1
COMMUNICATION TECHNIQUE
N° TC0803 Ed. 01OmniPCX Enterprise
Nb de pages : 10 Date : 03-07-2006 URGENTENON URGENTE TEMPORAIRE DEFINITIVE
OBJET : FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT
Veuillez trouver ci-après la documentation sur le "Fonctionnement OmniVista 4760 sur un réseau VPN / NAT".
OmniVista 4760
FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT
Ed. 01 / 03-07-2006 1 TC0803
SOMMAIRE
1. PRÉSENTATION ...3
2. FLUX IP ...4
3. GESTION SPÉCIFIQUE ...4
3.1. Configuration du fichier Host... 4
3.2. Modification Client... 5
3.3. Configuration du firewall... 5
4. GUIDE D'AIDE AU DÉPANNAGE ...6
4.1. Message d'erreur Alarme quand le port 30500 n'est pas disponible ... 6
4.2. Message d'erreur CONFIG quand le port 30500 n'est pas disponible ... 6
4.3. Firewall... 7
TC0803 2 Ed. 01 / 03-07-2006
OmniVista 4760
FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT
Ed. 01 / 03-07-2006 3 TC0803
1. PRÉSENTATION
OmniVista 4760 a été conçu pour fonctionner sur un site intranet où tous les systèmes OmniVista 4760, Clients et Serveur, sont connectés sur un même réseau LAN et utiliser le serveur DNS ou le fichier host pour communiquer.
Maintenant des clients aimeraient étendre leur intranet sur un réseau VPN. Cela a un impact sur l'adresse IP étant donné qu'une telle solution VPN s'accompagne d'une translation d'adresse IP (NAT - Network Address Translation).
Pour faire fonctionner OmniVista 4760 sur un réseau VPN, il est nécessaire :
• d'avoir une parfaite connaissance de l'architecture du réseau VPN client,
• de modifier la configuration du firewall pour autoriser tout le trafic OmniVista 4760,
• de mettre à jour le fichier host des client OmniVista 4760 et serveur OmniVista 4760,
• de mettre à jour un paramètre dans le fichier batch runnmc.bat du client OmniVista 4760.
Restrictions
• l'adresse "Natée" utilisée pour VPN nécessite d'être statique.
• La translation du port adresse (PAT) n'est pas supportée.
Exemple de topologie client réelle.
Translation adresse IP Client 4760 Translation adresse IP Serveur 4760
Réseau Adresse IP Client Réseau Adresse IP Serveur
LAN1 @Lan1_Client LAN2 @Lan2_Server
VPN Network @VPN_Client VPN Network @VPN_ Server
LAN2 @Lan2_Client LAN1 @VPN_ Server
LAN 1
Réseau VPN OmniVista
4760 Client
LAN 2 OmniVista 4760 Server
128.213.224.0
NAT NAT
10.19.10.0
IPSec Equipement1 IPSec Equipement2
NAT FW1
TC0803 4 Ed. 01 / 03-07-2006
LAN1 Réseau VPN LAN2
Le client se connecte aux services du serveur OmniVista 4760 (voir manuel Installation pour la liste)
sourceIP @Lan1_Client @VPN_Client @VPN_Client @Lan2_Client
DestinationIP @VPN_Server @VPN _Server @Lan2_Server @Lan2_Server
Le serveur se connecte au port Notification du client OmniVista 4760 (30500-30509)
sourceIP @VPN_Server @VPN _Server @Lan2_Server @Lan2_Server
DestinationIP @Lan1_Client @VPN_Client @VPN_Client @Lan2_Client
3. GESTION SPÉCIFIQUE 3.1. Configuration du fichier Host
Nous supposerons qu'il n'y a aucun service DNS pour cette connexion VPN. Vous devez éditer le fichier host local pour les deux systèmes client et serveur (WinNT\Sytem32\driver\etc\hosts).
Sur le PC serveur, fournir l'adresse IP correspondant au hostname client visible sur LAN2.
@Lan2_Client CLIENT CLIENT.LABO.FR
Sur le PC client, fournir l'adresse IP correspondant au hostname serveur visible sur LAN1.
@VPN_Server SRV4760 SRV4760.ALCATEL.FR
OmniVista 4760
FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT
Ed. 01 / 03-07-2006 5 TC0803
3.2. Modification Client
Maintenant le client et serveur OmniVista 4760 peuvent communiquer en utilisant un simple protocole : http, ldap, ... Mais les protocoles comme CORBA qui encapsule l'identification du ne sont pas compatibles NAT.
Sur le serveur OmniVista 4760, CORBA est initialisé en utilisant le hostname du serveur. Comme nous avons édité correctement le fichier host du client, il n'y a pas de problème: le client OmniVista 4760 sera capable de lancer la connexion vers le serveur.
Sur le client OmniVista 4760, CORBA est initialisé en utilisant l'adresse IP locale. Cela limitera l'utilisation de l'OmniVista 4760 : le serveur OmniVista 4760 échouera pour envoyer la notification sur le port 30500 – 30509 du client CORBA.
• il n'y a pas d'alarme sur le client,
• le module configuration ne peut être lancé
Cependant il est possible de modifier le paramètre client :
1 localiser le programme client: 4760client\lib\ext\runnmc.bat 2 éditer ce fichier
3 modifier ipNumeric yes en ipNumeric no (il y 2 lignes pour éditer ce paramètre)
De cette façon, le client hostname sera envoyé au serveur OmniVista 4760 server. Maintenant l'envoi de la notification par le serveur ne devrait pas échouer.
3.3. Configuration du firewall
Pour faire fonctionner les applications OmniVista 4760, il est nécessaire de mettre à jour les règles des firewalls et d'autoriser tout le trafic IP OmniVista 4760 entre le client et le serveur:
1 Vérifier dans le manuel Installation de l'OmniVista 4760 3BH 19260: Chapitre 14 Sécurité, Liste des ports IP.
2 S'assurer de l'adresse IP à contrôler : @LAN1, @LAN2 or @VPN
3 Concernant le serveur OmniVista 4760, autoriser la connexion à tous les services OmniVista 4760.
4 Concernant le client OmniVista 4760, autoriser la connexion sur le port CORBA de notification 30500 –30509.
Exemple
On FW1, il est nécessaire d'autoriser la connexion entrante pour le client OmniVista 4760 : IP=@LAN1_Client Port = 30500 – 30509
TC0803 6 Ed. 01 / 03-07-2006
4.1. Message d'erreur Alarme quand le port 30500 n'est pas disponible
Description Lancer le client OmniVista 4760 sur la connexion VPNIl y a ' ? ' comme information statistique de l'alarme Quand vous ouvrez l'application Alarme, l'arbre est vide Log:
4760Client.log High exception: ConsultationSeverity AlarmSeverity Request BAD_IDENTIFIER:
null
Srv4760 AlarmManager: ConsultationSeverity thread id: Thread[Thread- 37,6,main]
Srv4760 AlarmManager: AlarmSeverity initialized with id: 391 Srv4760 AlarmManager: Request All Severities...
Srv4760 AlarmManager: OH String Filter:
Srv4760 AlarmManager: OSI Filter:
Srv4760 AlarmManager: Request completed.
Srv4760 AlarmManager: timedout thread id: Thread[AWT-EventQueue- 0,6,main]
Analyse Le client ne reçoit aucune connexion sur son port Corba port 30500 – 30509:
vérifier la configuration du firewall
4.2. Message d'erreur CONFIG quand le port 30500 n'est pas disponible
Description Lancer le client OmniVista 4760 sur la connexion VPNDémarrer la Configuration Essayer de configurer un PCX La connexion échoue
Log:
Status window of configuration
uid=AdminNmc,ou=Administrateurs,ou=Administration,o=%CompanyRoo t%,o=directoryRoot is connected to server SRV4760:389.
2 new nodes displayed.
1 new node displayed.
ComServerApi::ConnectA CORBA.SystemException:
Connection to ComServer impossible
Analyse Le client ne reçoit aucune connexion sur son port Corba port 30500 – 30509:
vérifier la configuration du firewall
OmniVista 4760
FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT
Ed. 01 / 03-07-2006 7 TC0803
4.3. Firewall
Méthode simple pour vérifier la configuration du firewall.
1 Sur le client OmniVista 4760, rechercher le port CORBA 3050x en attente de connexion (état écoute – listening).
2 Démarrer le client OmniVista 4760.
3 Ouvrir une fenêtre DOS et contrôler le port de notification.
C:\netstat –a –n
4 Sur le serveur OmniVista 4760, vérifier la connexion au port de notification client.
5 Ouvrir une fenêtre DOS
C:>telnet CLIENTHOSTNAME 30500
S'il y a une erreur Connect, un firewall a rejeté la connexion.
TC0803 8 Ed. 01 / 03-07-2006