WeOS. Manuel Simplifié. Fiche_Applicative_WeOS-Manuel_Simplifié - Rev C.doc - 06/04/2011

WeOS Manuel Simplifié e-mail : infos@westermo.fr Page: 1 / 37

A. Table de matières. WEOS 1 MANUEL SIMPLIFIE 1 A. TABLE DE MATIERES. 2 B. REVISION DOCUMENT. 5 C. INTRODUCTION 6 C.1. PRESENTATION WEOS 6 D. MISE EN ŒUVRE 7 D.1.1. INTERFACE WEB 7 D.1.2. INTERPRETEUR DE COMMANDE (CLI) 7 E. CONFIGURATION USINE 9 E.1. PREMIERE MISE SOUS TENSION 9 E.2. MODIFICATION ADRESSE IP PAR DEFAUT 9 E.2.1. UTILITAIRE IP CONFIG-TOOL 9 E.2.2. PAGES DE CONFIGURATION WEB 9 Modification Adresse IP 9 Modification Adresse Passerelle (Gateway) 9 E.2.3. AVEC L INTERPRETEUR DE COMMANDE (CLI) 10 Modification adresse IP 10 Modification Adresse Passerelle (Gateway) 10 E.3. RECHARGEMENT DE LA CONFIGURATION USINE 11 E.3.1. RECHARGEMENT AUTOMATIQUE A L AIDE DE 2 CABLES DROIT ETHERNET STANDARD 11 E.3.2. RECHARGEMENT DEPUIS LES PAGES WEB DE CONFIGURATION 11 E.3.3. RECHARGEMENT DEPUIS L INTERPRETEUR DE COMMANDE CLI 12 F. CONFIGURATION BASIQUE 12 F.1. INTERFACE D ADMINISTRATION WEB 12 F.1.1. ONGLET HOME 12 F.1.2. ONGLET CONFIGURATION 12 F.1.3. ONGLET STATISTICS 12 F.1.4. ONGLET MAINTENANCE 13 F.1.5. ONGLET TOOLS 13 F.1.6. LOGOUT 13 F.1.7. HELP 13 e-mail : infos@westermo.fr Page: 2 / 37

F.2. INTERPRETEUR DE LIGNE DE COMMANDE (CLI) 15 Contexte administrateur d exécution 16 Contexte Configuration Globale 16 Exemple de base pour accéder au contexte de configuration du VLAN1. 16 G. DECLARATION ET CONFIGURATION D UN VLAN 17 G.1. DECLARATION AVEC L INTERFACE D ADMINISTRATION WEB 17 G.2. DECLARATION AVEC L INTERPRETEUR DE COMMANDE CLI 19 Description Architecture Application 19 G.2.1. DECLARATION RESEAU A ET B 20 Affectation par VLAN 20 G.2.2. AFFECTATION DES ADDRESSES RESEAU A ET B 21 H. CONFIGURATION REDONDANCE FRNT 22 H.1. DECLARATION AVEC L INTERFACE D ADMINISTRATION WEB 22 H.2. DECLARATION AVEC L INTERPRETEUR DE COMMMANDE CLI 22 I. CONFIGURATION ROUTAGE STATIQUE 23 I.1. DECLARATION D UNE ROUTE STATIQUE : 23 J. CONFIGURATION ROUTAGE DYNAMIQUE OSPF 24 K. CONFIGURATION FIREWALL 25 Filtrage du trafic IP Access Rules (1024 Règles) 25 Translation adresse réseau NAT (32 redirections) 25 Port Forwarding NATP (256 Redirections) 25 K.1. REDIRECTION NATP (PORT FORWARDING) 25 K.1.1. DECLARATION AVEC LE CLI 25 K.2. TRANSLATION ADRESSE RESEAU (NAT) 25 K.2.1. DECLARATION AVEC LE CLI 25 K.3. FILTRAGE DU TRAFIC IP ( AUTORISER OU BLOQUER ) 26 L. FONCTIONNALITES SPECIFIQUES FALCON 27 L.1. PARAMETRE PAR DEFAUT ET CONFIGURATION IP VIA LES PAGES WEB: 27 L.2. ACTIVER ET PARAMETRER LA PARTIE DSL: 27 L.2.1. ACTIVER LE PORT DSL 27 L.2.2. PARAMETRER LA PARTIE DSL 27 L.2.3. PARAMETRER LE DNS: 27 Accéder internet via un VLAN. 27 L.3. CONFIGURATION D UN VPN ENTRE UN FALCON ET UN ROUTER 3G MRD-310/33O 28 L.3.1. CONFIGURATION DU FALCON VIA LES PAGES WEB 28 L.3.2. CONFIGURATION DU MRD-330: 28 L.4. CONFIGURATION D UN VPN ENTRE DEUX FALCON 29 L.4.1. PARAMETRAGE DU FALCON EN MODE REPONDEUR VIA LES PAGES WEB 29 L.4.2. PARAMETRAGE DU FALCON EN MODE INITIATOR 30 e-mail : infos@westermo.fr Page: 3 / 37

M. VPN ENTRE 2 SOUS RESEAU AVEC UN LYNX+ ET THE GREENBOW (CLIENT VPN) 32 M.1. CONFIGURATION DU LYNX+ VIA LES PAGES WEB : 32 M.1.1. CONFIGURATION DU FIREWALL (SECURITE) : 33 M.1.2. CONFIGURATION DU VPN: 33 M.2. CONFIGURATION DU CLIENT VPN THE GREENBOW : 34 M.2.1. CONFIGURATION DE LA PHASE 1 : 34 M.2.2. CONFIGURATION PHASE 2 : 36 e-mail : infos@westermo.fr Page: 4 / 37

B. Révision document. Rév Date Par Descriptif A 15/11 /2010 JMA Document initial B 16/03/2011 JMA Mise à jour et complément C 06/04/2011 JMA Ajout rechargement Profile Usine e-mail : infos@westermo.fr Page: 5 / 37

C. Introduction C.1. Présentation WeOS WeOS est l acronyme de «Westermo Operating System» : c est un système d exploitation conçu et développé par notre société afin de répondre aux besoins des réseaux industriels d aujourd hui et de demain. WeOS va devenir notre plateforme logicielle standard pour nos routeurs et nos switches. Il est déjà en fonction pour notre gamme de routeurs industriels Redfox et pour notre dernier né, le routeur Ethernet industriel SHDSL DDW-225. Les fonctionnalités telles que VLAN, filtrage IGMP, VPN et redondance ont été intégrées et assurent aux produits WESTERMO de fonctionner dans des réseaux d automatisme et d infrastructure de plus en plus complexes. L une des missions premières de WESTERMO est de rendre aisée la communication de données industrielles (Industrial Data Communications Made Easy ). C est la raison pour laquelle d importants efforts ont été consacrés pour rendre l OS WeOS facile à utiliser. L interface Web Internet (GUI) vous permet d installer la plupart des nombreuses configurations communes en quelques minutes seulement : l anneau FRNT, le VLAN ou le pare-feu de base en quelques clics! L OS est également capable d être paramétrer pour des applications plus rigoureuses nécessitant l interface «ligne de Commande» (CLI) qui a été développée aussi intuitivement que possible. Points phare : VLAN et filtrage IGMP VPN et SNMP v3 Routage statique et pare-feu Facilité de configurations (GUI et CLI) Mises à niveau permanentes e-mail : infos@westermo.fr Page: 6 / 37

D. Mise en œuvre D.1.1. Interface Web Pour accéder aux pages Web de configuration, il suffit d ouvrir la page d accueil d authentification en ouvrant l explorateur Ethernet à l adresse IP correspondante. Identification par défaut : Username admin Password : westermo D.1.2. Interpréteur de commande (CLI) Pour accéder à l interpréteur de commande WeOS, 2 solutions sont disponible : 1. Connexion au port console du routeur à l aide du câble de diagnostique Westermo : 1211-2027. Connecter le PC au port console et ouvrir un logiciel d émulation de terminal (type Hyper-terminal) Console Port Parameter Setting Vitesse: 115200 bits/s Data bits 8 Stop bits 1 Parity Off Flow control Off 2. Connexion au port Ethernet du routeur et ouvrir une session sécurisé avec le protocole SSH à l aide d un utilitaire logiciel gratuit d émulation Telnet/SSH du domaine ouvert (PUTTY). Il est téléchargeable à l adresse suivante : http://www.chiark.greenend.org.uk/~sgtatham/putty/ L ouverture de session se fait avec les identifiants par défaut : e-mail : infos@westermo.fr Page: 7 / 37

Identification par défaut : Username admin Password : westermo login as: admin admin@193.252.29.156's password:.--.--.--.-----.-----.------.-----.-.--.--------.-----. - -- - _.. _ http://www.westermo.com \ /\ / info@westermo.se Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#> e-mail : infos@westermo.fr Page: 8 / 37

E. Configuration Usine E.1. Première Mise sous tension La configuration du Switch par défaut est la suivante : Fonction Switch/Routeur : Switch /routeur administrable Adresse IP 192.168.2.200 Masque 255.255.255.0 Passerelle désactivée Tous les ports Ethernet sont accessibles VLAN VLAN 1 global d administration pour tous les ports Firewall désactivé RSTP activé E.2. Modification Adresse IP par défaut E.2.1. Utilitaire IP Config-Tool Utilitaire Windows fournit sur le CD accompagnant le produit. Une fonction Scan for Devices vous permet de détecter votre Switch/routeur quelque soit son adresse IP. La description détaillée d IP Config-Tool figure dans les annexes. E.2.2. Pages de configuration Web Ouvrir la session administrateur par défaut Aller dans suite dans l onglet suivant : Modification Adresse IP Configuration Network (IP) Interface Vlan1 Editer la configuration en cliquant sur l icône «Crayon» Modifier l adresse IP et le masque de sous réseau Cliquer sur Apply Modifier ensuite l adresse IP de votre PC avec une adresse compatible que vous venez de déclarer dans le switch pour retrouver la session de configuration en cours Modification Adresse Passerelle (Gateway) Configuration Network (IP) Global Settings Editer la configuration en cliquant sur l icône «Crayon» Saisir l adresse IP de passerelle dans le champ Default Gateway Cliquer sur Apply e-mail : infos@westermo.fr Page: 9 / 37

E.2.3. Avec l interpréteur de commande (CLI) Ouvrir une session administrateur dans le CLI Suivre ensuite la procédure indiquée ci-dessous : Modification adresse IP.--.--.--.-----.-----.------.-----.-.--.--------.-----. - -- - _.. _ http://www.westermo.com \ /\ / info@westermo.se Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#> conf ouvre le contexte configuration falcon:/config/#> iface vlan1 inet static contexte configuration interface VLAN 1 falcon:/config/iface-vlan1/#> address 192.168.100.199/24 saisir la nouvelle adresse IP avec le masque de sous réseau: /32= 255.255.255.255 /24 = 255.255.255.0 /16= 255.255.0.0 /8=255.0.0.0 falcon:/config/iface-vlan1/#> show visualisation de la configuration IP Vlan 1 Name : vlan1 Admin Mode : UP IP Address : 192.168.100.199/24 MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan1/#> end fermeture interface Vlan1 falcon:/config/#> end fermeture contexte configuration Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#> Modification Adresse Passerelle (Gateway) falcon:/#> conf ouvre le contexte configuration falcon:/config/#> ip configuration interface IP falcon:/config/ip/#> default-gateway 192.168.100.199 saisir l adresse Passerelle falcon:/config/ip/#> end fermeture contexte configuration IP falcon:/config/#> end fermeture context configuration Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#> e-mail : infos@westermo.fr Page: 10 / 37

E.3. Rechargement de la configuration usine E.3.1. Rechargement automatique à l aide de 2 câbles droit Ethernet standard Se procurer 2 câbles Ethernet Standard Coupez l alimentation de l équipement Débrancher touts les câbles Ethernet existant Connectez 2 câbles Ethernet en direct (pas de Switch ni de Hub)comme indiqué ci-dessous : o Lynx+ : Raccorder les ports Eth 3 et 10 Premier câble Raccorder les ports Eth 6 et 7 Deuxième câble o Falcon / Wolverine DDW-22X : Raccorder les ports Eth 1 et 4 Premier câble Raccorder les ports Eth 3 et 2 Deuxième câble o RedFox (un seul câble necessaire) Raccorder les ports Eth 1/1 et 1/2 Premier câble Mettre l équipement sous tension Vérifier que le témoin d alimentation ON clignote (Prêt pour rechargement usine) A partir de ce moment 2 options sont possibles (pendant 30 secondes) o Débrancher un des câbles Ethernet Confirme le rechargement du profile usine o NE PAS COUPER L ALIMENTATION AU COURS DE CETTE OPERATION Arrêt du clignotement de la led ON Initialisation du rechargement profile usine (attendre 1 minute environ) Le système va ensuite redémarrer avec cette nouvelle configuration. o Ne rien faire le système annule cette opération et démarre normalement E.3.2. Rechargement depuis les pages Web de configuration Ouvrir la session Administrateur Ensuite ouvrir la page de rechargement profile usine comme suit : e-mail : infos@westermo.fr Page: 11 / 37

E.3.3. Rechargement depuis l interpréteur de commande CLI Ouvrir une session administrateur avec le CLI Suivre la procédure ci-dessous. 1. Restore factory default (to running configuration) redfox:/#> copy factory-config running-config Using default factory.cfg found in firmware image. Stopping Syslog daemon... [ OK ] Starting Syslog daemon... [ OK ] redfox:/#> 2. Store running configuration to startup configuration redfox:/#> copy running-config startup-config redfox:/#> F. Configuration basique F.1. Interface d administration Web Interface pour la configuration des principales fonctions du switch routeur. F.1.1. Onglet Home Informations générales sur le Switch routeur F.1.2. Onglet configuration Permet d accéder à l ensemble des paramètres se configuration F.1.3. Onglet Statistics Informations statistiques sur les débits des différents ports de communications e-mail : infos@westermo.fr Page: 12 / 37

F.1.4. Onglet Maintenance Sauvegarde et restauration de la configuration, Mise à jour du Firmware Fonction monitoring des ports. Personnalisation du mot de passe administrateur Visualisation des journaux d évènements (Logs) F.1.5. Onglet Tools Ping Traceroute IPConfig Tool F.1.6. Logout Fermeture de la session en cours F.1.7. Help Aide en ligne interactive a tout moment en fonction de la page de configuration active e-mail : infos@westermo.fr Page: 13 / 37

e-mail : infos@westermo.fr Page: 14 / 37

F.2. Interpréteur de ligne de commande (CLI) Interface linge de commande permettant d accéder aux fonctions de routage étendues qui ne sont pas disponible sur l interface d administration Web. La structure hiérarchique du CLI est organisée en plusieurs niveaux. Lorsqu une session avec les privilèges administrateur est ouverte l utilisateur est dirigé vers le contexte administrateur. Les 2 principaux niveaux nécessaires pour configurer un switch routeur sont : e-mail : infos@westermo.fr Page: 15 / 37

Contexte administrateur d exécution C est le premier niveau d accès de l interpréteur de commande (CLI). Permet d exécuter un ensemble de fonctions de visualisation des paramètres de configuration en cours, statistiques d utilisation des ports de communications, gestion des fichiers de configuration et mise à jour des firmware) Accès aux différents niveaux de sous menu du système WeOS. Contexte Configuration Globale Accès depuis le contexte administrateur d exécution (Admin Exec) Configuration de l ensemble des paramètres globaux du switch routeur. Accès aux différents sous menu et contextes de configuration des interfaces et protocoles. Comme : Ports,vlan ;routing, redondance,frnt etc Exemple de base pour accéder au contexte de configuration du VLAN1. *********************************************************************** login as: admin admin@193.252.29.156's password:.--.--.--.-----.-----.------.-----.-.--.--------.-----. - -- - _.. _ http://www.westermo.com \ /\ / info@westermo.se Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#> config falcon:/config/#> vlan 1 falcon:/config/vlan-1/#> show VLAN ID : 1 Status : Enabled Name : vlan1 Channel : 0 Priority : Disabled Untagged : U:eth 1-4 Tagged : T: Forbid : F: IGMP : Disabled falcon:/config/vlan-1/#> ************************************************************************ e-mail : infos@westermo.fr Page: 16 / 37

G. Déclaration et Configuration d un VLAN G.1. Déclaration avec l interface d administration Web Dans WeOS tous les ports Ethernet sont rattachés au VLAN 1 qui est le VLAN d administration. Chaque Vlan possède son propre domaine de diffusion et donc son trafic est logiquement isolé des autres VLAN. Déclaration d un nouveau VLAN Cette déclaration se fait en 2 étapes : La déclaration du VLAN avec association des ports Ethernet correspondant. e-mail : infos@westermo.fr Page: 17 / 37

Déclaration du VLAN2 pour lesquels les ports Ethernet 3 et 4 sont attachés en mode Untagged (sans étiquettes). Chaque changement de configuration est pris en compte directement par WeOS. Paramétrage de l interface réseau associé au VLAN. Chaque VLAN est associé a un identifiant (VID) et à un ou plusieurs port Ethernet pour lesquels on active ou pas la transmission des étiquettes VLAN (Tagged/Untagged) Pour chaque VLAN une interface réseau associée est crée. Cette interface réseau peut comporter une adresse IP permettant une administration à distance. Il est également possible de router le trafic entre les VLAN en fonctions des règles et critères associés. e-mail : infos@westermo.fr Page: 18 / 37

G.2. Déclaration avec l interpréteur de commande CLI Description Architecture Application Routage entre deux réseaux 1 Routeur WeOS Reseau A = IP 192.168.100.0 Masque : 255.255.255.0 Gateway : 192.168.100.150 Port ETH affecté : 1/1 et 1/2 Reseau B : Addr IP = 192.168.20.0 Masque : 255.255.255.0 Gateway : 192.168.20.150 Port ETH affecté : 1/3 et 1/4 e-mail : infos@westermo.fr Page: 19 / 37

G.2.1. Déclaration Réseau A et B Affectation par VLAN Réseau A VLAN1 port ETH 1/1 et 1/2 La configuration par défaut affecte tous les ports ETH au VLAN 1 Réseau B VLAN2 port ETH 1/3 et 1/4 La déclaration consiste à créer un VLAN2 pour lequel on va affecter les 2 ports ETH ci-dessus falcon:/#> conf ouvre le contexte configuration falcon:/config/#> vlan contexte vlan falcon:/config/vlans/#> show affiche les vlan en cours VID Name Adm. Untagged/Tagged ---- ---------------- ---- --------------------------------------------------- 1 vlan1 UP U:eth 1-4 les ports eth 1 à 4 sont attachés au vlan1 T: U = Untagged (pas d étiquette vlan) / T = Tagged (étiquette vlan active) falcon:/config/vlans/#> end fermeture du contexte vlan en cours falcon:/config/#> vlan 2 déclaration du vlan2 Creating new VLAN vid:2 with name: vlan2 Création du vlan 2 falcon:/config/vlan-2/#> untagged eth 3, eth 4 Affectation des ports eth3 et eth4 Moving untagged port Eth 3 from vid 1 to vid 2. Déplacement de eth3 de vlan1 vers vlan2 Moving untagged port Eth 4 from vid 1 to vid 2. Déplacement de eth4 de vlan1 vers vlan2 falcon:/config/vlan-2/#> falcon:/config/vlan-2/#> end fermeture contexte vlan falcon:/config/#> show vlan statut des vlan en cours VID Name Adm. Untagged/Tagged ---- ---------------- ---- --------------------------------------------------- 1 vlan1 UP U:eth 1, eth 2 T: 2 vlan2 UP U:eth 3, eth 4 T: falcon:/config/#> e-mail : infos@westermo.fr Page: 20 / 37

G.2.2. Affectation des addresses réseau A et B Réseau A VLAN1 IP 192.168.100.150 falcon:/#> config falcon:/config/#> iface vlan1 falcon:/config/iface-vlan1/#> address 192.168.100.199/24 Déclaration adresse IP falcon:/config/iface-vlan1/#> falcon:/config/iface-vlan1/#> show affiche le statut du vlan1 Name : vlan1 Admin Mode : UP IP Address : 192.168.100.199/24 MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan1/#> end falcon:/config/#> end Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#> Réseau B VLAN2 IP 192.168.20.150 Idem que pour le réseau A ci-dessus falcon:/#> config falcon:/config/#> iface vlan2 falcon:/config/iface-vlan2/#> show Name : vlan2 Admin Mode : UP IP Address : DISABLED MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan2/#> address 192.168.20.150 falcon:/config/iface-vlan2/#> show Name : vlan2 Admin Mode : UP IP Address : 192.168.20.150/24 MAC Address: AUTO MTU : AUTO (1500) Primary : No Management : ssh http https ipconfig snmp falcon:/config/iface-vlan2/#> end falcon:/config/#> end Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#> e-mail : infos@westermo.fr Page: 21 / 37

H. Configuration Redondance FRNT H.1. Déclaration avec l interface d administration Web La configuration d un anneau redondant FRNT nécessite la déclaration d un Switch qui fera office de maître dans la gestion de la redondance. Ce switch sera déclarer comme Focal point. Tous les autres switch appartenant à cet anneau redondant seront déclaré comme Client. H.2. Déclaration avec l interpréteur de commmande CLI A venir e-mail : infos@westermo.fr Page: 22 / 37

I. Configuration Routage Statique I.1. Déclaration d une route statique : Réseau : 192.168.20.0 Masque sous réseau : 255.255.255.0 Passerelle (Gateway) : 192.168.100.150 La déclaration des routes statiques est réalisée uniquement avec le CLI dans le contexte de configuration interface IP *********************************************************************** falcon:/#> conf ouverture contexte configuration falcon:/config/#> falcon:/config/#> ip ouverture config interface IP falcon:/config/ip/#> show route ) affiche statut des routes statiques No static routes setup aucune route statique existante falcon:/config/ip/#> route 192.168.20.0/24 192.168.100.150 déclaration route statique falcon:/config/ip/#> show route affiche le statut des routes statiques Network Netmask Gateway Device Metric ============================================================== 192.168.20.0 255.255.255.0 192.168.100.150 - N/A falcon:/config/ip/#> end falcon:/config/#> end Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#> e-mail : infos@westermo.fr Page: 23 / 37

J. Configuration routage dynamique OSPF La configuration du routage OSPF est uniquement disponible à partir de l interpréteur de commande (CLI) Activation de la redondance OSPF dans le contexte Routing. Déclaration ensuite des différents sous réseau pour les routeurs adjacents Dans l exemple ci-dessous nous avons activé OSPF puis déclarer un sous réseau avec un routeur adjacent. ******************************************************************** falcon:/#> login as: admin admin@193.252.29.156's password:.--.--.--.-----.-----.------.-----.-.--.--------.-----. - -- - _.. _ http://www.westermo.com \ /\ / info@westermo.se Robust Industrial Data Communications -- Made Easy \\/ Westermo WeOS v4.4.0-rc4 cricket/4.4.x@19138 -- Oct 28 16:38 CEST 2010 Type: 'help' for help with commands, 'exit' to logout or leave a context. falcon:/#> conf falcon:/config/#> rout falcon:/config/router/#> ospf Activating OSPF with default settings, type 'abort' to cancel. falcon:/config/router/ospf/#> show Router ID : Auto Passive interfaces : Disabled Neighbor(s) : Redistribute connected: Disabled Redistribute static : Disabled Redistribute RIP : Disabled Distribute default : Never Network(s) : falcon:/config/router/ospf/#> network 192.168.100.199/24 area 0 falcon:/config/router/ospf/#> show Router ID : Auto Passive interfaces : Disabled Neighbor(s) : Redistribute connected: Disabled Redistribute static : Disabled Redistribute RIP : Disabled Distribute default : Never Network(s) : 192.168.100.199/24 area 0.0.0.0 falcon:/config/router/ospf/#> ********************************************************************* e-mail : infos@westermo.fr Page: 24 / 37

K. Configuration Firewall La fonction Firewall permet de gérer les flux de trafic entrant et sortant du switch routeur. Il comporte les fonctions suivantes : Filtrage du trafic IP Access Rules (1024 Règles) Régles du filtrage pour contrôle du trafic IP Interface entrante In interface Interface sortante Out interface Protocole protocol Adresse IP source Source IP addr Adresse IP destination Destination IP addr Port destination Destination port Translation adresse réseau NAT (32 redirections) Redirection du trafic entre deux interfaces réseau Port Forwarding NATP (256 Redirections) Redirection d un port service Réseau vers une adresse et un port IP réseau interne K.1. Redirection NATP (port forwarding) Redirection du port 9000 vers un serveur Web interne avec IP : 192.168.100.20 proto TCP K.1.1. Déclaration avec le CLI falcon:/#> conf falcon:/config/#> ip falcon:/config/ip/#> fire falcon:/config/ip/firewall/#> port-forward in ppp0:9000 dst 192.168.100.20:80 proto tcp falcon:/config/ip/firewall/#> show port-forward 001 port-forward in ppp0:9000 dst 192.168.100.20:80 proto tcp falcon:/config/ip/firewall/#>end falcon:/config/#> end Configuration activated. Remember "copy run start" to save to flash (NVRAM). NE PAS OUBLIER DE SAUVEGARDER VOTRE CONFIGURATION : copy run start falcon:/#> K.2. Translation adresse réseau (NAT) A venir K.2.1. Déclaration avec le CLI e-mail : infos@westermo.fr Page: 25 / 37

En cours de rédaction K.3. Filtrage du trafic IP ( autoriser ou bloquer ) En cours de rédaction e-mail : infos@westermo.fr Page: 26 / 37

L. FONCTIONNALITES SPECIFIQUES FALCON L.1. Paramètre par défaut et Configuration IP via les pages web: Référence chapitres E et F. L.2. Activer et paramétrer la partie DSL: Info LED DSL: Si la LED DSL clignote orange et vert, il n y a pas de synchronisation LED DSL vert fixe: synchronisation DSL Après la synchronisation DSL se connecter via les pages web: L.2.1. Activer le port DSL Configuration network IP interface Sur cet onglet on peut vérifier l état des VLAN: VLAN 1 qui est le VLAN administratif 192.168.2.200 par défaut et le VLAN 1006 qui est le VLAN pour l interface WAN. Vous pouvez modifier l adresse IP en cliquant sur le crayon. Pour activer l accès WAN du port DSL il faut cliquer sur le crayon du VLAN 1006 et ensuite sélectionner si votre adresse de votre port DSL est «static ou Dynamics», dans le même onglet vous pouvez sécuriser votre connexion dans la partie Management services. Après avoir validé votre VLAN 1006 vous obtenez l adresse «static ou Dynamics» de votre connexion. L.2.2. Paramétrer la partie DSL Dans l onglet Home basic set up, Il faut sélectionner le mode router dans l onglet WAN MODE Ensuite sélectionner le mode pppoe, pour configurer votre port DSL. DSL Port settings: Dans le mode vous avez le choix entre l ADSL et le VDSL. Pour les autres paramètres il faut connaître par avance la configuration de votre abonnement ADSL ou VDSL. Exemple: pour le mode ADSL: L.2.3. Paramétrer le DNS: Pour pouvoir joindre le Falcon a distance nous pouvons configurer un DDNS. Configuration Network IP DDNS Dans cet onglet il faut renseigner votre login et votre mot de passe du compte perso créée sur le site dyndns.com Accéder internet via un VLAN. Configuration Firewall Nat Pour accéder internet il faut d abord activer le Firewall et ensuite crée un NAT entre le VLAN et le pppo. Exemple: On veut que le VLAN 1 soit connecté sur internet: On clique sur new vlan et ensuite il faut le configurer comme indiqué ci-dessous. Internal interface: VLAN 1 External interface: pppo Apply e-mail : infos@westermo.fr Page: 27 / 37

L.3. Configuration d un VPN entre un FALCON et un Router 3G MRD-310/33O L.3.1. Configuration du Falcon via les pages web Dans l onglet Configuration VPN IPSEC Il faut cocher la case pour activer la fonction IP sec Ensuite cliquer sur New IP sec Tunnel Dans la première partie de la configuration du tunnel Edit IP sec Tunnel 1: Instance Number 1 «ce numéro identifie le tunnel VPN» La case enabled doit être coché et vous devez choisir le rôle du Falcon ici on va le mettre en mode responder. Dans la deuxième partie Network: Outbound interface il faut sélectionner default gateway Remote Peer il est coché Dans l onglet Local subnet il faut mettre l adresse réseau de votre VLAN sélectionner ici c est 192.168.2.200 et subnet Mask: 255.255.255.0 Dans l onglet Remote Subnet il faut l adresse réseau du routeur distant. Ici c est 192.168.50.199 Et 255.255.255.0 Dead Peer Detection clear DPD Delay 30 DPD Timeout 120 Dans la troisième partie Security: Il faut cocher le mode Aggressive IKE Encryption: AES128 Authentication: SHA1 DH-Group: DH2(1024) Secret: mysecret (le mot de passe est arbitraire) Local ID: Type: Name (DNS/User) ID: falcon Peer ID (les identifiants du routeur distants) Type: Name (DNS/User) ID: mrd330 ESP Encryption: AES128 Authentication: SHA1 APPLY Après avoir fait un apply il faut faire un restart de l IP sec. L.3.2. Configuration du MRD-330: VPN IP sec General IP sec configuration Cochez la case enabled pour activer la fonction IP sec et update pour enregistrer Ensuite cliquez sur Add new tunnel General configuration Label: Falcon (le nom de votre connexion VPN) Operating mode: Tunnel Functional mode: Initiator Next e-mail : infos@westermo.fr Page: 28 / 37

Local Interface: WLS Remote host: adresse IP public du Falcon si l adresse est fixe sinon on peut mettre le dyndns du Falcon. Next Phase 1 Configuration Authentication Mode: Preshared Key Negotiation mode: Aggressive mode Pre-shared key: il faut cocher la case et écrire ce que vous avez enregistré dans le Falcon dans notre exemple c est mysecret. Remote ID: @falcon (dans le MRD-3X0 il faut toujours rajouter @ avant le l ID du falcon. Local ID:@mrd-330 Phase 1 Encryption Ike proposal: AES 128; SHA1; Dh Grp 2 (1024) Ike lifetime (ms): 60 Next Phase 2 Configurations: Authentication Mode: None Phase 2 Encryption: ESP Proposal: AES128; SHA1 Perfect forward secrecy & group: il faut cocher cet onglet et sélectionner Dh 2 Grp (1024) Key lifetime (ms): 480 Next Tunnel Options: Init rekeying, margin (mins) & fuzz: il faut cocher cet onglet et garder les valeurs par défauts 10 et 100. Dead peer detection: Activer cette option et garder les valeurs par défaut Action on failure: clear Delay and time out (sec): 30; 120 Next Tunnel networks La case enabled est cochée par default Dans l onglet Local sélectionneé Lan Subnet Dans l onglet Remote sélectionné Specify subnet et dans la colonne address: 192.168.2.0/24 ce qui correspond à l adresse IP du réseau du Falcon avec un subnet Mask de 255.255.255.0 Next Le tunnel VPN est créer il faut faire un reboot du MRD-330 ou 310 et un reboot du Falcon. Le VPN est monté. L.4. Configuration d un VPN entre deux Falcon L.4.1. Paramétrage du Falcon en mode répondeur via les pages web Dans l onglet Configuration VPN IPSEC Il faut cocher la case pour activer la fonction IP sec Ensuite cliquer sur New IP sec Tunnel Dans la première partie de la configuration du tunnel Edit IP sec Tunnel 1: Instance Number 1 «ce numéro identifie le tunnel VPN» La case enabled doit être coché et vous devez choisir le rôle du Falcon ici on va le mettre en mode responder. Dans la deuxième partie Network: Outbound interface il faut sélectionner default gateway Remote Peer il est coché e-mail : infos@westermo.fr Page: 29 / 37

Dans l onglet Local subnet il faut mettre l adresse réseau de votre VLAN sélectionner ici c est 192.168.2.0 et subnet Mask: 255.255.255.0 Dans l onglet Remote Subnet il faut l adresse réseau du routeur distant. Ici c est 192.168.10.0 Et 255.255.255.0 pour le subnet Mask Dead Peer Detection clear DPD Delay 30 DPD Timeout 120 Dans la troisième partie Security: Il faut cocher le mode Aggressive IKE Encryption: AES128 Authentication: SHA1 DH-Group: DH2(1024) Secret: mysecret (le mot de passe est arbitraire) Local ID: Type: Name (DNS/User) ID: falconresponder Peer ID (les identifiants du routeur distants) Type: Name (DNS/User) ID: falconinitiator ESP Encryption: AES128 Authentication: SHA1 APPLY Après avoir fait un apply il faut faire un restart de l IP sec. L.4.2. Paramétrage du Falcon en mode initiator Dans l onglet Configuration VPN IPSEC Il faut cocher la case pour activer la fonction IP sec Ensuite cliquer sur New IP sec Tunnel Dans la première partie de la configuration du tunnel Edit IP sec Tunnel 1: Instance Number 2 «ce numéro identifie le tunnel VPN» La case enabled doit être coché et vous devez choisir le rôle du Falcon ici on va le mettre en mode initiator. Dans la deuxième partie Network: Outbound interface il faut sélectionner default gateway Remote Peer il faut insérer l adresse IP fixe public du Falcon distant ou le dyndns si cette adresse IP public n est pas fixe. Dans l onglet Local subnet il faut mettre l adresse réseau de votre VLAN sélectionner ici c est 192.168.10.0 et subnet Mask: 255.255.255.0 Dans l onglet Remote Subnet il faut l adresse réseau du routeur distant. Ici c est 192.168.2.0 Et 255.255.255.0 pour le subnet Mask Dead Peer Detection RESTART DPD Delay 30 DPD Timeout 120 Dans la troisième partie Security: Il faut cocher le mode Aggressive IKE Encryption: AES128 Authentication: SHA1 e-mail : infos@westermo.fr Page: 30 / 37

DH-Group: DH2(1024) Secret: mysecret (le mot de passe est arbitraire) Local ID: Type: Name (DNS/User) ID: falconinitiator Peer ID (les identifiants du routeur distants) Type: Name (DNS/User) ID: falconresponder ESP Encryption: AES128 Authentication: SHA1 APPLY Après avoir fait un apply il faut faire un restart de l IP sec. e-mail : infos@westermo.fr Page: 31 / 37

M. VPN entre 2 sous réseau avec un Lynx+ et The Greenbow (client VPN) M.1. Configuration du Lynx+ via les pages web : Configuration du lynx+ à partir des paramètres par défaut L adresse IP par défaut du lynx+ : 192.168.2.200 Configuration des 2 réseaux : Cliquez sur Configuration VLAN New VLAN votre VLAN 1 est le Vlan par défaut. Et le Vlan2 sera le réseau distant que vous voulez joindre à distance. Vous pouvez choisir les ports qui correspondent au Vlan 2.Voir schéma ci-dessous : Ici pour se connecter sur le VLAN 2 il faut se brancher sur les ports 7 et 10. Après avoir créé le vlan2 vous devez configurer son adressage réseau, il suffit de cliquer sur Vlan2 dans la colonne Interface et le configurer comme indiqué ci-dessous : e-mail : infos@westermo.fr Page: 32 / 37

M.1.1. Configuration du Firewall (sécurité) : Cliquez sur Firewall common cocher enabled et Apply pour enregistrer. M.1.2. Configuration du VPN: Configuration VPN IPSEC Activer la fonction IPSEC et cliquez sur Apply pour enregistrer comme indiqué ci-dessous: Ensuite cliquez sur New IP Sec Tunnel 1. Vous devez être en mode Responder 2. L interface de sortie est le VLAN 1, c est le réseau où vous êtes connecté en local pour joindre le réseau vlan2. 3. Local subnet : l adresse du réseau vlan2. 4. remote subnet : adresse réseau fictive (le choix est arbitraire ici on a choisi de mettre 192.168.5.5) 5. secret : c est la clé pré-partagée (bien retenir la clé pour la suite de la configuration) e-mail : infos@westermo.fr Page: 33 / 37

6. les ID sont aussi arbitraire Les autres paramètres sont à configurer comme indiqué ci-dessous. Cliquez sur Apply. M.2. Configuration du Client VPN The Greenbow : M.2.1. Configuration de la phase 1 : Faire un clique droit sur root et sélectionner Nouvelle Phase 1 comme indiqué ci-dessous : e-mail : infos@westermo.fr Page: 34 / 37

Dans la phase 1 : Nom : Nommez votre phase 1 Interface : l adresse IP de votre PC (où est installé Greenbow) Adresse routeur distant : L adresse IP du Vlan où est connecté le PC Greenbow ici c est le VLAN1 La clé partagée est la même que celle que vous avez enregistré dans le lynx+ Les paramètres du IKE sont les même que dans le lynx+ Comme indiqué ci-dessous : Cliquez sur P1 avancé pour configurer les ID que vous avez enregistrés dans le lynx+ Comme indiqué ci-dessous : e-mail : infos@westermo.fr Page: 35 / 37

Apres avoir modifié les paramètres cliquez sur Sauver et Appliquer M.2.2. Configuration Phase 2 : Tout d abord clique droit sur Gateway pour ajouter la phase 2 Comme indiqué ci-dessous : Nom : Tunnel1 Adresse du client VPN : c est l adresse IP fictive que l on a enregistré dans le lynx+ Les autres paramètres sont à configurer comme indiqué ci-dessous : (rien a modifier dan P2 avancé) e-mail : infos@westermo.fr Page: 36 / 37

Cliquez sur Sauver et Appliquer. Avant d ouvrir le Tunnel il faut cliquez sur l onglet console sur Reset IKE Dés que le reset est terminé vous pouvez Ouvrir votre Tunnel et joindre vos appareils qui sont sur le réseau distant. Ne pas oublier de configurer la passerelle dans vos appareils qui sont sur le réseau VLAN 2 et sur le réseau VLAN1. e-mail : infos@westermo.fr Page: 37 / 37