Zkusme nulovou konfiguraci s VPN routerem "RTX830"
Minule jsem použil integrovanou službu správy sítě Yamaha „Yamaha Network Organizer (YNO)“ k vybudování VPN pro vzdálený přístup. I když tam nebylo síťové zařízení, které se má spravovat, bylo to pohodlné, protože nastavení bylo možné provést přes cloudovou službu.
Zejména v organizaci, která nemá správce sítě na plný úvazek, jste možná měli pocit, že by bylo možné snížit zátěž správce. I organizace, které se zavedením VPN v minulosti váhaly, mohou najít příležitost zvážit zavedení VPN.
Nyní, tentokrát, zkusme "Zero Config", který přelévá konfigurační informace (CONFIG) již běžícího RTX830 do jiného RTX830. Normálně nelze síťová zařízení používat ve výchozím stavu z výroby a je třeba je nastavit. Bez nadsázky lze říci, že toto nastavení zvyšuje zátěž administrátorů.
Nastavování je časově náročné a stresující. I když uděláte chybu v jednom nastavení, nebude fungovat správně a vynechání nastavení může neúmyslně vytvořit bezpečnostní díru. Pokud by bylo možné zkopírovat informace o nastavení ze zařízení, které je již v běžném provozu, nevedlo by to ke snížení práce na řízení.
Tok nulové konfigurace provedené tentokrát je následující.
Zařízení s výchozím továrním nastavením není připojeno k internetovému připojení, takže se nelze připojit k YNO. Proto volíme metodu uložení CONFIG na SD kartu a načtení automaticky. Začněme.
Nejprve se přihlaste do YNO a vytvořte základní CONFIG. Přihlasme se do YNO pomocí vydaného ID operátora a hesla a zobrazme si dashboard. Kromě toho vyberte z nabídky "Správa zařízení" - "Seznam zařízení" pro zobrazení obrazovky se seznamem zařízení. Poté se v seznamu zobrazí RTX830, který naposledy vytvořil VPN.
Kromě toho se podívejme na WebGUI odpovídajícího zařízení. WebGUI lze zobrazit kliknutím na šipku ve sloupci akcí zobrazeném napravo od RTX830 v seznamu zařízení. Když se zobrazí WebGUI, vyberte z nabídky „Jednoduché nastavení“ – „VPN“ – „Vzdálený přístup“ a zobrazte aktuální stav vzdáleného přístupu VPN. Vidíte, že je nastavena VPN pro vzdálený přístup.
Nyní zpět do YNO a zálohujte RTX830 CONFIG. Stiskněte tlačítko "CONFIG backup" v horní části obrazovky se seznamem zařízení. Poté se zobrazí obrazovka pro zadání názvu, zadejte název.
Kromě toho lze pro každý model zálohovat pouze jeden CONFIG. Vezměte prosím na vědomí, že CONFIG, který byl v minulosti zálohován, bude zahozen. Po spuštění zálohování se zobrazí obrazovka se seznamem úloh. Záloha bude zpracována okamžitě, takže to nebude trvat dlouho. Znovu načtěte obrazovku a ve sloupci Úspěch byste měli vidět „1“.
Pokud navíc zobrazíte obrazovku se seznamem z nabídky "Správa zařízení" - "Seznam zálohování CONFIG", uvidíte zálohovaná CONFIG. Zde můžete zobrazit podrobnosti o záloze stisknutím Zobrazit podrobnosti. Tento podrobný CONFIG bude později použit pro počáteční vytvoření CONFIG.
Dále vytvořte CONFIG pro zkopírování na SD kartu. To se provádí na úvodní obrazovce CONFIG. Z nabídky vyberte "Správa zařízení" - "Zero Config" - "Initial CONFIG List" a stiskněte tlačítko "New Initial CONFIG" v horní části obrazovky pro zobrazení obrazovky pro vytvoření nového. Následující příkazy jsou již zadány v počátečním vstupním poli CONFIG na obrazovce nového vytvoření.
yno use onyno zero-config id text \OPERATOR_NAME\ \PLACE_ID\ \PASSWORD\Toto je příkaz "Použít YNO". Před tímto příkazem zadejte potřebné příkazy k vytvoření počátečního CONFIG. Chcete-li vytvořit počáteční CONFIG, můžete použít RTX830 CONFIG, který jste si dříve zálohovali, a změnit pouze nezbytné části.
Předtím stručně vysvětlím význam příkazů zadaných v CONFIG po částech.
IP route default gateway pp 1Změňte podle potřeby. Při vytváření site-to-site VPN dávejte pozor, abyste neduplikovali IP adresy na straně LAN.
IP adresa lan1 192.168.100.1/24pp zakázat všeNakonfigurujte připojení k poskytovateli . pp vybrat 1 pp vždy zapnuto na pppoe použít lan2 pp auth přijmout pap chap pp auth moje jméno [uživatel poskytovatele] [heslo] …
Nakonfigurujte uživatele, kteří přistupují pomocí vzdáleného přístupu VPN.
pp vybrat anonymnípp svázat tunel1pp žádost o ověření chap-pappp auth uživatelské jméno [uživatel připojení PPTP] [heslo]…pp povolit anonymnítunel vybrat 1 zapouzdření tunelu l2tpipsec tunel 1ipsec sa policy 1 1 esp aes-cbc sha-hmac …povolení tunelu 1ip filtr 200000 odmítnutí 10.0.0.0/8 * * * *ip filtr 200001 odmítnutí 172.16.0.0 /12 * * * *ip filtr 200002 odmítnutí 192.168.0.0/16 * * * *ip filtr 200003 odmítnutí 192.168.100.0/24 * * * *…nat typ deskriptoru 1000 maškarádaMusí odpovídat IP adrese zařízení na straně LAN.
služba dhcp serverdhcp server rfc2131 kompatibilní s výjimkou stay-silentdhcp rozsah 1 192.168.100.2-192.168.100.191/24dns hostitel lan1dns server pp 00001 libovolný server 5 5001 omezit pp 1dns soukromou adresu spoof na
Po dokončení uložte. Zadané počáteční CONFIG se zobrazí v seznamu a po zobrazení je následující.
Jakmile vytvoříte úvodní CONFIG, stáhněte si jej do místního počítače. Vraťte se do nabídky "Správa zařízení" - "Zero Config" - "Seznam CONFIG" a stiskněte ikonu stahování na pravém konci CONFIG, abyste získali počáteční CONFIG, který bude stažen. Zkopírujte tento config.txt na vaši micro SD kartu.
Připojte napájecí kabel a síťový kabel na straně WAN k novému RT830, vložte kartu SD do slotu a zapněte napájení.
Když zapnete napájení, začne blikat kontrolka NAPÁJENÍ a po zaznění pípnutí bude blikat kontrolka STATUS. Po výměně CONFIG zazní pípnutí.
Pojďme znovu načíst obrazovku seznamu zařízení YNO. Zobrazí se následujícím způsobem. "New CPE" je zařízení, které bylo nastaveno s nulovou konfigurací. Uspěl.
Aktualizujte firmware na nejnovější verzi pomocí tlačítka "Firmware update" v horní části obrazovky se seznamem zařízení. "GUI Forwarder", který může zobrazit WebGUI spravovaného zařízení, musí být "Rev,15.02.03" nebo novější.
Po aktualizaci firmwaru na nejnovější verzi zobrazte WebGUI a zkontrolujte VPN pro vzdálený přístup. by měl být nastaven.
Tentokrát jsme k provedení počátečního nastavení routeru použili funkci Zero Config od YNO, která automaticky odesílá konfigurační informace (CONFIG) do zařízení připojených ke správci YNO.
Pokud je router umístěn na vzdáleném místě, jednoduše odešlete SD kartu obsahující CONFIG místnímu odpovědnému pracovníkovi, vložte SD kartu do routeru a zapněte napájení.
Minule jsme použili YNO ke skutečnému ručnímu nastavení věcí v cloudové službě, ale tentokrát se administrátor téměř vůbec nedotkne skutečného počítače. Zejména při instalaci více routerů lze potlačit chyby v nastavení a omezit práci administrátorů.