Benutzer-Werkzeuge

Webseiten-Werkzeuge


ale-stellar-remote-access-point-stellar-rap

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
ale-stellar-remote-access-point-stellar-rap [2020/06/06 09:44] – [Stellar RAP erscheint nicht in OmniVista 2500] bennyale-stellar-remote-access-point-stellar-rap [2023/03/22 11:36] (aktuell) – [Local Breakout] alex
Zeile 5: Zeile 5:
 Der Stellar RAP ist eine Möglichkeit von daheim in gleicher Art und Weise zu arbeiten als wäre man im Büro. ALE hat dazu Kampagenen für die Geschäftskontinuität aufgesetzt (Englisch und Deutsch) die diese Funktion bewerben.  Der Stellar RAP ist eine Möglichkeit von daheim in gleicher Art und Weise zu arbeiten als wäre man im Büro. ALE hat dazu Kampagenen für die Geschäftskontinuität aufgesetzt (Englisch und Deutsch) die diese Funktion bewerben. 
  
-===== Links zur Kampagne ===== 
-  * https://www.al-enterprise.com/de-de/loesungen/geschaeftskontinuitaet/sicherer-remote-zugriff (Deutsch) 
-  * https://www.al-enterprise.com/en/solutions/business-continuity/secure-remote-access (Englisch) 
  
 ===== Links zur Dokumentation & Software ===== ===== Links zur Dokumentation & Software =====
 <WRAP center round tip 60%> <WRAP center round tip 60%>
-Die folgenden Links benötigen einen Zugang zum ALE BusinessPortal+Die folgenden Links benötigen einen Zugang zum [[https://myportal.al-enterprise.com/|ALE MyPortal]]. Die Links wurden auch auf die aktuellen Releases verlinkt (Mai 2022).
 </WRAP> </WRAP>
   * Stellar Wireless   * Stellar Wireless
-    * [[https://businessportal2.alcatel-lucent.com/awos-40042-ga-release-notes|AWOS 4.0.0.42 GA Release Notes]] +    * [[https://myportal.al-enterprise.com/a4F5I000000YSupUAG|AWOS 4.0.4.3066 - Release Notes]] 
-    * [[https://businessportal2.alcatel-lucent.com/TDD000788|Stellar AP User Guide AWOS 4.0.0]] +    * [[https://myportal.al-enterprise.com/a4F5I000000HIS7UAO|Stellar AP AWOS 4.0.4 Stellar User Guide]] 
-    * [[https://businessportal2.alcatel-lucent.com/awos-40042-release-omnivista-package|Stellar AWOS R4.0.0.42 GA]] +    * [[https://myportal.al-enterprise.com/a4F5I000000HIQfUAO|OmniAccess Stellar Troubleshooting Guide 4.0.4]] 
-  * OmniVista 2500 v4.5R1 +    * [[https://myportal.al-enterprise.com/a4F5I000000YSukUAG|AWOS 4.0.4.3066 - Maintenance Release package]] 
-    * [[https://businessportal2.alcatel-lucent.com/TDD000785|OV 2500 NMS-E 4.5R1 Installation and Upgrade Guide]] +  * OmniVista 2500 v4.6R2 
-    * [[https://businessportal2.alcatel-lucent.com/TDD000784|OV 2500 NMS-E 4.5R1 Release Notes]] +    * [[https://myportal.al-enterprise.com/a4F5I000000HIIWUA4|OV 2500 NMS-E 4.6R2 Installation and Upgrade Guide]] 
-    * [[https://businessportal2.alcatel-lucent.com/r45-r01-51-ovf-virtual-appliance-omnivista-2500-nms-enterprise|R4.5 R0151 - OVF - Virtual Appliance - OmniVista 2500 NMS Enterprise]] +    * [[https://myportal.al-enterprise.com/a4F5I000000HIIMUA4|OV 2500 NMS-E 4.6R2 Release Notes]] 
-    * [[https://businessportal2.alcatel-lucent.com/r45-r01-51-hyperv-omnivista-2500-nms-enterprise|R4.5 R0151 hyperv - OmniVista 2500 NMS Enterprise]]+    * [[https://myportal.al-enterprise.com/a4F5I000000HIIRUA4|OV 2500 NMS-E 4.6R2 User Guide]] 
 +    * [[https://myportal.al-enterprise.com/a4F5I000000HIIqUAO|R4.6 R02 34 - OVF - Virtual Appliance - OmniVista 2500 NMS Enterprise]] 
 +    * [[https://myportal.al-enterprise.com/a4F5I000000HIIgUAO|R4.6 R02 34 - hyperv - OmniVista 2500 NMS Enterprise]] 
 +    * [[https://myportal.al-enterprise.com/a4F5I000000HIIlUAO|R4.6 R02 34 kvm - OmniVista 2500 NMS Enterprise]]
   * Remote Access Point VPN VA   * Remote Access Point VPN VA
-    * [[https://businessportal2.alcatel-lucent.com/TDD000786|OV 2500 NMS-E 4.5R1 Remote Access Point and VPN VA Installation Guide]] +    * [[https://myportal.al-enterprise.com/a4F5I000000HIIbUAO|OV 2500 NMS-E 4.6R2 Remote Access Point and VPN VA Installation Guide]] 
-    * [[https://businessportal2.alcatel-lucent.com/r45-r01-21-ovf-and-hyperv-virtual-appliance-vpn-server-remote-access-point|R4.5 R0121 - OVF and HyperV - Virtual Appliance - VPN Server for Remote Access Point]]+    * [[https://myportal.al-enterprise.com/a4F5I000000YNLkUAO|R4.5 R03 - OVF and HyperV - Virtual Appliance - VPN Server for Remote Access Point]] 
 + 
 +<WRAP center round tip 60%> 
 +4.5R3 Build 1 ist das aktuelle RAP-VA Release für den Betrieb mit AWOS 4.0.4.x und OV 4.6R2. Die Anleitung für 4.6R2 gilt auch für diese RAP-VA! 
 +</WRAP> 
  
 ===== Exemplarischer Aufbau ===== ===== Exemplarischer Aufbau =====
Zeile 47: Zeile 52:
   * Stromversorgung mit passenden externen Netzteil, dieses sollte folgende Werte haben (anklicken für hochauflösendes Foto :))   * Stromversorgung mit passenden externen Netzteil, dieses sollte folgende Werte haben (anklicken für hochauflösendes Foto :))
   * {{:stellar:stellar-ap1201h-netzteil.jpg?direct&600|}}   * {{:stellar:stellar-ap1201h-netzteil.jpg?direct&600|}}
 +<WRAP center round tip 60%>
 +Das hier abgebildete Netzteil wurde durch eine 50 Watt Variante ersetzt. Dieses ist in unserer Preisliste unter "ADP-50GRBE" zu finden.
 +</WRAP>
  
 ===== Technischer Aufbau ===== ===== Technischer Aufbau =====
Zeile 70: Zeile 78:
  
 {{ ::rap_ssid_downlink-ports_ovc.pdf |}} {{ ::rap_ssid_downlink-ports_ovc.pdf |}}
 +
 +==== Bei Verwendung der VMware VA ====
 +
 +Damit das Bridging zwischen der RAP VA und dem VMware Hypervisor funktioniert, müssen im vCenter (oder am ESXi Server direkt) der "Promiscuous-Modus (Promiscuous mode)" und "Gefälschte Übertragungen (Forget transmits)" auf "Akzeptieren (enable)" gestellt werden.
 +
 +**vCenter Distributed-Switch:**
 +Distributed Switch -> Port-Group -> Configure -> Policies -> EDIT -> Security
 +
 +{{:vmware_distributed_switch.png?600|}}
 +
 +**vCenter Standard-Switch:**
 +ESX Host -> Konfigurieren -> Netzwerk -> Virtuelle Switches -> vSwitch xxx -> Portgruppen -> VLAN xxx -> Bearbeiten -> Sicherheit
 +
 +{{:vcenter_promiscuous_mode.png?600|}}
 +
 +**ESXi:**
 +Netzwerk -> Portgruppe -> Einstellungen bearbeiten -> Sicherheit
 +
 +{{:esxi_promiscuous_mode.jpg?600|}}
 +
 +
  
 ===== Fragen und Antworten ===== ===== Fragen und Antworten =====
Zeile 82: Zeile 111:
  
 Über den OmniVista Cirrus (Freemium Tenant, es ist also keine Lizenz notwendig) wird die automatische Installation ermöglicht. Neben der Information wo OmniVista 2500 im Kundennetz erreichbar ist, werden über OmniVista Cirrus auch die Schlüssel für das VPN ausgerollt. Wir planen in einem zukünftigen OmniVista 2500 Release auch eine Inbetriebnahme ohne Cloud zu ermöglichen. Wenn das für das Projekt besonders wichtig ist, lasst es uns bitte wissen. Über den OmniVista Cirrus (Freemium Tenant, es ist also keine Lizenz notwendig) wird die automatische Installation ermöglicht. Neben der Information wo OmniVista 2500 im Kundennetz erreichbar ist, werden über OmniVista Cirrus auch die Schlüssel für das VPN ausgerollt. Wir planen in einem zukünftigen OmniVista 2500 Release auch eine Inbetriebnahme ohne Cloud zu ermöglichen. Wenn das für das Projekt besonders wichtig ist, lasst es uns bitte wissen.
 +
 +==== Was gibt es bei VMware ESXi Servern mit NIC-Teaming zu beachten? ====
 +
 +Dieser Punkt äußert sich dadurch dass der Client am Stellar-RAP keine IP-Adresse erhält.
 +Wenn am ESXi-vSwitch kein LACP-basiertes Link-Aggregat verwendet wird, dann wird häufig ein "NIC-Teaming" eingesetzt.
 +
 +Ein NIC-Teaming kann über mehrere Switches angelegt werden und bietet dadurch kostengünstig (ohne weitere Lizenz) eine zusätzliche Option für Durchsatz & Redundanz.
 +
 +=== Es kommt als Lösung eine der folgenden drei Optionen in Frage: ===
 + 
 +  - Nur eine Verbindung zwischen ESXi-Server und LAN (keine Redundanz)
 +  - Verwendung der VMware Enterprise Lizenz + vCenter + Distributed vSwitch mit LACP
 +  - NIC-Teaming im vSwitch mit Net.ReversePathFwdCheckPromisc
 +
 +=== Die Option "Net.ReversePathFwdCheckPromisc" lässt sich wie folgt konfigurieren: ===
 +
 +**Im VMware WebUI:**
 +
 +  - Im Navigator "Manage > System > Advanced settings" auswählen
 +  - Runterscrollen oder in der Suchleiste nach der Net.ReversePathFwdCheckPromisc Option suchen
 +  - Net.ReversePathFwdCheckPromisc auswählen und "Edit option" anklicken
 +  - Die Option Net.ReversePathFwdCheckPromisc auf "1" setzen und mit "Save" abspeichern
 + 
 +Die Net.ReversePathFwdCheckPromisc Option ist standardmäßig nicht aktiviert und wird auf dem hier beschriebenen Weg global aktiviert.
 +
 +**ESXi:**
 +{{ ::esxi-mgmt.png?direct |}}
 +
 +**vCenter:**
 +{{ ::vcenter-config.png?direct |}}
 +
 +**Aus der folgenden Tabelle lassen sich die weiteren zu verwendenden Einstellungen ableiten:**
 +{{ ::vmware-optionen.png?direct |}}
 +
 +
 +===== Local Breakout =====
 +Local Breakout benutze ich dafür, dass bestimmter User-Traffic lokal ausbrechen kann (der gewünschte Traffic geht dann nicht mehr durch den WG-Tunnel). Die Performance des bestimmten Traffics steigt und der WG-Tunnel wird nicht mit Traffic belastet der nicht unbedingt durch den WG-Tunnel muss.
 +
 +In den oberen Schritten ist bereits erklärt, wie man grundsätzlich einen RAP in Betrieb nimmt. Darauf bauen die folgenden Schritte auf.
 +
 +
 +=== Konfiguration Local Breakout ===
 +Unter dem Punkt "WLAN -> SSIDs" kann die SSID konfiguriert werden die genutzt werden soll.
 +{{ :rap_wifi_local_breakout.jpg?direct&400 |}}
 +
 +Grundsätzlich ist es so, dass der komplette Traffic dann lokal ausbricht. Falls bestimmter Traffic jedoch wieder in den Tunnel geleitet werden soll, muss eine statische Route angegeben werden. (siehe im oberen Bild)
 +
 +Anschließend kann mit "Save and Apply to AP Group" die Konfiguration ausgerollt werden.
 +
 +**Bitte beachten!**
 +
 +Das Gateway der Netze, die über den Tunnel erreicht werden sollen, liegt in dem VLAN, welches unter VLAN(s) definiert wurde:
 +
 +{{ :stellar:local_breakout_routes.png?600 |}}
 +
 +<WRAP center round tip 60%>
 +Der Access Point bezieht ebenfalls eine IP-Adresse aus diesem Netz, um das Gateway für die Clients für Local Breakout zur Verfügung zu stellen. D.h. je nach Anzahl der RAPs müssen nicht nur die Anzahl der Client-IPs, sondern auch die Anzahl der RAP-IPs im DHCP-Scope berücksichtigt werden!
 +</WRAP>
 +
 +ifconfig RAP:
 +
 +{{ :stellar:local_breakout_ifconfig_rap.png?400 |}}
 +
 +ipconfig auf Laptop:
 +
 +{{ :stellar:local_breakout_ipconfig.png?400 |}}
 +
 +traceroute ins Internet:
 +
 +{{ :stellar:local_breakout_tracert.png?400 |}}
 +
 +traceroute an eine IP über den Tunnel:
 +
 +{{ :stellar:local_breakout_tracert_tunnel.png?400 |}}
 +
 +=== Troubleshooting Local Breakout ===
 +In den meisten Fällen sollte kontrolliert werden, ob gerade die statischen Routen an den AP übertragen wurden. (bitte nach dem Ausrollen der Konfiguration auf die AP Gruppe 2-3 min warten)
 +In diesem Fall kann in der AP Gruppe die SSH-Verbindung für die APs freigegeben werden und mit einem eigenen Passwort versehen werden. (Login-User ist "support")
 +Sobald man sich per SSH auf den AP eingeloggt hat, kann mit dem Befehl "route -n" kontrolliert werden, ob die Route(n) richtig auf dem AP hinterlegt sind.
 +{{ :rap_ssh_route.png?direct&400 |}}
 +
 +
 +===== Konfiguration von Ethernet-Ports hinter einem RAP =====
 +Hier wird beschrieben, wie hinter einem RAP ein Gerät angeschlossen werden kann (z.B. ein Telefon oder ein Laptop), welches einen Ethernet-Port benötigt.
 +
 +Um ein Tagging auf einen RAP-Ethernet-Port benutzen zu können, muss auf der WireGuard VA, der Netzwerkadapter auf dem der Ethernet-Port terminieren soll, auf VLAN 4095 gestellt werden!
 +
 +{{ :vmware_netzwerkadapter.png?direct&400 |}}
 +
 +<WRAP center round tip 60%>
 +Aktuell ist 1x VLAN tag auf einem Ethernet-Port möglich. Die Möglichkeit, mehrere VLANs auf einen Ethernet-Port zu programmieren, kommt mit AWOS 4.0.5 ab Oktober 2022!
 +</WRAP>
 +
 +Im OV2500 muss unter "Unified Access -> Unified Profile -> Template -> Access Auth Profile" ein Profil angelegt werden. Dieses Profil muss auf die "AP Group" ausgerollt werden, wo sich die APs befinden bei denen ich die Ethernet-Ports benutzen möchte.
 +
 +{{ :ov_2500_access_auth_profile_rap_tagging.png?direct&400 |}}
 +
 +Das "Access Role Profile", welches im "Access Auth Profile" eingetragen wird, muss ebenfalls konfiguriert werden. Dort ist zu beachten, dass man bei "Apply to Device" die Mapping Method auf "Map to VLAN and Tunnel" umgestellt werden muss. Im Bereich VLAN trägt man das gewünschte VLAN ein und beim Tunnel Profile trägt man das gewünschte Tunnel Profil ein.
 +Zu guter Letzt muss noch die entsprechende AP Group ausgewählt werden.
 +
 +{{ :ov_2500_access_role_profile_rap_tagging.png?direct&400 |}}
 +
 +Sollte die Konfiguration fertig sein, kann man ein Gerät anschließen. Im Bereich "Network -> AP Registration -> Access Points" kann der RAP ausgewählt werden und über den Punkt "Client Count" das Wired-Gerät überprüft werden. Dort wird auch angezeigt, ob der Client das richtige Profil bekommen hat.
 +
 +
ale-stellar-remote-access-point-stellar-rap.1591436640.txt.gz · Zuletzt geändert: 2020/06/06 09:44 von benny

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki