COMMUNICATION TECHNIQUE N TC0803 Ed. 01 OmniPCX Enterprise Nb de pages : 10 Date : 03-07-2006 URGENTE NON URGENTE TEMPORAIRE DEFINITIVE OBJET : FONCTIONNEMENT OmniVista 4760 SUR Veuillez trouver ci-après la documentation sur le "Fonctionnement OmniVista 4760 sur un réseau VPN / NAT". 1
FONCTIONNEMENT OmniVista 4760 SUR OmniVista 4760 SOMMAIRE 1. PRÉSENTATION...3 2. FLUX IP...4 3. GESTION SPÉCIFIQUE...4 3.1. Configuration du fichier Host... 4 3.2. Modification Client... 5 3.3. Configuration du firewall... 5 4. GUIDE D'AIDE AU DÉPANNAGE...6 4.1. Message d'erreur Alarme quand le port 30500 n'est pas disponible... 6 4.2. Message d'erreur CONFIG quand le port 30500 n'est pas disponible... 6 4.3. Firewall... 7 Ed. 01 / 03-07-2006 1 TC0803
OmniVista 4760 FONCTIONNEMENT OmniVista 4760 SUR TC0803 2 Ed. 01 / 03-07-2006
FONCTIONNEMENT OmniVista 4760 SUR OmniVista 4760 1. PRÉSENTATION OmniVista 4760 a été conçu pour fonctionner sur un site intranet où tous les systèmes OmniVista 4760, Clients et Serveur, sont connectés sur un même réseau LAN et utiliser le serveur DNS ou le fichier host pour communiquer. Maintenant des clients aimeraient étendre leur intranet sur un réseau VPN. Cela a un impact sur l'adresse IP étant donné qu'une telle solution VPN s'accompagne d'une translation d'adresse IP (NAT - Network Address Translation). Pour faire fonctionner OmniVista 4760 sur un réseau VPN, il est nécessaire : d'avoir une parfaite connaissance de l'architecture du réseau VPN client, de modifier la configuration du firewall pour autoriser tout le trafic OmniVista 4760, de mettre à jour le fichier host des client OmniVista 4760 et serveur OmniVista 4760, de mettre à jour un paramètre dans le fichier batch runnmc.bat du client OmniVista 4760. Restrictions l'adresse "Natée" utilisée pour VPN nécessite d'être statique. La translation du port adresse (PAT) n'est pas supportée. Exemple de topologie client réelle. OmniVista 4760 Client OmniVista 4760 Server FW1 IPSec Equipement1 IPSec Equipement2 LAN 1 LAN 2 128.213.224.0 NAT NAT NAT 10.19.10.0 Réseau VPN Translation adresse IP Client 4760 Translation adresse IP Serveur 4760 Réseau Adresse IP Client Réseau Adresse IP Serveur LAN1 @Lan1_Client LAN2 @Lan2_Server VPN Network @VPN_Client VPN Network @VPN_ Server LAN2 @Lan2_Client LAN1 @VPN_ Server Ed. 01 / 03-07-2006 3 TC0803
OmniVista 4760 FONCTIONNEMENT OmniVista 4760 SUR 2. FLUX IP LAN1 Réseau VPN LAN2 Le client se connecte aux services du serveur OmniVista 4760 (voir manuel Installation pour la liste) sourceip @Lan1_Client @VPN_Client @VPN_Client @Lan2_Client DestinationIP @VPN_Server @VPN _Server @Lan2_Server @Lan2_Server Le serveur se connecte au port Notification du client OmniVista 4760 (30500-30509) sourceip @VPN_Server @VPN _Server @Lan2_Server @Lan2_Server DestinationIP @Lan1_Client @VPN_Client @VPN_Client @Lan2_Client 3. GESTION SPÉCIFIQUE 3.1. Configuration du fichier Host Nous supposerons qu'il n'y a aucun service DNS pour cette connexion VPN. Vous devez éditer le fichier host local pour les deux systèmes client et serveur (WinNT\Sytem32\driver\etc\hosts). Sur le PC serveur, fournir l'adresse IP correspondant au hostname client visible sur LAN2. @Lan2_Client CLIENT CLIENT.LABO.FR Sur le PC client, fournir l'adresse IP correspondant au hostname serveur visible sur LAN1. @VPN_Server SRV4760 SRV4760.ALCATEL.FR TC0803 4 Ed. 01 / 03-07-2006
FONCTIONNEMENT OmniVista 4760 SUR OmniVista 4760 3.2. Modification Client Maintenant le client et serveur OmniVista 4760 peuvent communiquer en utilisant un simple protocole : http, ldap,... Mais les protocoles comme CORBA qui encapsule l'identification du ne sont pas compatibles NAT. Sur le serveur OmniVista 4760, CORBA est initialisé en utilisant le hostname du serveur. Comme nous avons édité correctement le fichier host du client, il n'y a pas de problème: le client OmniVista 4760 sera capable de lancer la connexion vers le serveur. Sur le client OmniVista 4760, CORBA est initialisé en utilisant l'adresse IP locale. Cela limitera l'utilisation de l'omnivista 4760 : le serveur OmniVista 4760 échouera pour envoyer la notification sur le port 30500 30509 du client CORBA. il n'y a pas d'alarme sur le client, le module configuration ne peut être lancé Cependant il est possible de modifier le paramètre client : 1 localiser le programme client: 4760client\lib\ext\runnmc.bat 2 éditer ce fichier 3 modifier ipnumeric yes en ipnumeric no (il y 2 lignes pour éditer ce paramètre) De cette façon, le client hostname sera envoyé au serveur OmniVista 4760 server. Maintenant l'envoi de la notification par le serveur ne devrait pas échouer. 3.3. Configuration du firewall Pour faire fonctionner les applications OmniVista 4760, il est nécessaire de mettre à jour les règles des firewalls et d'autoriser tout le trafic IP OmniVista 4760 entre le client et le serveur: 1 Vérifier dans le manuel Installation de l'omnivista 4760 3BH 19260: Chapitre 14 Sécurité, Liste des ports IP. 2 S'assurer de l'adresse IP à contrôler : @LAN1, @LAN2 or @VPN 3 Concernant le serveur OmniVista 4760, autoriser la connexion à tous les services OmniVista 4760. 4 Concernant le client OmniVista 4760, autoriser la connexion sur le port CORBA de notification 30500 30509. Exemple On FW1, il est nécessaire d'autoriser la connexion entrante pour le client OmniVista 4760 : IP=@LAN1_Client Port = 30500 30509 Ed. 01 / 03-07-2006 5 TC0803
OmniVista 4760 FONCTIONNEMENT OmniVista 4760 SUR 4. GUIDE D'AIDE AU DÉPANNAGE 4.1. Message d'erreur Alarme quand le port 30500 n'est pas disponible Description Log: 4760Client.log Lancer le client OmniVista 4760 sur la connexion VPN Il y a '? ' comme information statistique de l'alarme Quand vous ouvrez l'application Alarme, l'arbre est vide High exception: ConsultationSeverity AlarmSeverity Request BAD_IDENTIFIER: null Srv4760 AlarmManager: ConsultationSeverity thread id: Thread[Thread- 37,6,main] Srv4760 AlarmManager: AlarmSeverity initialized with id: 391 Srv4760 AlarmManager: Request All Severities... Srv4760 AlarmManager: OH String Filter: Srv4760 AlarmManager: OSI Filter: Srv4760 AlarmManager: Request completed. Srv4760 AlarmManager: timedout thread id: Thread[AWT-EventQueue- 0,6,main] Analyse Le client ne reçoit aucune connexion sur son port Corba port 30500 30509: vérifier la configuration du firewall 4.2. Message d'erreur CONFIG quand le port 30500 n'est pas disponible Description Log: Status window of configuration Lancer le client OmniVista 4760 sur la connexion VPN Démarrer la Configuration Essayer de configurer un PCX La connexion échoue uid=adminnmc,ou=administrateurs,ou=administration,o=%companyroo t%,o=directoryroot is connected to server SRV4760:389. 2 new nodes displayed. 1 new node displayed. ComServerApi::ConnectA CORBA.SystemException: Connection to ComServer impossible Analyse Le client ne reçoit aucune connexion sur son port Corba port 30500 30509: vérifier la configuration du firewall TC0803 6 Ed. 01 / 03-07-2006
FONCTIONNEMENT OmniVista 4760 SUR OmniVista 4760 4.3. Firewall Méthode simple pour vérifier la configuration du firewall. 1 Sur le client OmniVista 4760, rechercher le port CORBA 3050x en attente de connexion (état écoute listening). 2 Démarrer le client OmniVista 4760. 3 Ouvrir une fenêtre DOS et contrôler le port de notification. C:\netstat a n 4 Sur le serveur OmniVista 4760, vérifier la connexion au port de notification client. 5 Ouvrir une fenêtre DOS C:>telnet CLIENTHOSTNAME 30500 S'il y a une erreur Connect, un firewall a rejeté la connexion. Ed. 01 / 03-07-2006 7 TC0803
OmniVista 4760 FONCTIONNEMENT OmniVista 4760 SUR TC0803 8 Ed. 01 / 03-07-2006