindingen zijn ingeschakeld. Alleen vertrouwde gebruikers mogen beheerderstoegang hebben
De gebruikersgroep biedt leden beperkte toegang tot de consoleserver en aangesloten hosts en seriële apparaten. Deze gebruikers hebben alleen toegang tot de sectie Beheer van het Management Console-menu en hebben geen opdrachtregeltoegang tot de consoleserver. Ze hebben alleen toegang tot de hosts en seriële apparaten die voor hen zijn gecontroleerd, met behulp van services die zijn ingeschakeld
Gebruikers in de pptd-, dialin-, ftp- of pmshell-groepen hebben beperkte gebruikersshell-toegang tot de genomineerde beheerde apparaten, maar ze hebben geen directe toegang tot de consoleserver. Om dit toe te voegen moeten de gebruikers ook lid zijn van de gebruikers- of beheerdersgroepen
De beheerder kan extra groepen instellen met specifieke toegangsrechten voor het voedingsapparaat, de seriële poort en de host. Gebruikers in deze extra groepen hebben geen toegang tot het Management Console-menu en hebben ook geen opdrachtregeltoegang tot de consoleserver.

Gebruiksaanwijzing
De beheerder kan gebruikers instellen met specifieke toegangsrechten voor het voedingsapparaat, de seriële poort en de host, die geen lid zijn van een groep. Deze gebruikers hebben geen toegang tot het Management Console-menu en ook geen opdrachtregeltoegang tot de consoleserver. 3.2.1 Nieuwe groep instellen Nieuwe groepen en nieuwe gebruikers instellen en gebruikers classificeren als leden van bepaalde groepen:
1. Selecteer Serieel en netwerk > Gebruikers en groepen om alle groepen en gebruikers weer te geven 2. Klik op Groep toevoegen om een nieuwe groep toe te voegen
3. Voeg een groepsnaam en beschrijving toe voor elke nieuwe groep, en nomineer de toegankelijke hosts, toegankelijke poorten en toegankelijke RPC-verkooppunten waartoe gebruikers in deze nieuwe groep toegang hebben
4. Klik op Toepassen 5. De beheerder kan elke toegevoegde groep bewerken of verwijderen 3.2.2 Nieuwe gebruikers instellen Nieuwe gebruikers instellen en gebruikers classificeren als leden van bepaalde groepen: 1. Selecteer Serieel en netwerk > Gebruikers en groepen om weer te geven alle groepen en gebruikers 2. Klik op Gebruiker toevoegen
39

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
3. Voeg voor elke nieuwe gebruiker een gebruikersnaam toe. U kunt ook informatie met betrekking tot de gebruiker (bijvoorbeeld contactgegevens) opnemen in het veld Beschrijving. De gebruikersnaam kan 1 tot 127 alfanumerieke tekens bevatten en de tekens “-” “_” en “.”.
4. Geef aan van welke groepen u wilt dat de gebruiker lid wordt. 5. Voeg voor elke nieuwe gebruiker een bevestigd wachtwoord toe. Alle karakters zijn toegestaan. 6. SSH-toegangssleutelverificatie kan worden gebruikt. Plak de openbare sleutels van geautoriseerd publiek/privé
sleutelparen voor deze gebruiker in het veld Geautoriseerde SSH-sleutels 7. Schakel Wachtwoordverificatie uitschakelen in om alleen openbare sleutelverificatie voor deze gebruiker toe te staan
bij gebruik van SSH 8. Schakel Terugbellen inschakelen in het menu Inbelopties in om een uitgaande terugbelverbinding toe te staan
worden geactiveerd door in te loggen op deze poort. Voer het terugbeltelefoonnummer in met het telefoonnummer dat moet worden teruggebeld wanneer de gebruiker zich aanmeldt. 9. Vink Toegankelijke hosts en/of toegankelijke poorten aan om de seriële poorten en op het netwerk aangesloten hosts te benoemen waartoe u wilt dat de gebruiker toegangsrechten heeft. 10. Als Als er geconfigureerde RPC's zijn, vink dan Toegankelijke RPC-uitgangen aan om aan te geven welke uitgangen de gebruiker kan bedienen (dwz aan-/uitzetten). 11. Klik op Toepassen. De nieuwe gebruiker heeft toegang tot de toegankelijke netwerkapparaten, poorten en RPC-uitgangen. Als de gebruiker lid is van de groep, heeft deze ook toegang tot elk ander apparaat/poort/stopcontact dat toegankelijk is voor de groep
40

Gebruiksaanwijzing
Er zijn geen beperkingen op het aantal gebruikers dat u kunt instellen of op het aantal gebruikers per seriële poort of host. Meerdere gebruikers kunnen één poort of host beheren/monitoren. Er zijn geen beperkingen op het aantal groepen en elke gebruiker kan lid zijn van een aantal groepen. Een gebruiker hoeft geen lid te zijn van een groep, maar als de gebruiker lid is van de standaardgebruikersgroep, kan hij of zij de Management Console niet gebruiken om poorten te beheren. Hoewel er geen grenzen zijn, neemt de tijd om opnieuw te configureren toe naarmate het aantal en de complexiteit toenemen. We raden aan dat het totale aantal gebruikers en groepen onder de 250 blijft. De beheerder kan ook de toegangsinstellingen voor bestaande gebruikers bewerken:
· Selecteer Serieel en netwerk > Gebruikers en groepen en klik op Bewerken om de toegangsrechten van de gebruiker te wijzigen · Klik op Verwijderen om de gebruiker te verwijderen · Klik op Uitschakelen om de toegangsrechten tijdelijk te blokkeren
3.3 Authenticatie
Zie Hoofdstuk 8 voor details over de authenticatieconfiguratie.
3.4 Netwerkhosts
Om een lokaal netwerkcomputer of apparaat (ook wel een host genoemd) te controleren en op afstand toegang te krijgen, moet u de host identificeren:
1. Als u Serieel en netwerk > Netwerkhosts selecteert, worden alle op het netwerk aangesloten hosts weergegeven die zijn ingeschakeld voor gebruik.
2. Klik op Host toevoegen om toegang tot een nieuwe host mogelijk te maken (of selecteer Bewerken om de instellingen voor de bestaande host bij te werken)
41

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
3. Als de host een PDU- of UPS-voedingsapparaat is of een server met IPMI-voedingsregeling, specificeer dan RPC (voor IPMI en PDU) of UPS en het apparaattype. De beheerder kan deze apparaten configureren en instellen welke gebruikers toestemming hebben om de apparaten op afstand uit en weer aan te zetten, enz. Zie hoofdstuk 7. Laat anders het Apparaattype ingesteld op Geen.
4. Als de consoleserver is geconfigureerd met gedistribueerde Nagios-monitoring ingeschakeld, ziet u ook Nagios-instellingenopties om genomineerde services op de host in te schakelen voor monitoring.
5. Klik op Toepassen. Hierdoor wordt de nieuwe host gemaakt en wordt er ook een nieuw beheerd apparaat met dezelfde naam gemaakt.
3.5 Vertrouwde netwerken
De Trusted Networks-faciliteit biedt u de mogelijkheid om IP-adressen te nomineren waar gebruikers zich moeten bevinden om toegang te krijgen tot de seriële poorten van de consoleserver:
42

Gebruiksaanwijzing
1. Selecteer Serieel en netwerk > Vertrouwde netwerken. 2. Om een nieuw vertrouwd netwerk toe te voegen, selecteert u Regel toevoegen. Als er geen regels zijn, is er geen toegang
beperkingen met betrekking tot het IP-adres waarop gebruikers zich kunnen bevinden.

3. Selecteer de toegankelijke poorten waarop de nieuwe regel moet worden toegepast
4. Voer het netwerkadres in van het subnet waarvoor toegang moet worden verleend
5. Specificeer het bereik van adressen dat moet worden toegestaan door een Netwerkmasker in te voeren voor dat toegestane IP-bereik, bijvoorbeeld
· Om alle gebruikers met een bepaalde klasse C-netwerkverbinding toegang te geven tot de genomineerde poort, voegt u de volgende nieuwe regel voor vertrouwd netwerk toe:

IP-adres netwerk

204.15.5.0

Subnetmasker

255.255.255.0

· Om slechts één gebruiker op een specifiek IP-adres toe te staan verbinding te maken:

IP-adres netwerk

204.15.5.13

Subnetmasker

255.255.255.255

· Om alle gebruikers die binnen een specifiek bereik van IP-adressen werken (bijvoorbeeld een van de dertig adressen van 204.15.5.129 tot 204.15.5.158) toestemming te geven om verbinding te maken met de genomineerde poort:

Host-/subnetadres

204.15.5.128

Subnetmasker

255.255.255.224

6. Klik op Toepassen

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
3.6 Cascadering van seriële poorten
Met Cascaded Ports kunt u gedistribueerde consoleservers clusteren, zodat een groot aantal seriële poorten (tot 1000) kan worden geconfigureerd en geopend via één IP-adres en kan worden beheerd via één Management Console. Eén consoleserver, de Primary, bestuurt andere consoleservers als knooppunteenheden en alle seriële poorten op de knooppunteenheden verschijnen alsof ze deel uitmaken van de primaire. De clustering van Opengear verbindt elk knooppunt met het primaire knooppunt via een SSH-verbinding. Dit gebeurt met behulp van publieke sleutelauthenticatie, zodat de Primary toegang heeft tot elk knooppunt met behulp van het SSH-sleutelpaar (in plaats van met behulp van wachtwoorden). Dit zorgt voor veilige, geauthenticeerde communicatie tussen Primary en Nodes, waardoor de Node-consoleservereenheden lokaal op een LAN of op afstand over de hele wereld kunnen worden gedistribueerd.
3.6.1 Automatisch SSH-sleutels genereren en uploaden Om authenticatie met openbare sleutels in te stellen, moet u eerst een RSA- of DSA-sleutelpaar genereren en deze uploaden naar de primaire en knooppuntconsoleservers. Dit kan automatisch worden gedaan vanuit het primaire bestand:
44

Gebruiksaanwijzing
1. Selecteer Systeem > Beheer op de primaire beheerconsole
2. Vink SSH-sleutels automatisch genereren aan. 3. Klik op Toepassen
Vervolgens moet u selecteren of u sleutels wilt genereren met RSA en/of DSA (als u het niet zeker weet, selecteert u alleen RSA). Het genereren van elke set sleutels kost twee minuten en de nieuwe sleutels vernietigen oude sleutels van dat type. Terwijl de nieuwe generatie onderweg is, kunnen functies die afhankelijk zijn van SSH-sleutels (bijvoorbeeld cascadering) niet meer functioneren totdat ze zijn bijgewerkt met de nieuwe set sleutels. Om sleutels te genereren:
1. Vink de vakjes aan voor de sleutels die u wilt genereren. 2. Klik op Toepassen
3. Zodra de nieuwe sleutels zijn gegenereerd, klikt u op de link Klik hier om terug te keren. De sleutels worden geüpload
naar de primaire en verbonden knooppunten.
3.6.2 Handmatig SSH-sleutels genereren en uploaden. Als u een RSA- of DSA-sleutelpaar heeft, kunt u deze ook uploaden naar de primaire en node-consoleservers. Om het sleutelpaar van de openbare en de privésleutel te uploaden naar de primaire consoleserver:
1. Selecteer Systeem > Beheer op de primaire beheerconsole
2. Blader naar de locatie waar u de RSA (of DSA) openbare sleutel hebt opgeslagen en upload deze naar de SSH RSA (DSA) openbare sleutel
3. Blader naar de opgeslagen RSA (of DSA) privésleutel en upload deze naar SSH RSA (DSA) privésleutel 4. Klik op Toepassen
45

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
Vervolgens moet u de openbare sleutel registreren als een geautoriseerde sleutel op het knooppunt. In het geval van één primair knooppunt met meerdere knooppunten, uploadt u voor elk knooppunt één openbare RSA- of DSA-sleutel.
1. Selecteer Systeem > Beheer op de beheerconsole van het knooppunt. 2. Blader naar de opgeslagen RSA (of DSA) openbare sleutel en upload deze naar de SSH-geautoriseerde sleutel van het knooppunt
3. Klik op Toepassen. De volgende stap is het vingerafdrukken van elke nieuwe Node-Primary-verbinding. Deze stap valideert dat u een SSH-sessie tot stand brengt met wie u denkt dat u bent. Bij de eerste verbinding ontvangt het knooppunt een vingerafdruk van het primaire knooppunt dat wordt gebruikt voor alle toekomstige verbindingen: Om de vingerafdruk tot stand te brengen, logt u eerst in op de primaire server als root en brengt u een SSH-verbinding tot stand met de externe host van het knooppunt:
# ssh remhost Zodra de SSH-verbinding tot stand is gebracht, wordt u gevraagd de sleutel te accepteren. Antwoord ja en de vingerafdruk wordt toegevoegd aan de lijst met bekende hosts. Als u wordt gevraagd een wachtwoord op te geven, is er een probleem opgetreden bij het uploaden van de sleutels. 3.6.3 De knooppunten en hun seriële poorten configureren Begin met het instellen van de knooppunten en het configureren van de seriële poorten van het knooppunt vanaf de primaire consoleserver:
1. Selecteer Serieel en netwerk > Gecascadeerde poorten op de primaire beheerconsole: 2. Om clusterondersteuning toe te voegen, selecteert u Knooppunt toevoegen
U kunt pas knooppunten toevoegen als u SSH-sleutels heeft gegenereerd. Een knooppunt definiëren en configureren:
46

Gebruiksaanwijzing
1. Voer het externe IP-adres of de DNS-naam in voor de knooppuntconsoleserver. 2. Voer een korte beschrijving en een kort label in voor het knooppunt. 3. Voer het volledige aantal seriële poorten op de knooppunteenheid in bij Aantal poorten. 4. Klik op Toepassen. Hiermee wordt de SSH-tunnel tot stand gebracht tussen het primaire en het nieuwe knooppunt
In het menu Serieel en netwerk > Gecascadeerde poorten worden alle knooppunten en poortnummers weergegeven die zijn toegewezen aan de primaire poort. Als de primaire consoleserver 16 eigen poorten heeft, worden poorten 1-16 vooraf toegewezen aan de primaire console, zodat het eerste toegevoegde knooppunt poortnummer 17 en hoger krijgt toegewezen. Zodra u alle Node-consoleservers hebt toegevoegd, zijn de seriële poorten van het Node en de aangesloten apparaten configureerbaar en toegankelijk via het Management Console-menu van de Primary en toegankelijk via het IP-adres van de Primary.
1. Selecteer de juiste Serieel en netwerk > Seriële poort en Bewerken om de seriële poorten op de te configureren
Knooppunt.
2. Selecteer het juiste Serieel en netwerk > Gebruikers en groepen om nieuwe gebruikers met toegangsrechten toe te voegen
naar de seriële poorten van het knooppunt (of om de toegangsrechten van bestaande gebruikers uit te breiden).
3. Selecteer het juiste Serieel en netwerk > Vertrouwde netwerken om netwerkadressen op te geven
heeft toegang tot de seriële poorten van genomineerde knooppunten. 4. Selecteer de juiste Waarschuwingen en logboekregistratie > Waarschuwingen om Knooppuntpoortverbinding, Staat te configureren
Changeor Pattern Match-waarschuwingen. De configuratiewijzigingen die op het primaire knooppunt zijn aangebracht, worden doorgevoerd naar alle knooppunten wanneer u op Toepassen klikt.
3.6.4 Knooppunten beheren De Primary heeft controle over de seriële poorten van het knooppunt. Bijvoorbeeldample, als u de toegangsrechten van een gebruiker wijzigt of een seriële poortinstelling op de primaire poort bewerkt, de bijgewerkte configuratie files worden parallel naar elk knooppunt verzonden. Elk knooppunt brengt wijzigingen aan in de lokale configuraties (en brengt alleen wijzigingen aan die betrekking hebben op de specifieke seriële poorten). U kunt de lokale Node Management Console gebruiken om de instellingen op elke seriële poort van een knooppunt te wijzigen (zoals het wijzigen van de baudrates). Deze wijzigingen worden de volgende keer dat de Primary een configuratie verzendt, overschreven file update. Hoewel de Primary de controle heeft over alle functies die verband houden met de seriële poort van het knooppunt, is deze niet primair via de netwerkhostverbindingen van het knooppunt of via het Node Console Server-systeem. Knooppuntfuncties zoals IP-, SMTP- en SNMP-instellingen, datum en tijd en DHCP-server moeten worden beheerd door rechtstreeks toegang te krijgen tot elk knooppunt en deze functies worden niet overschreven wanneer configuratiewijzigingen worden doorgegeven vanuit het primaire knooppunt. De netwerkhost- en IPMI-instellingen van het knooppunt moeten op elk knooppunt worden geconfigureerd.
47

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
De Management Console van de Primary biedt een geconsolideerde view van de instellingen voor zijn eigen en de volledige seriële poorten van het knooppunt. De Primary biedt geen volledig geconsolideerde view. BijvoorbeeldampAls u wilt weten wie er is ingelogd op de gecascadeerde seriële poorten vanaf de primaire poort, ziet u dat Status > Actieve gebruikers alleen de gebruikers weergeeft die actief zijn op de primaire poorten, dus u moet mogelijk aangepaste scripts schrijven om dit te bieden view.
3.7 Omleiding seriële poort (PortShare)
De Port Share-software van Opengear levert de virtuele seriële poorttechnologie die uw Windows- en Linux-applicaties nodig hebben om externe seriële poorten te openen en de gegevens te lezen van seriële apparaten die zijn aangesloten op uw consoleserver.
PortShare wordt gratis bij elke consoleserver geleverd en u hebt een licentie om PortShare op een of meer computers te installeren voor toegang tot elk serieel apparaat dat op een consoleserverpoort is aangesloten. PortShare voor Windows Portshare_setup.exe kan worden gedownload van de ftp-site. Zie de PortShare-gebruikershandleiding en Quick Start voor details over installatie en bediening. PortShare voor Linux Het PortShare-stuurprogramma voor Linux wijst de seriële poort van de consoleserver toe aan een host-try-poort. Opengear heeft de portshare-serial-client uitgebracht als een open source-hulpprogramma voor Linux, AIX, HPUX, SCO, Solaris en UnixWare. Dit hulpprogramma kan worden gedownload van de ftp-site. Met deze PortShare seriële poort-redirector kunt u een serieel apparaat gebruiken dat is aangesloten op de externe consoleserver alsof het is aangesloten op uw lokale seriële poort. De portshare-seriële-client creëert een pseudo-tty-poort, verbindt de seriële applicatie met de pseudo-tty-poort, ontvangt gegevens van de pseudo-tty-poort, verzendt deze via het netwerk naar de consoleserver en ontvangt gegevens van de consoleserver via het netwerk en verzendt deze naar de pseudo-tty-poort. De .tar file kan worden gedownload van de ftp-site. Zie de PortShare-gebruikershandleiding en Quick Start voor details over installatie en bediening.
48

Gebruiksaanwijzing
3.8 beheerde apparaten
Op de pagina Beheerde apparaten wordt een geconsolideerd overzicht weergegeven view van alle verbindingen met een apparaat dat toegankelijk is en kan worden gemonitord via de consoleserver. Naar view de verbindingen met de apparaten, selecteert u Serieel en netwerk > Beheerde apparaten
Dit scherm toont alle beheerde apparaten met hun beschrijving/opmerkingen en lijsten met alle geconfigureerde verbindingen:
· Seriële poort # (indien serieel aangesloten) of · USB (indien USB aangesloten) · IP-adres (indien netwerk aangesloten) · Voedings-PDU/uitgangsgegevens (indien van toepassing) en eventuele UPS-verbindingen Apparaten zoals servers kunnen meer dan één stroomaansluiting hebben (bijv. dubbele voeding) en meer dan één netwerkverbinding (bijv. voor BMC/serviceprocessor). Alle gebruikers kunnen dat view deze beheerde apparaatverbindingen door Beheren > Apparaten te selecteren. Beheerders kunnen deze beheerde apparaten en hun verbindingen ook bewerken en toevoegen/verwijderen. Een bestaand apparaat bewerken en een nieuwe verbinding toevoegen: 1. Selecteer Bewerken in Serieel en netwerk > Beheerde apparaten en klik op Verbinding toevoegen 2. Selecteer het verbindingstype voor de nieuwe verbinding (serieel, netwerkhost, UPS of RPC) en selecteer
de verbinding uit de gepresenteerde lijst met geconfigureerde niet-toegewezen hosts/poorten/uitgangen
49

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
Een nieuw op een netwerk aangesloten beheerd apparaat toevoegen: 1. De beheerder voegt een nieuw op een netwerk aangesloten beheerd apparaat toe met behulp van Host toevoegen in het menu Serieel en netwerk > Netwerkhost. Hierdoor wordt automatisch een bijbehorend nieuw beheerd apparaat gemaakt. 2. Wanneer u een nieuw op het netwerk aangesloten RPC- of UPS-voedingsapparaat toevoegt, stelt u een netwerkhost in en geeft u deze aan als RPC of UPS. Ga naar RPC-verbindingen of UPS-verbindingen om de relevante verbinding te configureren. Het corresponderende nieuwe beheerde apparaat met dezelfde naam/beschrijving als de RPC/UPS-host wordt pas aangemaakt nadat deze verbindingsstap is voltooid.
OPMERKING De namen van de stopcontacten op de nieuw aangemaakte PDU zijn Outlet 1 en Outlet 2. Wanneer u een bepaald beheerd apparaat aansluit dat stroom uit het stopcontact haalt, krijgt het stopcontact de naam van het aangedreven beheerde apparaat.
Om een nieuw serieel aangesloten beheerd apparaat toe te voegen: 1. Configureer de seriële poort via het menu Serieel en netwerk > Seriële poort (zie paragraaf 3.1 Seriële poort configureren) 2. Selecteer Serieel en netwerk > Beheerde apparaten en klik op Apparaat toevoegen 3. Voer een apparaat in Naam en beschrijving voor het beheerde apparaat

4. Klik op Verbinding toevoegen en selecteer Serieel en de poort die verbinding maakt met het beheerde apparaat

5. Om een UPS/RPC-voedingsverbinding, netwerkverbinding of een andere seriële verbinding toe te voegen, klikt u op Verbinding toevoegen

6. Klik op Toepassen

OPMERKING

Om een serieel aangesloten RPC UPS- of EMD-apparaat in te stellen, configureert u de seriële poort, wijst u deze aan als Apparaat en voert u een Naam en Beschrijving in voor dat apparaat in Serieel en netwerk > RPC-verbindingen (of UPS-verbindingen of Omgeving). Hierdoor wordt een bijbehorend nieuw beheerd apparaat gemaakt met dezelfde naam/beschrijving als de RPC/UPS-host. De namen van de stopcontacten op deze nieuw aangemaakte PDU zijn Outlet 1 en Outlet 2. Wanneer u een beheerd apparaat aansluit dat stroom uit het stopcontact haalt, krijgt het stopcontact de naam van het aangedreven beheerde apparaat.

3.9 IPsec-VPN
De ACM7000, CM7100 en IM7200 bevatten Openswan, een Linux-implementatie van de IPsec-protocollen (IP Security), die kan worden gebruikt om een Virtual Private Network (VPN) te configureren. Dankzij de VPN hebben meerdere locaties of externe beheerders veilig toegang tot de consoleserver en beheerde apparaten via internet.

Gebruiksaanwijzing
De beheerder kan gecodeerde, geverifieerde VPN-verbindingen tot stand brengen tussen consoleservers die op externe locaties zijn gedistribueerd en een VPN-gateway (zoals een Cisco-router met IOS IPsec) op het centrale kantoornetwerk:
· Gebruikers op het centrale kantoor hebben veilig toegang tot de externe consoleservers en aangesloten seriële consoleapparaten en machines op het Management LAN-subnet op de externe locatie, alsof ze lokaal zijn
· Al deze externe consoleservers kunnen worden gemonitord met een CMS6000 op het centrale netwerk · Met seriële overbrugging kunnen seriële gegevens van de controller op de centrale kantoormachine veilig worden verzonden
verbonden met de serieel bestuurde apparaten op de externe locaties. De road warrior-beheerder kan een VPN IPsec-softwareclient gebruiken om op afstand toegang te krijgen tot de consoleserver en elke machine op het Management LAN-subnet op de externe locatie
De configuratie van IPsec is behoorlijk complex, dus Opengear biedt een GUI-interface voor de basisinstallatie, zoals hieronder beschreven. Om de VPN-gateway in te schakelen:
1. Selecteer IPsec VPN in het menu Serieel en netwerken
2. Klik op Toevoegen en voltooi het scherm IPsec-tunnel toevoegen 3. Voer een beschrijvende naam in waarmee u de IPsec-tunnel die u toevoegt wilt identificeren, zoals
WestStOutlet-VPN
51

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
4. Selecteer de authenticatiemethode die u wilt gebruiken: digitale RSA-handtekeningen of een gedeeld geheim (PSK). o Als u RSA selecteert, wordt u gevraagd hier te klikken om sleutels te genereren. Dit genereert een openbare RSA-sleutel voor de consoleserver (de linker openbare sleutel). Zoek de sleutel die op de externe gateway moet worden gebruikt, knip en plak deze in de juiste openbare sleutel
o Als u Gedeeld geheim selecteert, voert u een vooraf gedeeld geheim (PSK) in. De PSK moet overeenkomen met de PSK die aan het andere uiteinde van de tunnel is geconfigureerd
5. Selecteer in Authenticatieprotocol het te gebruiken authenticatieprotocol. Authenticeer als onderdeel van ESP-codering (Encapsulated Security Payload) of afzonderlijk met behulp van het AH-protocol (Authentication Header).
52

Gebruiksaanwijzing
6. Voer een Links-ID en Rechts-ID in. Dit is de identificatie die de lokale host/gateway en de externe host/gateway gebruiken voor IPsec-onderhandeling en -authenticatie. Elke ID moet een @ bevatten en kan een volledig gekwalificeerde domeinnaam bevatten (bijvoorbeeld left@example.com)
7. Voer het openbare IP- of DNS-adres van deze Opengear VPN-gateway in als het linkeradres. U kunt dit leeg laten om de interface van de standaardroute te gebruiken
8. Voer bij Right Address het openbare IP- of DNS-adres van het externe uiteinde van de tunnel in (alleen als het externe uiteinde een statisch of DynDNS-adres heeft). Laat dit anders leeg
9. Als de Opengear VPN-gateway dient als een VPN-gateway voor een lokaal subnet (de consoleserver heeft bijvoorbeeld een Management LAN geconfigureerd), voer dan de details van het privé-subnet in Left Subnet in. Gebruik de CIDR-notatie (waarbij het IP-adresnummer wordt gevolgd door een schuine streep en het aantal 'één' bits in de binaire notatie van het netmasker). Bijvoorbeeldample, 192.168.0.0/24 geeft een IP-adres aan waarbij de eerste 24 bits worden gebruikt als netwerkadres. Dit is hetzelfde als 255.255.255.0. Als de VPN-toegang alleen geldt voor de consoleserver en de aangesloten seriële consoleapparaten, laat u Left Subnet leeg
10. Als er een VPN-gateway aan de externe kant is, voert u de privé-subnetgegevens in Right Subnet in. Gebruik de CIDR-notatie en laat dit leeg als er alleen een externe host is
11. Selecteer Tunnel initiëren als de tunnelverbinding moet worden geïnitieerd vanaf het uiteinde van de linkerconsoleserver. Dit kan alleen worden geïnitieerd vanaf de VPN-gateway (links) als het externe uiteinde is geconfigureerd met een statisch (of DynDNS) IP-adres
12. Klik op Toepassen om de wijzigingen op te slaan
OPMERKING Configuratiegegevens die zijn ingesteld op de consoleserver (ook wel de linker- of lokale host genoemd) moeten overeenkomen met de instellingen die zijn ingevoerd bij het configureren van de externe (rechter) host/gateway of softwareclient. Zie http://www.opengear.com/faq.html voor details over het configureren van deze externe einden
3.10 OpenVPN
De ACM7000, CM7100 en IM7200 met firmware V3.2 en hoger bevatten OpenVPN. OpenVPN gebruikt de OpenSSL-bibliotheek voor codering, authenticatie en certificering, wat betekent dat het SSL/TSL (Secure Socket Layer/Transport Layer Security) gebruikt voor sleuteluitwisseling en zowel gegevens als controlekanalen kan coderen. Het gebruik van OpenVPN maakt het bouwen van platformonafhankelijke, point-to-point VPN's mogelijk met behulp van X.509 PKI (Public Key Infrastructure) of aangepaste configuratie fileS. OpenVPN maakt veilige tunneling van gegevens via een enkele TCP/UDP-poort over een onbeveiligd netwerk mogelijk, waardoor veilige toegang tot meerdere sites en veilig beheer op afstand naar een consoleserver via internet wordt geboden. OpenVPN maakt ook het gebruik van dynamische IP-adressen door zowel de server als de client mogelijk, waardoor clientmobiliteit wordt geboden. Bijvoorbeeldample kan een OpenVPN-tunnel tot stand worden gebracht tussen een roaming Windows-client en een Opengear-consoleserver binnen een datacenter. De configuratie van OpenVPN kan complex zijn, daarom biedt Opengear een GUI-interface voor de basisinstallatie, zoals hieronder beschreven. Meer gedetailleerde informatie is beschikbaar op http://www.openvpn.net
3.10.1 OpenVPN inschakelen 1. Selecteer OpenVPN in het menu Serieel en netwerken
53

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
2. Klik op Toevoegen en voltooi het scherm OpenVPN-tunnel toevoegen. 3. Voer een beschrijvende naam in waarmee u de OpenVPN-tunnel die u toevoegt wilt identificeren, bijvoorbeeldample
NorthStOutlet-VPN
4. Selecteer de authenticatiemethode die u wilt gebruiken. Om te verifiëren met behulp van certificaten selecteert u PKI (X.509-certificaten) of selecteert u Aangepaste configuratie om aangepaste configuratie te uploaden fileS. Aangepaste configuraties moeten worden opgeslagen in /etc/config.
OPMERKING Als u PKI selecteert, stel dan het volgende in: Afzonderlijk certificaat (ook bekend als een openbare sleutel). Dit certificaat File is een *.crt file typ een privésleutel voor de server en elke client. Deze privésleutel File is een *.sleutel file type
Certificaat en sleutel van de primaire certificeringsinstantie (CA) die worden gebruikt om elk van de servers te ondertekenen
enclientcertificaten. Dit Root CA-certificaat is een *.crt file type Voor een server heeft u mogelijk ook dh1024.pem nodig (Diffie Hellman-parameters). Zie http://openvpn.net/easyrsa.html voor een handleiding voor het basisbeheer van RSA-sleutels. Voor alternatieve authenticatiemethoden zie http://openvpn.net/index.php/documentation/howto.html#auth.
5. Selecteer het te gebruiken apparaatstuurprogramma, Tun-IP of Tap-Ethernet. De stuurprogramma's TUN (netwerktunnel) en TAP (netwerktap) zijn virtuele netwerkstuurprogramma's die respectievelijk IP-tunneling en Ethernet-tunneling ondersteunen. TUN en TAP maken deel uit van de Linux-kernel.
6. Selecteer UDP of TCP als protocol. UDP is het standaard- en voorkeursprotocol voor OpenVPN. 7. Schakel de knop Compressie in of uit om compressie in of uit te schakelen. 8. Geef in de tunnelmodus aan of dit het client- of servereinde van de tunnel is. Wanneer u draait als
een server, ondersteunt de consoleserver meerdere clients die via dezelfde poort verbinding maken met de VPN-server.
54

Gebruiksaanwijzing
3.10.2 Configureren als server of client
1. Vul de clientgegevens of servergegevens in, afhankelijk van de geselecteerde tunnelmodus. o Als Client is geselecteerd, is het primaire serveradres het adres van de OpenVPN-server. o Als Server is geselecteerd, voert u het IP Pool Network-adres en het IP Pool Network-masker voor de IP Pool in. Het netwerk dat is gedefinieerd door het IP-poolnetwerkadres/-masker wordt gebruikt om de adressen te leveren voor het verbinden van clients.
2. Klik op Toepassen om de wijzigingen op te slaan
55

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
3. Om authenticatiecertificaten in te voeren en files selecteert u OpenVPN beheren Files tabblad. Upload of blader naar relevante authenticatiecertificaten en files.
4. Toepassen om wijzigingen op te slaan. Opgeslagen files worden in het rood weergegeven aan de rechterkant van de knop Uploaden.
5. Om OpenVPN in te schakelen, bewerkt u de OpenVPN-tunnel
56

Gebruiksaanwijzing
6. Controleer de knop Ingeschakeld. 7. Toepassen om wijzigingen op te slaan OPMERKING Zorg ervoor dat de systeemtijd van de consoleserver correct is wanneer u met OpenVPN werkt om dit te voorkomen
authenticatie problemen.
8. Selecteer Statistieken in het Statusmenu om te verifiëren dat de tunnel operationeel is.
57

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
3.10.3 Installatie van Windows OpenVPN Client en Server In dit gedeelte wordt de installatie en configuratie beschreven van een Windows OpenVPN-client of een Windows OpenVPN-server en het instellen van een VPN-verbinding met een consoleserver. Consoleservers genereren automatisch Windows-clientconfiguratie vanuit de GUI voor vooraf gedeeld geheim (statische sleutel File) configuraties.
Als alternatief kan OpenVPN GUI voor Windows-software (die het standaard OpenVPN-pakket plus een Windows GUI bevat) worden gedownload van http://openvpn.net. Eenmaal geïnstalleerd op de Windows-machine, wordt een OpenVPN-pictogram toegevoegd aan het systeemvak aan de rechterkant van de taakbalk. Klik met de rechtermuisknop op dit pictogram om VPN-verbindingen te starten en te stoppen, configuraties te bewerken en view logboeken.
Wanneer de OpenVPN-software begint te draaien, verschijnt het bestand C:Program FilesOpenVPNconfig-map wordt gescand op .opvn fileS. Deze map wordt opnieuw gecontroleerd op nieuwe configuratie files wanneer er met de rechtermuisknop op het OpenVPN GUI-pictogram wordt geklikt. Nadat OpenVPN is geïnstalleerd, maakt u een configuratie file:
58

Gebruiksaanwijzing

Maak met een teksteditor een xxxx.ovpn file en opslaan in C:Programma FilesOpenVPNconfig. Bijvoorbeeldample, C: Programma FilesOpenVPNconfigclient.ovpn
een exampbestand van een OpenVPN Windows-clientconfiguratie file wordt hieronder weergegeven:
# beschrijving: IM4216_client client proto udp werkwoord 3 dev tun remote 192.168.250.152 poort 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt sleutel c:\openvpnkeys\client.key nobind persistent-key persistent- tun comp-lzo
een exampbestand van een OpenVPN Windows Server-configuratie file wordt hieronder weergegeven:
server 10.100.10.0 255.255.255.0 poort 1194 keepalive 10 120 proto udp mssfix 1400 persistent-key persistent-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt sleutel c:\openvpnkeys\server. sleutel dh c:\openvpnkeys\dh.pem comp-lzo werkwoord 1 syslog IM4216_OpenVPN_Server
De Windows-client/server-configuratie file opties zijn:

Opties #description: Clientserver proto udp proto tcp mssfix werkwoord
ontwikkelaar tun ontwikkelaar tik

Beschrijving Dit is een opmerking die de configuratie beschrijft. Commentaarregels beginnen met `#' en worden genegeerd door OpenVPN. Geef op of dit een client- of serverconfiguratie is file. In de serverconfiguratie file, definieer de IP-adrespool en het netmasker. Bijvoorbeeldample, server 10.100.10.0 255.255.255.0 Stel het protocol in op UDP of TCP. De client en server moeten dezelfde instellingen gebruiken. Mssfix stelt de maximale grootte van het pakket in. Dit is alleen nuttig voor UDP als er problemen optreden.
Logboek instellen file breedsprakigheid niveau. Het log-breedsprakigheidsniveau kan worden ingesteld van 0 (minimum) tot 15 (maximum). Bijvoorbeeldample, 0 = stil behalve voor fatale fouten 3 = gemiddelde output, goed voor algemeen gebruik 5 = helpt bij het opsporen van verbindingsproblemen 9 = uitgebreid, uitstekend voor het oplossen van problemen Selecteer `dev tun' om een gerouteerde IP-tunnel te maken of `dev tap' om te maken een Ethernet-tunnel. De client en server moeten dezelfde instellingen gebruiken.

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie

op afstand Haven Keepalive
http-proxy cafile naam>
certfile naam>
sleutelfile naam>
dhfile naam> Nobind persistent-key persistent-tun cipher BF-CBC Blowfish (standaard) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

De hostnaam/IP van de OpenVPN-server bij gebruik als client. Voer de DNS-hostnaam of het statische IP-adres van de server in. De UDP/TCP-poort van de server. Keepalive gebruikt ping om de OpenVPN-sessie levend te houden. 'Keepalive 10 120′ pingt elke 10 seconden en gaat ervan uit dat de externe peer niet beschikbaar is als er gedurende een periode van 120 seconden geen ping is ontvangen. Als er een proxy nodig is om toegang te krijgen tot de server, voer dan de DNS-naam of het IP-adres van de proxyserver en het poortnummer in. Voer het CA-certificaat in file naam en locatie. Hetzelfde CA-certificaat file kan worden gebruikt door de server en alle clients. Opmerking: zorg ervoor dat elke `' in het mappad wordt vervangen door ` \'. Bijvoorbeeldample, c:openvpnkeysca.crt wordt c:\openvpnkeys\ca.crt Voer het certificaat van de client of server in file naam en locatie. Elke client moet zijn eigen certificaat en sleutel hebben fileS. Opmerking: zorg ervoor dat elke `' in het mappad wordt vervangen door ` \'. Voer de file naam en locatie van de sleutel van de client of server. Elke client moet zijn eigen certificaat en sleutel hebben fileS. Opmerking: zorg ervoor dat elke `' in het mappad wordt vervangen door ` \'. Dit wordt alleen door de server gebruikt. Voer het pad naar de sleutel in met de Diffie-Hellman-parameters. `Nobind' wordt gebruikt wanneer clients zich niet aan een lokaal adres of specifiek lokaal poortnummer hoeven te binden. Dit is het geval bij de meeste clientconfiguraties. Deze optie voorkomt het herladen van sleutels bij opnieuw opstarten. Deze optie voorkomt het sluiten en opnieuw openen van TUN/TAP-apparaten na opnieuw opstarten. Selecteer een cryptografisch cijfer. De client en server moeten dezelfde instellingen gebruiken.
Schakel compressie in op de OpenVPN-link. Dit moet zowel op de client als op de server zijn ingeschakeld. Logboeken bevinden zich standaard in syslog of, als ze als service in Windows worden uitgevoerd, in Program FilesOpenVPNlog-map.

Om de OpenVPN-tunnel te initiëren na het maken van de client/server-configuratie files: 1. Klik met de rechtermuisknop op het OpenVPN-pictogram in het systeemvak. 2. Selecteer de nieuw gemaakte client- of serverconfiguratie. 3. Klik op Verbinden

4. Het logboek file wordt weergegeven zodra de verbinding tot stand is gebracht
60

Gebruiksaanwijzing
5. Eenmaal tot stand gebracht, geeft het OpenVPN-pictogram een bericht weer dat een succesvolle verbinding en toegewezen IP aangeeft. Deze informatie, evenals het tijdstip waarop de verbinding tot stand is gebracht, is beschikbaar door over het OpenVPN-pictogram te scrollen.
3.11 PPTP-VPN
Consoleservers bevatten een PPTP-server (Point-to-Point Tunneling Protocol). PPTP wordt gebruikt voor communicatie via een fysieke of virtuele seriële link. De PPP-eindpunten definiëren voor zichzelf een virtueel IP-adres. Met deze IP-adressen als gateway kunnen routes naar netwerken worden gedefinieerd, waardoor verkeer door de tunnel wordt gestuurd. PPTP brengt een tunnel tot stand tussen de fysieke PPP-eindpunten en transporteert gegevens veilig door de tunnel.
De kracht van PPTP is het gemak van configuratie en integratie in de bestaande Microsoft-infrastructuur. Het wordt over het algemeen gebruikt voor het verbinden van afzonderlijke externe Windows-clients. Als u uw draagbare computer meeneemt op zakenreis, kunt u een lokaal nummer bellen om verbinding te maken met uw internetprovider (ISP) en een tweede verbinding (tunnel) maken met uw kantoornetwerk via internet, zodat u dezelfde toegang krijgt tot uw bedrijfsnetwerk alsof u rechtstreeks vanuit uw kantoor verbonden bent. Telewerkers kunnen ook een VPN-tunnel opzetten via hun kabelmodem of DSL-verbindingen met hun lokale ISP.
61

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
Om een PPTP-verbinding in te stellen vanaf een externe Windows-client naar uw Opengear-apparaat en lokaal netwerk:
1. Schakel de PPTP VPN-server in en configureer deze op uw Opengear-apparaat 2. Stel VPN-gebruikersaccounts in op het Opengear-apparaat en schakel de juiste
authenticatie 3. Configureer de VPN-clients op de externe locaties. De klant heeft geen speciale software nodig
de PPTP-server ondersteunt de standaard PPTP-clientsoftware die wordt meegeleverd met Windows NT en hoger 4. Verbinding maken met de externe VPN 3.11.1 De PPTP VPN-server inschakelen 1. Selecteer PPTP VPN in het menu Serieel en netwerken
2. Schakel het selectievakje Inschakelen in om de PPTP-server in te schakelen. 3. Selecteer de minimaal vereiste verificatie. Toegang wordt geweigerd aan externe gebruikers die dit proberen
verbinding maken met behulp van een authenticatieschema dat zwakker is dan het geselecteerde schema. De schema's worden hieronder beschreven, van de sterkste naar de zwakste. · Gecodeerde authenticatie (MS-CHAP v2): het sterkste type authenticatie om te gebruiken; dit is
de aanbevolen optie · Zwak gecodeerde authenticatie (CHAP): dit is het zwakste type gecodeerd wachtwoord
authenticatie te gebruiken. Het wordt niet aanbevolen dat clients hiermee verbinding maken, omdat het zeer weinig wachtwoordbeveiliging biedt. Houd er ook rekening mee dat clients die verbinding maken via CHAP het verkeer niet kunnen coderen
62

Gebruiksaanwijzing
· Niet-gecodeerde authenticatie (PAP): Dit is wachtwoordauthenticatie in platte tekst. Bij gebruik van dit type authenticatie wordt het clientwachtwoord onversleuteld verzonden.
· Geen 4. Selecteer het vereiste coderingsniveau. Toegang wordt geweigerd aan externe gebruikers die proberen verbinding te maken
die dit coderingsniveau niet gebruiken. 5. Voer bij Lokaal adres het IP-adres in dat u wilt toewijzen aan het serveruiteinde van de VPN-verbinding. 6. Voer bij Externe adressen de verzameling IP-adressen in die u wilt toewijzen aan de VPN van de inkomende client
aansluitingen (bijv. 192.168.1.10-20). Dit moet een vrij IP-adres zijn of een reeks adressen van het netwerk waaraan externe gebruikers zijn toegewezen terwijl ze zijn verbonden met het Opengear-apparaat. 7. Voer de gewenste waarde van de Maximum Transmission Unit (MTU) voor de PPTP-interfaces in het MTU-veld in (standaard is dit 1400) 8. Voer in het veld DNS-server het IP-adres in van de DNS-server die IP-adressen toewijst aan verbindende PPTP-clients. 9. Voer in het veld WINS-server het IP-adres in van de WINS-server die IP-adressen toewijst aan verbindende PPTP-clients 10. Schakel uitgebreide logboekregistratie in om te helpen bij het oplossen van verbindingsproblemen. 11. Klik op Instellingen toepassen. 3.11.2 Voeg een PPTP-gebruiker toe 1. Selecteer Gebruikers en groepen in het menu Serieel en netwerken en vul de velden in zoals beschreven in paragraaf 3.2. 2. Zorg ervoor dat de pptpd-groep is aangevinkt om toegang tot de PPTP VPN-server mogelijk te maken. Let op: van gebruikers in deze groep zijn hun wachtwoorden in leesbare tekst opgeslagen. 3. Noteer de gebruikersnaam en het wachtwoord voor wanneer u verbinding moet maken met de VPN-verbinding. 4. Klik op Toepassen
63

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
3.11.3 Een externe PPTP-client instellen Zorg ervoor dat de externe VPN-client-pc een internetverbinding heeft. Om een VPN-verbinding via internet tot stand te brengen, moet u twee netwerkverbindingen instellen. Eén verbinding is voor de ISP en de andere verbinding is voor de VPN-tunnel naar het Opengear-apparaat. OPMERKING Met deze procedure wordt een PPTP-client ingesteld in het Windows Professional-besturingssysteem. De stappen
kan enigszins variëren, afhankelijk van uw netwerktoegang of als u een alternatieve versie van Windows gebruikt. Meer gedetailleerde instructies zijn verkrijgbaar bij Microsoft web plaats. 1. Meld u aan bij uw Windows-client met beheerdersrechten 2. Selecteer vanuit het Netwerkcentrum op het Configuratiescherm Netwerkverbindingen en maak een nieuwe verbinding
64

Gebruiksaanwijzing
3. Selecteer Mijn internetverbinding (VPN) gebruiken en voer het IP-adres van het Opengear-apparaat in. Om externe VPN-clients met het lokale netwerk te verbinden, moet u de gebruikersnaam en het wachtwoord weten voor het PPTP-account dat u hebt toegevoegd, evenals het internet-IP-adres. adres van het Opengear-apparaat. Als uw internetprovider u geen statisch IP-adres heeft toegewezen, kunt u overwegen een dynamische DNS-service te gebruiken. Anders moet u de PPTP-clientconfiguratie wijzigen telkens wanneer uw internet-IP-adres verandert.
65

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie

3.12 Bel naar huis
Alle consoleservers bevatten de Call Home-functie die de installatie van een veilige SSH-tunnel van de consoleserver naar een gecentraliseerde Opengear Lighthouse initieert. De consoleserver registreert zich als kandidaat op de Lighthouse. Eenmaal daar geaccepteerd, wordt het een Managed Console Server.
Lighthouse bewaakt de Managed Console Server en beheerders hebben via Lighthouse toegang tot de externe Managed Console Server. Deze toegang is zelfs beschikbaar als de externe consoleserver zich achter een firewall van derden bevindt of een privé, niet-routeerbaar IP-adres heeft.

OPMERKING

Lighthouse onderhoudt met een openbare sleutel geverifieerde SSH-verbindingen met elk van zijn beheerde consoleservers. Deze verbindingen worden gebruikt voor het monitoren, aansturen en benaderen van de Managed Console Servers en de beheerde apparaten die zijn aangesloten op de Managed Console Server.

Voor het beheren van lokale consoleservers, of consoleservers die bereikbaar zijn vanaf Lighthouse, worden de SSH-verbindingen geïnitieerd door Lighthouse.

Om Remote Console Servers, of consoleservers die een firewall hebben, niet routeerbaar of anderszins onbereikbaar zijn vanaf de Lighthouse, te beheren, worden de SSH-verbindingen geïnitieerd door de Managed ConsoleServer via een initiële Call Home-verbinding.

Dit zorgt voor veilige, geverifieerde communicatie en maakt het mogelijk dat Managed Console Servers-eenheden lokaal op een LAN of op afstand over de hele wereld worden gedistribueerd.

3.12.1 Call Home-kandidaat instellen Om de consoleserver in te stellen als Call Home-beheerkandidaat op de Lighthouse:
1. Selecteer Naar huis bellen in het menu Serieel en netwerk

2. Als u nog geen SSH-sleutelpaar voor deze consoleserver heeft gegenereerd of geüpload, doe dit dan voordat u doorgaat
3. Klik op Toevoegen

4. Voer het IP-adres of de DNS-naam (bijvoorbeeld het dynamische DNS-adres) van de Lighthouse in.
5. Voer het wachtwoord in dat u op de CMS hebt geconfigureerd als Call Home-wachtwoord.
66

Gebruiksaanwijzing
6. Klik op Toepassen. Deze stappen brengen de Call Home-verbinding tot stand tussen de consoleserver en de Lighthouse. Hierdoor wordt een SSHlistening-poort op de Lighthouse gecreëerd en wordt de consoleserver als kandidaat ingesteld.
Zodra de kandidaat is geaccepteerd op de Lighthouse, wordt een SSH-tunnel naar de consoleserver teruggeleid via de Call Home-verbinding. De consoleserver is een Managed Console Server geworden en de Lighthouse kan er via deze tunnel verbinding mee maken en deze monitoren. 3.12.2 Call Home-kandidaat accepteren als Managed Console Server op Lighthouse Deze sectie geeft een overzichtview over het configureren van Lighthouse voor het monitoren van Lighthouse-consoleservers die zijn verbonden via Call Home. Voor meer details, zie de Lighthouse-gebruikershandleiding:
1. Voer een nieuw Call Home-wachtwoord in op de vuurtoren. Dit wachtwoord wordt gebruikt voor acceptatie
Bel Homeconnections vanaf kandidaat-consoleservers
2. Er kan contact worden opgenomen met de Lighthouse via de consoleserver. Deze moet een statisch IP-adres hebben
adres of, als u DHCP gebruikt, geconfigureerd worden om een dynamische DNS-service te gebruiken
Het scherm Configureren > Beheerde consoleservers op de Lighthouse toont de status van
lokale en externe beheerde consoleservers en kandidaten.
In het gedeelte Beheerde consoleservers worden de consoleservers weergegeven die worden gecontroleerd door de
Lighthouse.Het gedeelte Gedetecteerde consoleservers bevat:
o De vervolgkeuzelijst Lokale consoleservers waarin alle consoleservers worden vermeld die zich op de server bevinden
hetzelfde subnet als de Lighthouse en worden niet gecontroleerd
67

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
o De vervolgkeuzelijst Remote Console Servers waarin alle consoleservers worden vermeld die een Call Home-verbinding tot stand hebben gebracht en die niet worden gemonitord (dwz kandidaten). U kunt op Vernieuwen klikken om bij te werken
Als u een consoleserverkandidaat aan de lijst met beheerde consoleservers wilt toevoegen, selecteert u deze in de vervolgkeuzelijst Remote Console Servers en klikt u op Toevoegen. Voer het IP-adres en de SSH-poort in (als deze velden niet automatisch zijn ingevuld) en voer een Beschrijving en unieke Naam in voor de Managed Console-server die u toevoegt
Voer het Remote Root-wachtwoord in (dat wil zeggen het systeemwachtwoord dat is ingesteld op deze beheerde consoleserver). Dit wachtwoord wordt door Lighthouse gebruikt om automatisch gegenereerde SSH-sleutels door te geven en wordt niet opgeslagen. Klik op Toepassen. De Lighthouse zet beveiligde SSH-verbindingen op van en naar de Managed Console Server en haalt de beheerde apparaten, gebruikersaccountgegevens en geconfigureerde waarschuwingen op. 3.12.3 Naar huis bellen naar een generieke centrale SSH-server Als u verbinding maakt met een generieke SSH-server (niet Lighthouse) u kunt geavanceerde instellingen configureren: · Voer de SSH-serverpoort en SSH-gebruiker in. · Voer de gegevens in voor de SSH-poortdoorsturing(en) die u wilt maken
Door Listening Server te selecteren, kunt u een externe poort doorsturen van de server naar dit toestel, of een lokale poort doorsturen van dit toestel naar de server:
68

Gebruiksaanwijzing
· Specificeer een luisterpoort waarvandaan moet worden doorgestuurd, laat dit veld leeg om een ongebruikte poort toe te wijzen · Voer de doelserver en doelpoort in die de ontvanger van doorgestuurde verbindingen zullen zijn
3.13 IP-doorvoer
IP Passthrough wordt gebruikt om een modemverbinding (bijvoorbeeld het interne mobiele modem) te laten lijken op een gewone Ethernet-verbinding met een downstream-router van een derde partij, waardoor de downstream-router de modemverbinding kan gebruiken als primaire of back-up WAN-interface.
Het Opengear-apparaat levert het IP-adres van de modem en DNS-gegevens via DHCP aan het downstream-apparaat en geeft netwerkverkeer door van en naar de modem en router.
Terwijl IP Passthrough een Opengear verandert in een modem-naar-Ethernet halve brug, kunnen sommige laag 4-services (HTTP/HTTPS/SSH) worden beëindigd bij de Opengear (Service Intercepts). Bovendien kunnen services die op de Opengear draaien, uitgaande mobiele verbindingen tot stand brengen, onafhankelijk van de downstream-router.
Hierdoor kan de Opengear worden gebruikt voor out-of-band beheer en waarschuwingen en ook worden beheerd via Lighthouse, terwijl hij zich in de IP Passthrough-modus bevindt.
3.13.1 Downstream-router instellen Om failover-connectiviteit op de downstream-router (ook wel Failover to Cellular of F2C) te gebruiken, moet deze over twee of meer WAN-interfaces beschikken.
OPMERKING Failover in de IP-passthrough-context wordt uitgevoerd door de downstream-router, en de ingebouwde out-of-band failover-logica op de Opengear is niet beschikbaar in de IP-passthrough-modus.
Sluit een Ethernet WAN-interface op de downstream-router aan op de Network Interface of Management LAN-poort van de Opengear met een Ethernet-kabel.
Configureer deze interface op de downstream-router om de netwerkinstellingen via DHCP te ontvangen. Als failover vereist is, configureert u de downstream-router voor failover tussen de primaire interface en de Ethernet-poort die is aangesloten op de Opengear.
3.13.2 Pre-configuratie van IP-passthrough De vereiste stappen om IP-passthrough in te schakelen zijn:
1. Configureer de netwerkinterface en, indien van toepassing, de beheer-LAN-interfaces met statische netwerkinstellingen. · Klik op Serieel en netwerk > IP. · Voor Netwerkinterface en waar van toepassing Management LAN selecteert u Statisch als Configuratiemethode en voert u de netwerkinstellingen in (zie het gedeelte Netwerkconfiguratie voor gedetailleerde instructies). · Voor de interface die is aangesloten op de downstream-router kunt u elk speciaal privénetwerk kiezen. Dit netwerk bestaat alleen tussen de Opengear en de downstream-router en is normaal gesproken niet toegankelijk. · Voor de andere interface configureert u deze zoals u dat normaal zou doen op het lokale netwerk. · Laat voor beide interfaces Gateway leeg.
2. Configureer de modem in Always On Out-of-band-modus.
69

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
· Voor een mobiele verbinding klikt u op Systeem > Bellen: Intern mobiel modem. · Selecteer Uitbellen inschakelen en voer providergegevens in, zoals APN (zie sectie Mobiel modem
Aansluiting voor gedetailleerde instructies). 3.13.3 IP-passthrough-configuratie IP-passthrough configureren:
· Klik op Serieel en netwerk > IP-doorvoer en vink Inschakelen aan. · Selecteer de Opengear-modem die u wilt gebruiken voor upstream-connectiviteit. · Voer eventueel het MAC-adres van de aangesloten interface van de downstream-router in. Als het MAC-adres is
niet gespecificeerd, zal de Opengear doorgaan naar het eerste downstream-apparaat dat om een DHCP-adres vraagt. · Selecteer de Opengear Ethernet-interface die u wilt gebruiken voor connectiviteit met de downstream-router.
· Klik op Toepassen. 3.13.4 Service-onderscheppingen Hiermee kan Opengear bijvoorbeeld services blijven leverenample, voor out-of-band beheer in de IP Passthrough-modus. Verbindingen met het modemadres op de gespecificeerde onderscheppingspoort(en) worden afgehandeld door de Opengear in plaats van te worden doorgegeven aan de downstream-router.
· Voor de vereiste service van HTTP, HTTPS of SSH, vink Enable aan. · Wijzig optioneel de Intercept Port naar een alternatieve poort (bijvoorbeeld 8443 voor HTTPS), dit is handig als u
willen blijven toestaan dat de downstream-router toegankelijk blijft via de reguliere poort. 3.13.5 IP Passthrough Status Vernieuw de pagina naar view het Statusgedeelte. Het toont het externe IP-adres van de modem dat wordt doorgegeven, het interne MAC-adres van de downstream-router (wordt alleen ingevuld als de downstream-router de DHCP-lease accepteert) en de algemene status van de IP Passthrough-service. U kunt op de hoogte worden gesteld van de failoverstatus van de downstream-router door een Controle van het gebruik van gerouteerde gegevens te configureren onder Waarschuwingen en logboekregistratie > Auto-response. 3.13.6 Voorbehoud Sommige downstream-routers zijn mogelijk incompatibel met de gatewayroute. Dit kan gebeuren wanneer IP Passthrough een 3G mobiel netwerk overbrugt waarbij het gateway-adres een point-to-point bestemmingsadres is en er geen subnetinformatie beschikbaar is. De Opengear verzendt een DHCP-netmasker van 255.255.255.255. Apparaten interpreteren dit normaal gesproken als een enkele hostroute op de interface, maar sommige oudere downstream-apparaten kunnen problemen ondervinden.
70

Gebruiksaanwijzing
Onderscheppingen voor lokale services werken niet als de Opengear een andere standaardroute dan de modem gebruikt. Ze zullen ook niet werken tenzij de service is ingeschakeld en de toegang tot de service is ingeschakeld (zie Systeem > Services, op het tabblad Servicetoegang vindt u Dialout/Cellular).
Uitgaande verbindingen afkomstig van Opengear met externe services worden ondersteund (bijvoorbeeld het verzenden van SMTP-e-mailwaarschuwingen, SNMP-traps, het verkrijgen van NTP-tijd, IPSec-tunnels). Er is een klein risico op een verbindingsfout als zowel de Opengear als het downstream-apparaat tegelijkertijd proberen toegang te krijgen tot dezelfde UDP- of TCP-poort op dezelfde externe host, terwijl ze willekeurig hetzelfde oorspronkelijke lokale poortnummer hebben gekozen.
3.14 Configuratie via DHCP (ZTP)
Opengear-apparaten kunnen worden ingericht tijdens de eerste keer opstarten vanaf een DHCPv4- of DHCPv6-server met behulp van config-over-DHCP. Provisioning op niet-vertrouwde netwerken kan worden vergemakkelijkt door sleutels op een USB-flashstation aan te bieden. De ZTP-functionaliteit kan ook worden gebruikt om een firmware-upgrade uit te voeren bij de eerste verbinding met het netwerk, of om u in te schrijven voor een Lighthouse 5-instantie.
Voorbereiding De typische stappen voor configuratie via een vertrouwd netwerk zijn:
1. Configureer een Opengear-apparaat van hetzelfde model. 2. Sla de configuratie op als een Opengear-back-up (.opg) file. 3. Selecteer Systeem > Configuratieback-up > Externe back-up. 4. Klik op Back-up opslaan. Een back-upconfiguratie file — modelnaam_iso-format-date_config.opg — wordt gedownload van het Opengear-apparaat naar het lokale systeem. U kunt de configuratie opslaan als xml file: 1. Selecteer Systeem > Configuratieback-up > XML-configuratie. Een bewerkbaar veld met de
configuratie file in XML-formaat verschijnt. 2. Klik in het veld om het actief te maken. 3. Als u een browser op Windows of Linux gebruikt, klikt u met de rechtermuisknop en kiest u Alles selecteren in het venster
contextueel menu of druk op Control-A. Klik met de rechtermuisknop en kies Kopiëren in het contextmenu of druk op Control-C. 4. Als u een browser op macOS gebruikt, kiest u Bewerken > Alles selecteren of drukt u op Command-A. Kies Bewerken > Kopiëren of druk op Command-C. 5. Maak in uw favoriete teksteditor een nieuw leeg document, plak de gekopieerde gegevens in het lege document en sla de file. Wat dan ook file-naam die u kiest, deze moet de .xml bevatten fileachtervoegsel naam. 6. Kopieer het opgeslagen .opg- of .xml-bestand file naar een openbare map op a file server die ten minste een van de volgende protocollen bedient: HTTPS, HTTP, FTP of TFTP. (Alleen HTTPS kan worden gebruikt als de verbinding tussen de file server en een te configureren Opengear-apparaat reist via een niet-vertrouwd netwerk.). 7. Configureer uw DHCP-server zo dat deze een 'leveranciersspecifieke' optie bevat voor Opengear-apparaten. (Dit gebeurt op een DHCP-serverspecifieke manier.) De leverancierspecifieke optie moet worden ingesteld op een tekenreeks die de URL van de gepubliceerde .opg of .xml file in de stap hierboven. De optietekenreeks mag niet langer zijn dan 250 tekens en moet eindigen op .opg of .xml.
71

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
8. Sluit een nieuw Opengear-apparaat, fabrieksreset of Config-Erased, aan op het netwerk en schakel de stroom in. Het kan tot 5 minuten duren voordat het apparaat zichzelf opnieuw opstart.
Example ISC DHCP (dhcpd)-serverconfiguratie
Het volgende is een example DHCP-serverconfiguratiefragment voor het aanbieden van een .opg-configuratieimage via de ISC DHCP-server, dhcpd:
optieruimte opengear code breedte 1 lengte breedte 1; optie opengear.config-url code 1 = tekst; klasse “opengear-config-over-dhcp-test” {
match if optie leverancier-klasse-ID ~~ “^Opengear/”; leverancier-optie-ruimte opengear; optie opengear.config-url “https://example.com/opg/${class}.opg”; }
Deze opstelling kan worden aangepast om de configuratie-image te upgraden met behulp van opengear.image-url optie, en het verstrekken van een URI aan de firmware-image.
Instellen wanneer het LAN niet wordt vertrouwd Als de verbinding tussen de file server en een te configureren Opengear-apparaat een niet-vertrouwd netwerk bevat, kan een aanpak met twee handen het probleem verhelpen.
OPMERKING Deze aanpak introduceert twee fysieke stappen waarbij vertrouwen moeilijk, zo niet onmogelijk, volledig tot stand kan komen. Ten eerste de bewakingsketen vanaf het maken van de gegevensdragende USB-flashdrive tot aan de implementatie ervan. Ten tweede de handen die de USB-flashdrive verbinden met het Opengear-apparaat.
· Genereer een X.509-certificaat voor het Opengear-apparaat.
· Voeg het certificaat en de bijbehorende privésleutel samen tot één geheel file met de naam client.pem.
· Kopieer client.pem naar een USB-flashstation.
· Stel een HTTPS-server zo in dat toegang tot .opg of .xml mogelijk is file is beperkt tot clients die het hierboven gegenereerde X.509-clientcertificaat kunnen leveren.
· Plaats een kopie van het CA-certificaat waarmee het certificaat van de HTTP-server is ondertekend — ca-bundle.crt — op de USB-flashdrive met daarop client.pem.
· Plaats de USB-flashdrive in het Opengear-apparaat voordat u de voeding of het netwerk aansluit.
· Ga verder met de procedure vanaf `Kopieer het opgeslagen .opg- of .xml-bestand file naar een openbare map op a file server' hierboven met behulp van het HTTPS-protocol tussen de client en de server.
Bereid een USB-station voor en maak het X.509-certificaat en de privésleutel
· Genereer het CA-certificaat zodat de client- en server Certificate Signing Requests (CSR's) kunnen worden ondertekend.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > bijvampleCA/serienummer echo 00 > bijvampleCA/crlnummer # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=BijvampleCA # cp demoCA/cacert.pem ca-bundle.crt
Deze procedure genereert een certificaat met de naam ExampleCA, maar elke toegestane certificaatnaam kan worden gebruikt. Deze procedure maakt ook gebruik van openssl ca. Als uw organisatie een ondernemingsbreed, veilig CA-generatieproces heeft, moet dat in plaats daarvan worden gebruikt.
72

Gebruiksaanwijzing
· Genereer het servercertificaat.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -dagen 365 -in server.csr -out server.crt
-sleutelfile ca.key -policy policy_anything -batch -notext
OPMERKING De hostnaam of het IP-adres moet dezelfde tekenreeks zijn die wordt gebruikt bij de weergave URL. in de example hierboven is de hostnaam demo.example.com.
· Genereer het clientcertificaat.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -dagen 365 -in client.csr -out client.crt
-sleutelfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatteer een USB-flashstation als een enkel FAT32-volume.
· Verplaats client.pem en ca-bundle.crt files naar de hoofdmap van de flashdrive.
ZTP-problemen opsporen Gebruik de ZTP-logfunctie om ZTP-problemen op te lossen. Terwijl het apparaat ZTP-bewerkingen probeert uit te voeren, wordt loginformatie naar /tmp/ztp.log op het apparaat geschreven.
Het volgende is een example van het logboek file van een succesvolle ZTP-run.
# cat /tmp/ztp.log Wo 13 december 22:22:17 UTC 2017 [5127 kennisgeving] odhcp6c.eth0: configuratie herstellen via DHCP Wo 13 december 22:22:17 UTC 2017 [5127 kennisgeving] odhcp6c.eth0: wacht 10s zodat het netwerk tot rust komt Wo 13 december 22:22:27 UTC 2017 [5127 kennisgeving] odhcp6c.eth0: NTP overgeslagen: geen server Wo 13 december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' wo 13 december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n.v.t.) wo 13 december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.3 (n.v.t.) Wo 13 december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.4 (n.v.t.) ) Wo 13 december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.5 (n.v.t.) Wo 13 december 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.6 (n /a) Wo 13 december 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: geen firmware om te downloaden (vendorspec.2) back-up-url: proberen http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: wan-configuratiemodus forceren naar DHCP-back-up-url: hostnaam instellen op acm7004-0013c601ce97 backup-url: laden voltooid wo 13 december 22:22:36 UTC 2017 [5127 kennisgeving] odhcp6c.eth0: succesvol laden van configuratie wo 13 december 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: geen vuurtorenconfiguratie (vendorspec.3/ 4/5/6) Wo 13 december 22:22:36 UTC 2017 [5127 kennisgeving] odhcp6c.eth0: inrichting voltooid, niet opnieuw opgestart
In dit logboek worden fouten vastgelegd.
3.15 Inschrijving bij Lighthouse
Gebruik Enrollment into Lighthouse om Opengear-apparaten in te schrijven bij een Lighthouse-instantie, waardoor gecentraliseerde toegang tot consolepoorten wordt geboden en centrale configuratie van de Opengear-apparaten mogelijk is.
Zie de Lighthouse-gebruikershandleiding voor instructies voor het inschrijven van Opengear-apparaten bij Lighthouse.
73

Hoofdstuk 3: Seriële poort, apparaat- en gebruikersconfiguratie
3.16 DHCPv4-relais inschakelen
Een DHCP-relayservice stuurt de DHCP-pakketten door tussen clients en externe DHCP-servers. De DHCP-relayservice kan worden ingeschakeld op een Opengear-consoleserver, zodat deze luistert naar DHCP-clients op aangewezen lagere interfaces, hun berichten verpakt en doorstuurt naar DHCP-servers met behulp van normale routering, of rechtstreeks uitzendt naar aangewezen hogere interfaces. De DHCP-relayagent ontvangt dus DHCP-berichten en genereert een nieuw DHCP-bericht om via een andere interface te verzenden. In de onderstaande stappen kunnen de consoleservers verbinding maken met circuit-IDs, Ethernet- of mobiele modems met behulp van de DHCPv4 Relay-service.
DHCPv4 Relay + DHCP Optie 82 (circuit-id) Infrastructuur – Lokale DHCP-server, ACM7004-5 voor relay, andere apparaten voor clients. Elk apparaat met LAN-rol kan als relais worden gebruikt. In deze example, 192.168.79.242 is het adres voor de doorgestuurde interface van de client (zoals gedefinieerd in de DHCP-serverconfiguratie file hierboven) en 192.168.79.244 is het bovenste interface-adres van de relaiskast, en enp112s0 is de downstream-interface van de DHCP-server.
1 Infrastructuur – DHCPv4-relais + DHCP-optie 82 (circuit-id)
Stappen op de DHCP-server 1. Stel de lokale DHCP v4-server in. Deze moet met name een “host”-invoer bevatten, zoals hieronder voor de DHCP-client: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; host-identifier optie agent.circuit-id “relay1”; vast adres 192.168.79.242; } Let op: de regel “hardware ethernet” is uitgeschakeld, zodat de DHCP-server gebruik zal maken van de instelling “circuit-id” om een adres toe te wijzen aan de betreffende client. 2. Start de DHCP-server opnieuw om de gewijzigde configuratie opnieuw te laden file. pkill -HUP dhcpd
74

Gebruiksaanwijzing
3. Voeg handmatig een hostroute toe aan de client “relayed” interface (de interface achter de DHCP-relay, niet andere interfaces die de client mogelijk ook heeft:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Dit helpt het asymmetrische routeringsprobleem te voorkomen wanneer de client en de DHCP-server toegang tot elkaar willen hebben via de doorgestuurde interface van de client, wanneer de client andere interfaces in dezelfde heeft subnet van de DHCP-adresgroep.
Opmerking: deze stap is een must-have om ervoor te zorgen dat de DHCP-server en de client toegang tot elkaar kunnen krijgen.
Stappen op de relaiskast – ACM7004-5
1. Stel WAN/eth0 in in statische of DHCP-modus (niet in ongeconfigureerde modus). In de statische modus moet het een IP-adres hebben binnen de adrespool van de DHCP-server.
2. Pas deze configuratie toe via CLI (waarbij 192.168.79.1 het DHCP-serveradres is)
config -s config.services.dhcprelay.enabled=aan config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 configuratie -s config.services.dhcprelay.servers.server1=192.168.79.1 configuratie -s config.services.dhcprelay.servers.total=1 configuratie -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. De onderste interface van het DHCP-relais moet een statisch IP-adres hebben binnen de adrespool van de DHCP-server. In deze example, giadr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=statische config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Wacht even totdat de client via het relais een DHCP-lease heeft verkregen.
Stappen op de client (CM7116-2-dac in dit voorbeeldample of een andere OG CS)
1. Sluit het LAN/eth1 van de client aan op LAN/eth1 van het relais 2. Configureer het LAN van de client om het IP-adres via DHCP te verkrijgen, zoals gewoonlijk 3. Zodra de clie

Documenten / Bronnen

opengear ACM7000 externe site-gateway [pdf] Gebruikershandleiding
ACM7000 Externe sitegateway, ACM7000, Externe sitegateway, Sitegateway, Gateway

Referenties

Gebruiksaanwijzing

opengear ACM7000 externe site-gateway

Productinformatie

Instructies voor productgebruik

Veelgestelde vragen

Deze handleiding

Systeemconfiguratie

Seriële poort, host, apparaat en gebruikersconfiguratie

Documenten / Bronnen

Referenties

Laat een reactie achter

Annuleren antwoord