Suite

Faire une topologie de réseau routable à l'aide de pgRouting ?

Faire une topologie de réseau routable à l'aide de pgRouting ?


Nous essayons de créer une topologie de réseau pour pgRouting à partir de nos propres données. Mais il y a un problème que nous n'avons pas pu résoudre ; nos données routières ressemblent à ceci ;

Le bord rouge est une géométrie unique, nous ne pouvons donc pas faire de route entre ces nœuds. Comment pouvons-nous convertir ces données pour pouvoir faire fonctionner le routage ?


Vous pouvez utiliser la fonction pgRouting pgr_nodeRéseau, qui créera des nœuds aux intersections de chaînes de lignes.

Donc, dans votre cas, il divisera la chaîne de lignes en deux géométries. Mais il y a un danger que les intersections, qui ne devraient pas être connectées (c'est-à-dire les passages supérieurs ou inférieurs), soient également divisées en deux segments.


Avant d'appliquer le pgrouting à vos données, vous devez transformer vos données en réseau. Par réseau, j'entends un réseau topologique où toutes les règles sont prises en charge et où il n'y a pas de violation des règles du réseau.

Je suis sûr que vous en savez peu sur les règles topologiques. Par exemple, il doit y avoir un nœud final où votre lien touche le lien rouge dans l'image ci-dessus.

Vous pouvez supprimer ces erreurs dans QGIS avec un plugin appelé PostGIS Topology Editor.

Appliquez d'abord les règles de topologie, puis essayez d'implémenter PgRouting.


Réseau

Lorsque vous créez un objet réseau, il contient le VLAN, la sécurité Web, les paramètres DNS et un ou plusieurs sous-réseaux. Vous pouvez augmenter la flexibilité de vos attributions d'adresses IP et de sous-réseaux dynamiques en configurant plusieurs sous-réseaux et en réservant des adresses IP, puis en les attribuant à l'aide de classificateurs. Vous pouvez également définir le type de réseau, c'est-à-dire si l'objet réseau est utilisé pour une utilisation interne (d'entreprise) ou invitée. Lorsque vous configurez un réseau pour une utilisation invité, le trafic vers et depuis le réseau invité ne peut pas passer par le tunnel VPN et ne peut accéder qu'à Internet.

Vous pouvez créer des configurations de sous-réseau uniques pour chacun de vos sites ou répliquer la même configuration de sous-réseau pour chacun de vos sites. Vous pouvez répliquer les sous-réseaux NAT sur les interfaces de tunnel sur les routeurs de chaque site si vous avez des sites de succursale dans votre topologie d'entreprise qui ont des schémas d'adresses IP qui se chevauchent ou sont en conflit. De cette façon, les routeurs de succursale peuvent ensuite mapper les sous-réseaux locaux à différentes adresses pouvant être acheminées via des tunnels VPN sur votre réseau.

Cette page répertorie les attributs suivants des réseaux précédemment définis :

Nom: Le nom du réseau

Web  Sécurité : si la sécurité Web est activée pour le réseau (et si oui, s'il s'agit de Barracuda ou de Websense) ou non ("Aucun")

DNS Service: Le nom du serveur DNS et un lien vers ses paramètres au cas où vous souhaiteriez les modifier

Sous-réseaux: liste déroulante de tous les sous-réseaux de l'objet réseau

Pour voir les paramètres DHCP, NTP, durée de bail et nom de domaine pour un sous-réseau particulier parmi plusieurs définis pour le réseau, choisissez le sous-réseau dans la liste déroulante.

DHCP: si DHCP est activé ou désactivé pour un sous-réseau choisi

IP du serveur NTP : L'adresse IP  du serveur NTP  attribuée aux clients DHCP  sur un sous-réseau choisi

Durée du bail: durée en secondes pendant laquelle les paramètres réseau sont loués aux clients DHCP  par le serveur DHCP  sur un sous-réseau choisi

Nom de domaine: Le nom de domaine attribué aux clients DHCP  sur un sous-réseau choisi

Virtual HM : Le nom du VHM  (virtual HiveManager ) auquel appartient le réseau

  • La colonne Virtual HM s'affiche uniquement lorsque vous êtes connecté à « Tous les VHM » avec des privilèges de super-utilisateur. Ensuite, vous pouvez voir les réseaux qui appartiennent à divers VHM . Sinon, cette colonne est masquée et vous ne pouvez voir que celles qui appartiennent au VHM spécifique auquel vous êtes actuellement connecté.

Deux autres colonnes de tableau sont disponibles pour l'affichage mais ne sont pas affichées par défaut : la description, qui est une note définie par l'administrateur sur un réseau, et le type de réseau, qui affiche le type de réseau pour la gestion, l'utilisation interne ou l'utilisation en tant qu'invité. Pour l'afficher, cliquez sur le Modifier le tableau icône en haut de la page. Dans la boîte de dialogue Personnaliser les colonnes du tableau qui s'affiche, déplacez La description ou alors Type de réseau de la liste Colonnes disponibles à la liste Colonnes sélectionnées, puis cliquez sur Sauvegarder. Vous pouvez également masquer les colonnes que vous ne souhaitez pas voir et réorganiser l'ordre des colonnes. Pour rétablir les paramètres d'affichage par défaut de la page, cliquez sur Réinitialiser.

Pour configurer un réseau à utiliser par plusieurs succursales, cliquez sur Configuration > Afficher la navigation > Réseaux > Nouveau, saisissez ce qui suit, puis cliquez sur Sauvegarder:

Nom: saisissez un nom pour le réseau. Vous pouvez ensuite choisir ce nom dans la liste déroulante Affectation réseau ou VLAN uniquement dans un profil utilisateur et dans la colonne Réseau (VLAN) pour un profil LAN dans une stratégie réseau.

Sécurité Web: si vous utilisez un service de sécurité Web pour filtrer le trafic Web, choisissez Websense ou Barracuda dans la liste déroulante pour acheminer les requêtes HTTP et HTTPS via la plate-forme de sécurité Web tierce. En cas d'indisponibilité du service, vous pouvez choisir d'autoriser ou de refuser tout le trafic HTTP et HTTPS sortant que Websense ou Barracuda filtreraient autrement. Sélectionnez Aucun si vous ne souhaitez pas utiliser un service de sécurité Web pour filtrer le trafic Web. Pour plus d'informations sur la sécurité Web, consultez les sections « Paramètres du serveur Websense » et « Paramètres du serveur Barracuda » dans « Services HiveManager ».

Service DNS: choisissez le profil de service DNS dans la liste déroulante. Si vous ne voyez pas un service que vous souhaitez utiliser, vous pouvez créer un nouveau profil DNS en cliquant sur le bouton Nouveau ( + ) icône. Lorsque le type de réseau est à usage interne ou invité, un routeur Aerohive applique ce service aux requêtes DNS des clients se connectant au routeur soit directement, soit via un point d'accès ou un commutateur intermédiaire. Lorsque le type de réseau est gestion, le routeur l'applique aux requêtes DNS  des points d'accès et des commutateurs Aerohive sur le même réseau de gestion derrière le routeur et à l'interface mgt0 du routeur lui-même.

La description: saisissez une brève description de l'objet réseau. Inclure des informations telles que son objectif ou son emplacement est souvent utile.

Type de réseau: Choisir Usage interne, Utilisation par les invités, ou alors La gestion dans la liste déroulante.

Usage interne - Un réseau à usage interne est un réseau que les routeurs peuvent appliquer aux utilisateurs réguliers, tels que les employés ou les étudiants. Les services DNS et DHCP  sont facultatifs et vous pouvez activer la sécurité Web pour ce type de réseau. L'adressage des réseaux internes est unique parmi tous les sites de succursale, de sorte qu'il sera possible pour les routeurs de tunneler le trafic via une appliance virtuelle HiveOS vers un site central et vers d'autres sites de succursale.

Utilisation par les invités - Un réseau à usage invité est un réseau que les routeurs appliquent aux utilisateurs temporaires, tels que les visiteurs. Le service DHCP est requis (bien que vous puissiez désactiver le serveur DHCP) et le service DNS est facultatif. Vous pouvez activer la sécurité Web sur un réseau invité. Étant donné que les invités ne sont pas censés accéder aux ressources via des tunnels VPN sur les sites de l'entreprise ou d'autres succursales, l'adressage d'un réseau invité est le même pour tous les routeurs de tous les sites de succursale.

La gestion - Un réseau de gestion est le réseau sur lequel un routeur Aerohive et des points d'accès et des commutateurs Aerohive sur le même site de succursale communiquent entre eux. Les services DNS et DHCP sont requis et ne prennent pas en charge la sécurité Web car le trafic de gestion reste entre les différents appareils Aerohive sur le même site.

Dans la section Sous-réseau, vous pouvez créer des configurations de sous-réseau uniques pour chacun de vos sites ou répliquer la même configuration de sous-réseau pour chacun de vos sites. Pour créer un nouveau sous-réseau, cliquez sur Nouveau, saisissez les informations suivantes dans le champ Configurer le sous-réseau boîte de dialogue qui s'affiche, puis cliquez sur Sauvegarder:

Créer un sous-réseau unique sur chaque site: (sélectionner)

Choisissez cette option si vous souhaitez créer des configurations de sous-réseau uniques pour chacun de vos sites.

Espace d'adressage IP local: saisissez ici l'étendue de l'adresse IP parente. L'étendue parent est l'étendue principale qui contient les étendues d'adresses IP de tous les sites distants. Par exemple, l'étendue parente 10.0.0.0/16 contient les sous-réseaux 10.0.1.0/24, 10.0.2.0/24, 10.0.3.0/24, et ainsi de suite jusqu'à 10.0.255.0/24, inclus.

Partitionner l'espace d'adressage IP local en sous-réseaux: utilisez le curseur pour sélectionner la meilleure correspondance pour le nombre de succursales que vous devez configurer et le nombre de clients dans chaque succursale. Toutes les valeurs sont affichées sous forme de puissances de deux, donc une correspondance exacte est peu probable. Cependant, sélectionnez le nombre maximum de succursales prévisibles et assurez-vous que le nombre de clients par succursale dépasse le nombre maximum prévisible de clients dans une succursale. Si vous ne pouvez pas ajuster le nombre maximum de clients et de branches dans l'étendue parent que vous avez choisie, vous devez augmenter l'étendue parent.

Utiliser la première adresse IP du sous-réseau partitionné pour la passerelle par défaut: (sélectionner)

Choisissez cette option si vous souhaitez utiliser la première adresse IP  comme passerelle par défaut.

Utiliser la dernière adresse IP du sous-réseau partitionné pour la passerelle par défaut: (sélectionner)

Choisissez cette option si vous souhaitez utiliser la dernière adresse IP comme passerelle par défaut.

Répliquer le même sous-réseau sur chaque site: (sélectionner)

Choisissez cette option si vous souhaitez copier la même configuration de sous-réseau pour chacun de vos sites.

Si vous avez des sites de succursale dans votre topologie d'entreprise qui ont des schémas d'adresses IP qui se chevauchent ou sont en conflit et que la modification de ces structures d'adresses poserait des difficultés, vous pouvez utiliser NAT sur les interfaces de tunnel sur les routeurs de chaque site. Les routeurs de succursale peuvent ensuite mapper les sous-réseaux locaux à différentes adresses qui peuvent être acheminées via des tunnels VPN sur votre réseau. Avec cette approche, vous pouvez configurer les routeurs de succursale Aerohive, qui fonctionnent comme des passerelles NAT, pour mapper leurs adresses de sous-réseau local, une pour une, aux adresses de sous-réseau NAT. HiveManager mappe chaque adresse d'hôte du côté sous-réseau local du routeur de manière unique à une adresse d'hôte réseau correspondante du côté du sous-réseau NAT du routeur.

Aerohive fait référence au mappage un à un des adresses IP d'un sous-réseau local avec les adresses correspondantes d'un sous-réseau NAT. Par exemple, si 192.168.1.0/24 est le sous-réseau local pour le site 1 et 10.10.10.0/24 est le sous-réseau NAT pour le site 1, alors le routeur traduit l'adresse IP source du trafic sortant d'un hôte à l'adresse 192.168.1.10 en 10.10.10.10. Inversement, le routeur traduit l'adresse IP de destination du trafic entrant en 10.10.10.10 en 192.168.1.10.

Dans le même exemple, le site 2, qui est une branche différente, a un hôte avec la même adresse IP 192.168.1.10. Pour que le périphérique du site 1 se connecte à l'hôte du site 2, le routeur du site 1 traduit 192.168.1.10 en 10.10.10.10 et le routeur du site 2 traduit 192.168.1.10 en 10.10.20.0. La passerelle VPN du siège social est alors en mesure d'acheminer 10.10.10.10 et 10.10.20.10. De plus, un appareil au siège social peut également communiquer avec ces deux hôtes.

Sous-réseau local: saisissez l'adresse IP et le masque de réseau du sous-réseau local sur chaque site de succursale, et sélectionnez la première ou la dernière adresse IP comme passerelle par défaut selon la façon dont elle est configurée.

Utiliser la première adresse IP du sous-réseau partitionné pour la passerelle par défaut: (sélectionner)

Choisissez cette option si vous souhaitez utiliser la première adresse IP  comme passerelle par défaut.

Utiliser la dernière adresse IP du sous-réseau partitionné pour la passerelle par défaut: (sélectionner)

Choisissez cette option si vous souhaitez utiliser la dernière adresse IP comme passerelle par défaut.

Activer le serveur DHCP: L'activation du serveur DHCP sur les routeurs ruche supprime la nécessité d'avoir du matériel supplémentaire sur les sites distants qui fournissent le service. Lorsque vous sélectionnez Activer le serveur DHCP, des éléments de configuration supplémentaires s'affichent. Saisissez les informations suivantes, puis poursuivez la configuration du sous-réseau :

Pool d'adresses DHCP: Par défaut, aucune adresse IP n'est réservée. Il y a deux curseurs pour réserver des adresses IP dans le pool. Utilisez les commandes pour sélectionner l'endroit où vous souhaitez que votre pool d'adresses DHCP commence et se termine. Le curseur de gauche réserve les adresses au début du pool. Le curseur de droite réserve les adresses au bout de la piscine. Sous le curseur se trouve le nombre total d'adresses non réservées restantes dans le pool.

Par exemple, si le réseau est configuré dans l'illustration ci-dessous, chaque sous-réseau réserve dix adresses au début du pool et dix adresses à la fin.

Pour le premier sous-réseau (172.28.0.0 – 172.28.0.127) :

Adresse IP La description
172.28.0.0 Nom de réseau non utilisé par les appareils.
172.28.0.1 Réservé aux routeurs Aerohive non disponibles pour les appareils clients.
172.28.0.2 – 172.28.0.11 Dix premières adresses. La position du curseur de gauche du pool d'adresses DHCP indique que ces adresses sont réservées. Le service DHCP n'attribue pas ces adresses aux périphériques clients.
172.28.0.12 – 172.28.0.126 Pool d'adresses DHCP. Le service DHCP attribue ces adresses aux périphériques clients. Il y a 105 adresses dans ce pool, comme indiqué sous le curseur du pool d'adresses DHCP.
172.28.0.127 Adresse de diffusion non utilisée par les appareils.

Durée du bail: saisissez la durée de bail de l'adresse DHCP en secondes. Par défaut, le serveur loue les adresses pendant 86 400 secondes (un jour). Vous pouvez définir la durée du bail de 60 secondes à 86 400 000 secondes (1000 jours). N'incluez pas de virgules lors de la saisie des valeurs de durée de bail.

IP du serveur NTP: Saisissez l'adresse IP du serveur NTP (Network Time Protocol) avec lequel vous souhaitez que les clients synchronisent leurs horloges système.

Nom de domaine: Saisissez votre nom de domaine réseau.

Utilisez ARP pour vérifier les conflits d'adresses IP: Sélectionnez pour activer les routeurs Aerohive fonctionnant comme des serveurs DHCP pour vérifier si une adresse IP est utilisée avant de proposer de la louer à un client DHCP. Un serveur DHCP le fait en diffusant une requête ARP. Si le serveur reçoit une réponse ARP, il conclut que l'adresse IP  est déjà utilisée. Dans ce cas, il choisit la prochaine adresse IP disponible dans son pool d'adresses et diffuse une autre requête ARP pour vérifier si la deuxième adresse est utilisée. Le serveur DHCP poursuit cette procédure jusqu'à ce qu'une diffusion ARP n'obtienne pas de réponse, indiquant qu'aucun périphérique n'utilise actuellement cette adresse. Après avoir confirmé que le bail ne produira pas de conflit d'adresse IP, le serveur DHCP propose alors cette adresse au client.

Décochez pour désactiver les diffusions ARP  pendant l'échange de messages DHCP. Vous souhaiterez peut-être procéder ainsi s'il existe un grand nombre de clients demandant des baux DHCP et que l'effort supplémentaire pour vérifier la disponibilité des adresses consomme inutilement des ressources. Par défaut, la vérification ARP est activée.

Options personnalisées: Dans cette section, vous pouvez saisir les options DHCP standard (1 – 224), Aerohive (225 et 226) et personnalisées (227 – 254).

Le tableau suivant contient la liste des options standard qui ne sont pas prises en charge ici car les informations sont récupérées ailleurs automatiquement.

DHCP
Option
La source
1 DHCP_SOUS-RÉSEAU
3 DHCP_ROUTER
6 DHCP_DNS_SERVER
7 DHCP_LOG_SERVER
15 DHCP_DOMAIN_NAME
26 DHCP_MTU
42 DHCP_NTP_SERVER
44 DHCP_WINS_SERVER
51 DHCP_LEASE_TIME
58 DHCP_T1 (Délai de renouvellement)
59 DHCP_T2 (temps de reliure)
69 DHCP_SMTP
70 DHCP_POP3

Vous pouvez trouver des informations sur les options DHCP standard spécifiques dans la RFC 2132, « Options DHCP et extensions du fournisseur BOOTP ».

Paramètres de traduction d'adresses réseau (NAT): sélectionnez cette option pour développer la section des paramètres des paramètres NAT.

Activer NAT via les tunnels VPN: lorsque vous sélectionnez Répliquer le même sous-réseau de chaque côté au début du Configurer les sous-réseaux page, NAT est toujours activé (et la case ne peut pas être décochée).

Nombre de succursales: saisissez le nombre de sites de succursale que vous souhaitez répliquer.

Pool d'espaces d'adressage IP NAT: saisissez l'espace d'adressage IP NAT. L'espace d'adressage IP NAT doit être suffisamment grand pour être mappé au sous-réseau local sur chaque site de succursale de l'espace d'adressage IP du sous-réseau local.

Masquer: (Champ en lecture seule) HiveManager calcule le masque de réseau requis pour prendre en charge le nombre de branches de sous-réseau NAT que vous souhaitez répliquer et le pool d'adresses NAT que vous avez entré.

Mappage d'exportation: Le bouton Exporter le mappage vous permet d'exporter un mappage un à un de vos adresses IP de sous-réseau local vers leurs adresses IP de sous-réseau NAT correspondantes dans un fichier .csv (valeurs séparées par des virgules). Vous pouvez l'ouvrir avec un tableur, tel qu'un Microsoft Excel, après avoir entré une valeur pour le Nombre de succursales et un valide Pool d'espaces d'adressage IP NAT.

Activer la redirection de port via les interfaces WAN: (sélectionner)

La redirection de port sur l'interface WAN d'un BR100, BR200, AP330 ou AP350 en mode routeur de succursale permet aux ordinateurs distants du réseau public de se connecter à un hôte spécifique, tel qu'un serveur HTTP, sur le réseau privé derrière le routeur.

Le routeur de la filiale Aerohive a une seule adresse IP publique sur son interface WAN et exécute le NAT sur tout le trafic sortant vers Internet. Si vous avez besoin d'accéder à votre réseau local derrière le routeur, vous pouvez utiliser la redirection de port pour mapper le trafic entrant vers l'adresse IP interne et le numéro de port des serveurs sur le réseau local privé.

Un routeur y parvient en mappant le trafic entrant vers un port de destination spécifique sur son interface WAN/ETH0 vers un hôte sur le LAN privé connecté à l'une de ses interfaces LAN.

Pour configurer la redirection de port, configurez les adresses IP vers lesquelles les hôtes envoient le trafic, le numéro de port de destination, l'adresse IP de l'hôte local, le numéro de port de l'hôte interne et le protocole de trafic.

Par exemple, le site 2 exploite un serveur HTTP sur le port 8080. Par défaut, le routeur refuse toutes les connexions entrantes pour éviter l'exposition à des risques de sécurité potentiels. Dans cet exemple, vous pouvez configurer une règle de transfert de port qui mappe toutes les connexions TCP entrantes au port 8080 de l'interface WAN/ETH0 au port 80 de l'hôte à 192.168.1.2. Si un client à 1.1.1.1 initialise une demande de connexion HTTP à 2.2.2.2:8080, qui est l'adresse IP de l'interface WAN/ETH0 sur le routeur et le numéro de port de destination dans la règle de transfert de port, le routeur traduit la destination en 192.168.1.2:80. Pour la réponse HTTP, le routeur inverse la traduction de 192.168.1.2:80 à 2.2.2.2:8080.

Pour chaque interface WAN, la fonction de transfert de port actuelle vous permet de mapper jusqu'à 16 ports sur les 50 premières adresses IP statiques réservées que vous avez exclues du plus grand pool d'adresses DHCP pour accéder à certains périphériques de succursale.

Cliquez sur Voir les ports Aerohive pour afficher les ports sur l'interface WAN.

Clique le Nouveau et entrez les paramètres suivants pour mapper le trafic entrant vers un hôte interne, puis cliquez sur Appliquer:

Numéro de port de destination: sélectionnez et saisissez le numéro de port de destination du trafic entrant. Mappez le trafic entrant des interfaces WAN vers un hôte interne en fonction du numéro de port de destination.

Adresse IP de l'hôte local: Saisissez l'adresse IP privée de l'hôte interne, telle que celle d'un serveur HTTP. L'adresse IP de l'hôte doit figurer parmi les adresses exclues au début du pool DHCP. Si DHCP n'est pas activé pour le sous-réseau, toutes les adresses IP sont considérées comme exclues.

Numéro de port d'hôte interne: saisissez le numéro de port sur lequel l'hôte reçoit le trafic. Cela peut être le même que le numéro de port de destination ou un autre.

Protocole de trafic: Utilisez la liste déroulante pour choisir le protocole du trafic entrant : Any, TCP ou UDP.

Allouer des sous-réseaux en fonction des règles de classification: sélectionnez cette option pour attribuer des sous-réseaux spécifiques aux appareils en fonction des règles de classification des appareils que vous leur attribuez. Vous pouvez marquer des appareils de l'une des trois manières suivantes : en utilisant des balises de classification, par nom d'appareil ou par nom de carte.

Classificateur: Vous pouvez utiliser des balises de classification pour regrouper des appareils avec une grande flexibilité en fonction des besoins de votre organisation. Par exemple, vous pouvez baliser les routeurs en fonction de la taille du sous-réseau des services du routeur en attribuant une balise de classification « petits sites » aux routeurs desservant peu de clients et en attribuant des « grands sites » aux routeurs desservant de nombreux clients.

Par exemple, si vous souhaitez que des appareils spécifiques utilisent des sous-réseaux du super-réseau 10.1.0.0/16 (saisis dans le champ IP Network ci-dessus), vous pouvez attribuer la même balise au sous-réseau et également à un ensemble d'appareils. HiveManager applique ensuite le sous-réseau uniquement aux appareils avec des balises de classification correspondantes. L'illustration ci-dessous utilise des balises de classification pour attribuer le super-réseau 10.1.0.0/16 aux appareils classés comme « petits sites ». Dans ce cas, il peut y avoir jusqu'à 1024 de ces appareils (branches), chacun avec jusqu'à 61 clients par branche.

Vous pouvez ensuite définir un autre sous-réseau et le marquer comme « grands sites » pour une utilisation sur des sites pouvant avoir jusqu'à 253 clients sur chaque site.

Après avoir défini les deux sous-réseaux avec des balises distinctes, HiveManager sera en mesure d'appliquer un sous-réseau de taille appropriée aux appareils balisés avec une valeur Tag1 de « small-sites » ou une valeur Tag1 de « big-sites ».

Les options de la balise de classificateur apparaissent dans le Réglages avancés sur les pages de paramètres de périphérique pour les points d'accès, les routeurs et les CVG. Pour les appareils déployés sur des sites comptant jusqu'à 61 clients, saisissez petits-sites dans le champ Tag1. Pour ceux déployés sur des sites comptant jusqu'à 253 clients, saisissez grands-sites dans le champ Tag1.

Après avoir sélectionné le sous-réseau Réserver pour les appareils à l'aide de règles de classification, cliquez sur Nouveau, saisissez les informations suivantes, puis cliquez sur Appliquer:

Étiqueter: Choisissez la même balise de classification utilisée par les appareils auxquels vous souhaitez que HiveManager attribue le sous-réseau (Tag1, Tag2 ou Tag3).

Valeur: Entrez une chaîne qui correspond à celle de la balise sur les appareils auxquels vous souhaitez que HiveManager attribue le sous-réseau.

Vous pouvez définir jusqu'à trois balises pour chaque sous-réseau. Si un appareil possède l'une des balises correspondantes, HiveManager lui appliquera le sous-réseau.

Nom de l'appareil: vous pouvez utiliser cette balise pour attribuer un sous-réseau spécifique à des appareils spécifiques. Par exemple, si vous avez un site qui doit fonctionner sur le sous-réseau 10.20.30.0/24, vous pouvez utiliser la balise Device Name pour affecter le sous-réseau au seul périphérique approprié. Cette fonctionnalité n'est pas utilisée pour regrouper des appareils comme c'est le cas pour la balise Classifier, elle est plutôt utilisée lorsque la spécificité est requise.

Nom de la carte: Vous pouvez baliser les appareils en fonction de leur emplacement physique ou géographique à l'aide de cette balise. Lorsque vous créez des cartes topologiques, vous attribuez également un nom à chaque carte. Les noms de carte peuvent être globalement géographiques (par exemple, "Europe" ou "North_America"), spécifiques à un bâtiment ou à un étage (par exemple, "Admin_Building" ou "Floor 2"), ou n'importe où entre les deux. L'efficacité de l'utilisation de noms de carte pour baliser les périphériques n'est limitée que par la granularité de vos définitions de carte topologique.

Allouer des sous-réseaux par adresses IP spécifiques sur les sites: sélectionnez cette option pour effectuer les opérations suivantes :

  • Attribuez le sous-réseau qui contient l'adresse IP que vous entrez aux appareils d'un site
  • Attribuez l'adresse IP que vous entrez à un routeur lui-même

Pour lier des sous-réseaux spécifiques à des sites spécifiques, procédez comme suit :

Adresse IP : Saisissez l'adresse IP dans le sous-réseau que vous souhaitez allouer à un site.

Taper: Choisissez le type de classificateur que vous souhaitez utiliser. Chaque classificateur a un effet et une signification différents, et nécessite des mesures supplémentaires à prendre.

Classificateur: Pour les balises de classification, vous devez également appliquer la même balise de classification au sous-réseau et au routeur que vous envoyez au site. HiveManager applique ensuite le sous-réseau qui inclut l'adresse IP que vous avez saisie au routeur avec une balise correspondante.

Nom de l'appareil: Pour les noms de périphériques, vous devez saisir le nom d'hôte du routeur que vous envoyez au site. HiveManager applique ensuite le sous-réseau qui inclut l'adresse IP que vous avez saisie au routeur avec le même nom d'hôte.

Nom de la carte: Pour les noms de carte, vous devez saisir le nom de carte approprié pour chaque site. HiveManager applique ensuite le sous-réseau qui inclut l'adresse IP que vous avez saisie aux routeurs sur la carte spécifiée.

Pour modifier un réseau, cliquez sur le nom d'un réseau existant. le Modifier les réseaux page apparaît. Vous pouvez tout modifier sauf le nom du réseau. Pour plus d'informations sur la configuration des paramètres réseau, voir « Ajout d'un réseau » ci-dessus.

le Nouveau réseau La boîte de dialogue s'affiche avec les paramètres clonés. Le seul paramètre non cloné est le nom du réseau.

  1. Saisissez un nouveau nom pour le réseau cloné, modifiez les paramètres (voir « Ajout d'un réseau » ci-dessus), puis cliquez sur Sauvegarder.

Vous pouvez supprimer un seul réseau ou plusieurs réseaux en même temps.

  • Vous ne pouvez pas supprimer un réseau s'il est référencé par un ou plusieurs profils utilisateur ou associé à des profils LAN dans les stratégies de réseau sans fil + & routage. Vous devez d'abord modifier les profils utilisateur et les stratégies réseau afin que le réseau que vous souhaitez supprimer ne leur soit plus associé, puis vous pouvez le supprimer. 

Pour supprimer un seul réseau, sélectionnez celui que vous souhaitez supprimer, puis cliquez sur Supprimer. Un message de confirmation de suppression apparaît. Pour confirmer la suppression, cliquez sur Oui. Pour annuler la suppression, cliquez sur Non.

Pour supprimer plusieurs réseaux en même temps, sélectionnez d'abord ceux que vous souhaitez supprimer avec l'une des méthodes de sélection multiple suivantes :

  • Maj-clic pour sélectionner plusieurs réseaux contigus
  • Cochez les cases de plusieurs réseaux non contigus
  • Vous pouvez utiliser les méthodes ci-dessus en combinaison. Par exemple, vous pouvez sélectionner plusieurs réseaux non contigus, puis cliquer en maintenant la touche Maj enfoncée pour sélectionner une série de réseaux contigus.

Puis clique Supprimer. Un message de confirmation de suppression apparaît. Pour confirmer la suppression, cliquez sur Oui. Pour annuler la suppression, cliquez sur Non.


Notes de version

Les notes de version contiennent des informations sur les nouvelles fonctionnalités du produit, les améliorations, les problèmes connus et les corrections de bogues pour chaque version. Les composants logiciels individuels sont documentés dans la section des manuels des produits. Lisez attentivement les notes ci-dessous pour éviter les difficultés de configuration.

Version 10.4

AXS Guard dispose désormais d'un serveur d'accès OpenVPN qui facilite le déploiement rapide d'un accès distant sécurisé pour les utilisateurs d'OpenVPN. Le serveur d'accès OpenVPN est entièrement compatible avec le client OpenVPN Connect, qui est disponible gratuitement pour Windows, Android et iOS.

Avec ce client, les utilisateurs peuvent facilement télécharger et importer leur configuration et leur certificat OpenVPN via une connexion sécurisée au Cloud AXS Guard. Cette nouvelle fonctionnalité allège considérablement la charge administrative pour les administrateurs système, car ils n'ont plus à distribuer manuellement les certificats OpenVPN et les fichiers de configuration aux utilisateurs autorisés.

Diverses améliorations et correctifs logiciels

  • Rfe #1d658c44b2 : Mettre à niveau la bibliothèque OpenSSL.
  • Rfe #90847 : Effectuez également la synchronisation de l'heure en cas de dérive temporelle importante.
  • Rfe #90392 : Ajout de la prise en charge de TLSv1.3.

Diverses améliorations et correctifs logiciels

edb946ddc7 : supprimez les erreurs de syntaxe dans la configuration RADIUS lorsque les secrets contiennent des espaces ou des guillemets.

cf248bf44d : Supprimez les modèles d'API DIGIPAS de la validation de sauvegarde pour éliminer les messages d'erreur sur les systèmes sans jetons sous licence.

19a4b8889b : Supprimez les travaux d'arrière-plan de connexion et d'enregistrement de l'API DIGIPASS lorsque la fonction DIGIPASS n'est plus utilisée.

Diverses améliorations et correctifs logiciels

Défaut #90711 : Modifiez le port de service par défaut du serveur d'application DIGIPASS pour éviter les conflits de ports.

Rfe #125917 : Optimisez l'activation de toutes les listes d'adresses IP au moment du démarrage, afin d'accélérer le processus de démarrage sur les systèmes plus lents. Cela signifie une réduction considérable du temps de démarrage total d'un peu plus de 6 minutes à environ 6 secondes.

Rfe #84772 : Collectez tous les messages de journal VPN SSTP dans un seul fichier pour une meilleure expérience utilisateur. Le journal mis à jour comprend les entrées de proxy inverse HTTP pertinentes, le serveur SSTP et les événements PPP.

Diverses améliorations et correctifs logiciels

  • Rfe #90764 : affinez les contrôles de sécurité des e-mails pour les adresses e-mail en liste blanche.
  • Rfe #90765 : Désactivez automatiquement l'anti-usurpation pour les clients VPN.
  • Rfe #90753 : Réduisez la connexion excessive dans les journaux d'erreurs de la messagerie Web.

Diverses améliorations et correctifs logiciels

  • Rfe #89897 IPsec : ajoutez des profils IKE par défaut pour SHA-256.
  • Rfe #133d575c E-mail : Incluez la raison pour laquelle le spam a été supprimé par AXS Guard (colonne supplémentaire dans l'aperçu « spam supprimé »).
  • Rfe #89192 E-mail : améliorez les capacités anti-usurpation d'identité.
  • Rfe #82697 Services d'annuaire : désactivez les utilisateurs sur AXS Guard lorsqu'ils sont désactivés dans le backend LDAP.

Contrôle des applications

Introduisez un correctif logiciel pour éviter les défaillances du système (paniques du noyau) lorsque des paquets mal formés se produisent.

AXS Guard virtuel

Ajout de la prise en charge d'oVirt, une solution de virtualisation distribuée open source.

Ajout d'une nouvelle fonctionnalité au système de prévention des intrusions pour détecter automatiquement si un processeur système prend en charge SSSE3, un jeu d'instructions SIMD créé par
Intel (pour des performances accrues).

Ignorez l'adresse IP d'un périphérique DHCP lors de la validation d'une route statique.

Reverse Proxy RDG

Une nouvelle politique d'authentification a été ajoutée, qui prend en charge les connexions avec un mot de passe principal, suivi d'un mot de passe à usage unique généré avec un jeton OATH ou DIGIPASS (mot de passe principal + OATH ou DIGIPASS).

Diverses améliorations et correctifs logiciels

La version 10.4.1 contient divers correctifs logiciels pour améliorer la qualité, la stabilité et la sécurité globales de l'appliance AXS Guard.

Contactez [email protected] pour plus d'informations.

Authentification forte avec notifications push pour les applications Web

Le proxy inverse AXS Guard prend désormais en charge l'authentification par notification push.

L'authentification par notification push permet l'authentification de l'utilisateur en envoyant une notification push directement sur le smartphone de l'utilisateur, l'avertissant qu'une tentative d'authentification est en cours.

Les utilisateurs peuvent désormais utiliser leurs appareils mobiles comme deuxième facteur requis pour l'authentification sécurisée à deux facteurs. Il n'y a pas besoin de jetons côté client ou d'appareils supplémentaires.

Lorsque les utilisateurs se connectent à une application Web sécurisée, ils reçoivent automatiquement une demande d'authentification basée sur leur nom d'utilisateur. Les utilisateurs peuvent ensuite afficher les détails de l'authentification et approuver ou refuser l'accès, en appuyant simplement sur un bouton.

Pour utiliser cette fonctionnalité, vous avez besoin de l'application mobile, qui peut être personnalisée et étiquetée selon vos besoins, d'une licence serveur DIGIPASS, du bundle AXS Guard Enterprise et d'une application Web à sécuriser.

Veuillez noter que pour utiliser cette fonctionnalité, un développement personnalisé est requis. Contactez [email protected] pour plus d'informations.

Géoblocage du pare-feu

Le géoblocage est une technologie qui limite le trafic Internet en fonction de l'emplacement géographique. Vous déterminez si les utilisateurs peuvent accéder à votre réseau ou à votre application en fonction de leur emplacement spécifique.

Cette nouvelle fonctionnalité permet aux administrateurs système de bloquer facilement le trafic malveillant - tel que les cyberattaques automatisées et les scanners de ports - provenant d'emplacements non autorisés. Il peut également être utilisé pour empêcher les utilisateurs d'accéder à des services potentiellement dangereux et douteux hébergés à l'étranger.

Le blocage géographique est un outil efficace pour éviter que les journaux de votre système ne soient inondés d'informations inutiles et allège la charge administrative.

Service Cloud AXS Guard NTP

Un temps précis est nécessaire pour pouvoir comparer efficacement les fichiers journaux entre différents systèmes informatiques, par exemple en cas d'incident de sécurité. De nombreux services AXS Guard, tels que 2FA, Kerberos et les tâches planifiées, reposent également sur une heure précise.

AXS Guard est passé par le processus de validation et fait désormais officiellement partie du réseau mondial NTP.

NTP signifie Network Time Protocol, et c'est un protocole Internet utilisé pour synchroniser les horloges des ordinateurs avec une référence de temps. NTP est une norme Internet.

La reconfiguration des paramètres NTP de vos ordinateurs est relativement simple. This setting can also be configured centrally so that you don’t have to manually reconfigure each and every individual computer in your network.

CEO Fraud Protection

CEO Fraud is a type of spear-phishing email attack.

Typically, attackers identify themselves as high-level executives (CFO, CEO, CTO, etc.), lawyers or other types of legal representatives and purport to be handling confidential or time-sensitive matters, attempting to trick staff into transferring money to a bank account they control.

The AXS Guard content scanning engine has been updated to detect and block such attacks more effectively.

System Updates and Improvements

EAP-MSCHAP v2 Support for SSTP Server

Support for the Extensible Authentication Protocol (EAP-MSCHAP v2) has been added to the AXS Guard SSTP server to improve security.

RDG Password Auto-learning

This reverse proxy feature already existed for HTTP back-ends, but has now also been implemented for Remote Desktop Gateways. It offers a better UX to end users and allows for a swifter integration of secure AXS Guard authentication methods, such as 2FA.

Network Connectivity Checks

Connectivity checking is a functionality which periodically tests whether the AXS Guard network interfaces still have connectivity or not. This option has been refactored in the web-based administrator tool for a better user experience.

OpenVPN and PAX Server

The server binding options have been refactored to improve the user experience. Administrators who are looking to (re)configure the PAX or OpenVPN service are now presented with a clear selection of binding options.

Semi-Persistent IP Addresses for OpenVPN Clients

The OpenVPN server has been updated to maintain a persistent list of IP addresses handed out to different clients. When a client reconnects at a later time, the IP address that was used previously will automatically be reassigned by the server.

Samba Updates

Samba is a standard Windows interoperability suite of programs used on AXS Guard. Various components of this suite have been upgraded to improve security for the following services:

System backups on network shares

Directory services & authentication (LDAP)

Documentation

The AXS Guard documentation is constantly updated to reflect the various changes and improvements in the software and the product as a whole. Documents are available in the PDF and HTML format.

The following manuals have been added or updated:

AXS Guard Authentication Guide

AXS Guard PAX Installation Guide

AXS Guard Reverse Proxy Guide

AXS Guard System Administration Guide

The following KB articles have been added or updated:

AXS Guard WPAD Configuration

AXS Guard Remote Workspace

Version 10.3

Application Control

Introduce a software fix to prevent system failures (kernel panics) when malformed packets occur.

E-mail Services

Move e-mails containing ".rar" attachments to the quarantine queue if they match a blocked extension filter.

Reporting and Statistics

  • Include SSTP server logins in the Remote Access reports.
  • Show collectd errors in the full event log.
  • Improve the PAX and OpenVPN server documentation.
  • Update the certificate hint in the IPsec server configuration page.

Reverse Proxy

  • Update the copyright notes in the Session Management login page.
  • Update the certificate hints in the reverse proxy server configuration pages.

System Administration Tool

Remove obsolete product items from the License > General page.

Administrator Tool

Fixed the 'Operation Not Permitted' message when using the ping network utility under Network -> Tools -> Ping.

Allow system administrators to configure IP addresses with a /31 subnet for network devices.

Add a description field to facilitate the management of computers in the network.

Reverse Proxy

Fix RDG broken pipe errors and related system performance issues. The client/server socket write channel will now remain open as long as there is outstanding data.

VPN Services

Increase the maximum number of concurrent VPN connections for PPTP, SSTP and L2TP.

Correct the handling of Kerberos authentication failures for the proxy server, preventing the invocation of an excessive number of 'negotiate_kerberos_auth' helpers.

Improve the general responsiveness of the webmail service when used by a large amount of concurrent users.

Clarified instructions in License Wizard

The license wizard allows system administrators to upload a system license to the AXS Guard appliance, which is required to get it to full operational, in-service status.

The wizard now contains clearer instructions to guide administrators through the entire licensing process.

New authentication policies for VPN services

A second authentication factor can now be used in combination with one-time passwords generated by OATH (Google or Microsoft) authenticators.

DIGIPASS tokens already offered this possibility in the form of a PIN. However, this option was not available for users with an OATH authenticator.

To further strengthen the authentication process and allow greater flexibility in the deployment of strong authentication for VPN access, new authentication policies are now available for PPTP, L2TP and SSTP.

The 'PasswordAndOATHOrDIGIPASS' policy requires users to log in with their password and a one-time password generated by their OATH authenticator or DIGIPASS token.

The 'PasswordAndOATHorPasswordAndDIGIPASS' policy requires users to log in with their password and a one-time password generated by their OATH authenticator or with their password and a one-time password generated by their DIGIPASS token.

System Dashboard improvements

New badges have been introduced to indicate the status of various feature licenses. While hovering over them, more detailed license information will appear automatically.

A widget showing blocked users and hosts has also been added. This widget allows system administrators to unlock accounts and unblock hosts with greater ease, while providing additional details about the listed items.

Various VPN Fixes

The OpenVPN topology has been changed so that the full virtual IP range is available for VPN clients.

The number of pseudo-terminal devices for PPP tunnels has been increased to avoid client 'port' failures.

IP addresses allocated to clients by SSTP are now freed correctly after SSTP clients disconnect. This prevents premature depletion of the IP address pool.

AXS Guard SSL Proxy Feature Release

The SSL filtering feature is no longer in its experimental phase and is now available for customers with a Premium Content Scanning license.

Information and configuration instructions pertaining to this new feature are available on this website (see system administration > web access).

Contact [email protected] to upgrade your existing content scanning license or to purchase a new license.

Fix SSTP Authentication Failures Make AXS Guard wait for LCP configuration requests from clients, rather than initiating them on the server side.

This avoids a race condition in (samba) PPP causing LCP configuration requests to stop prematurely and fail due to authentication proposals that were perceived as invalid.

Fix Firewall Policy Rendering Issue In some cases, very long firewall policy descriptions caused the browser to hide other policy data. The readability of the firewall policy page has been improved and the issue has been resolved.

Transparent Proxy for SSL Inspection

Transparent proxies are commonly used to prevent users from abusing or bypassing company web access policies and to ease administrative burden, since no client-side browser configuration is required.

SSL Inspection can now be enabled transparently. If enabled, client traffic towards TCP port 443 will be intercepted and redirected to port 3130 for further processing.

For this to work seemlessly, the CA certificate used by the SSL proxy must be added as a trusted root CA on all clients that will be scanned.

Note that certain web applications may not function properly when decrypted. You may also want to exclude certain domains and networks for any other reason, including legal or privacy reasons, e.g. sites which provide online banking services.

For this purpose, the AXS Guard cloud service provides a global SSL exception list which will be available on all systems with a Premium Content Scanning license. We highly recommend using this list for best performance and results.

System Dashboard Improvements

All widgets will show dummy data when the dashboard is being loaded to avoid reported flickering and layout issues.

The basic system load information on the dashboard has been replaced by a more detailed system load graph, showing various system loads over time.

Gradual rollout of the new SSL Inspection feature

Over the last few years, many popular web sites including Google, Youtube, Reddit and Facebook have started enabling HTTPS encryption by default.

This means that without configuring SSL inspection, proxies have limited filtering, monitoring and logging capabilities.

In this new version, we implemented support for man-in-the-middle SSL filtering, which will allow system administrators to more effectively control and monitor web traffic passing through the AXS Guard proxy server.

System Dashboard Improvements

The AXS Guard system dashboard represents key performance indicators and metrics and is constantly reworked based on customer feedback.

A tooltip showing IPsec tunnel status information has been added to the system dashboard to improve the user experience.

Personal AXS Guard logs are now grouped per client, allowing system administrators to locate various client logs with greater ease.

DNS over HTTPS

DNS over HTTPS is problematic for the analysis and monitoring of DNS traffic for cyber security purposes, as it can be used to bypass company content-control software and DNS policies.

Firefox implemented a mechanism to automatically disable or enable DNS over HTTPS based on a canary domain. This canary domain is enabled by default on AXS Guard to block DNS over HTTPS.

Also see the KB article on this site, which covers all client implementations (Knowledge Base > Networking).

Export system metrics to AXS Guard cloud

Some important system metrics have been made available in the AXS Guard cloud so system administrators can easily access vital information pertaining to all their deployed systems in a secure fashion.

Add option to set SMTP authentication policy

AXS Guard can be intergrated into an Office 365 environment to scan all incoming and outgoing mail traffic for malicious content and viruses.

To allow AXS Guard to also scan outgoing messages, mail clients must be configured to use the AXS Guard SMTP server instead of the Office 365 SMTP server.

This will ensure that all outgoing mail traffic is logged by AXS Guard and that its mail policies can be enforced.

The new option allows system administrators to restrict user access to protect the AXS Guard MTA against brute-force attempts and to implement a more strict TLS policy.

Disable IP forwarding when license is expired

AXS Guard will automatically put itself in "safe mode" when its license expires. As the system will no longer be able to download critical software updates without a valid license, all Internet traffic will be blocked for security purposes.

New System Dashboard

In the first version of the new dashboard, we represent the same data of the "old dashboard" using new and interactive widgets.

For the sake of convenience, the former dashboard can still be accessed.

The AXS Guard dashboard will remain a focus for improvement administrators can expect a lot more interesting widgets and functionalities in the near future.

Various improvements and software fixes

Versions 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5 and 10.3.6 contain small feature changes and software fixes to improve the overall quality, stability and reliability of the AXS Guard appliance.

Contact [email protected] for details.

New Dashboard

The AXS Guard system dashboard has been reworked extensively to better represent key performance indicators and metrics.

In the first version, we represent the same data of the "old dashboard" with new and interactive widgets. For the sake of convenience, the former dashboard is still easily accessible.

In the next iteration, extra widgets will be added to adequately respresent information about the system’s disk usage, the status of IPsec tunnels and VPN client connections.

The AXS Guard dashboard will remain a focus for improvement administrators can expect a lot more interesting widgets and functionalities in the near future.

Microsoft Azure

AXS Guard is now available as a cloud platform in Microsoft Azure. With this PaaS (platform as a service) solution, organizations can safely build and host Microsoft-based products and configurations in their data centers.

The AXS Guard UTM virtual appliance is available in the Microsoft Azure Market place, the online store that offers applications and services either built on or designed to integrate with Microsoft’s Azure public cloud.

AXS Guard provides improved Azure cloud data access security by leveraging its multi-layered defense that crosses network, VPN, e-mail, web and content security. Hence you can easily and securely extend your on-premise hosted data and services to the Azure cloud.

From the Azure Market place, AXS Guard UTM virtual appliances can be easily set up with just a few clicks and deployed in a matter of minutes. Remember the public IP address of the newly deployed virtual machine, and use it in a web browser to access the AXS Guard configuration tool where you can start the configuration wizards to complete the setup process.

Documentation

The AXS Guard documentation is constantly updated to reflect the various changes and improvements in the software and the product as a whole. Documents are available in PDF and HTML.

The following AXS Guard manuals have been updated:

System Administration Guide

Installation Guide (Getting started)

Personal AXS Guard Server Guide

The following manual has been added:

New Features

Microsoft Azure Ready

The AXS Guard virtual appliance can now be easily deployed from within the Azure Market place to operate on the Microsoft Azure platform. AXS Guard integrates the Microsoft Azure Linux Agent which manages provisioning and Virtual Machine interaction with the Azure Fabric Controller.

Office 365 Fast Lane

According to a Computable Magazine article of 17 June 2019: "Office 365 issues with legacy networks" - excessive network latency causes major delays in Office 365 implementations. Additionally, 63% of 250 surveyed companies agree that project collaboration in an Office 365 environment suffers from network-related problems.

As a response to these complaints, Microsoft recommended its "ExpressRoute" solution, which allows companies to optimize their connection speeds for Microsoft cloud services. However, this solution is rather expensive and complex to configure, making it often prohibitive for SMEs.

This is why AXS Guard developed the "Office 365 Fast Lane" solution, a cheaper alternative that is technically similar. The solution consists of a simple setup wizard which allows system administrators to correctly configure firewall, security and other Office 365 network settings in no time.

This way, employees can benefit from faster, optimized Office 365 connection speeds and profit from the increased responsiveness of frequently-used Office 365 applications.

Optimal network speeds are calculated in function of the total available Internet bandwidth, which is automatically measured by AXS Guard. After completing the wizard, users will immediately notice the result.

E-mail filtering incorporates Google Safe Browsing

Google Safe Browsing helps to protect users on the internet against malicious sites by showing warnings when they attempt to visit such sites or download dangerous files.

AXS Guard integrates Google Safe Browsing as an extension to its adaptive e-mail filter. Every URL present in e-mails is processed by the AXS Guard cloud URL threat protection service (CTRS) using Google’s Safe Browsing technology. Messages containing potentially dangerous URLs will be marked as unsafe and quarantined.

Dynamic hostnames in IPsec tunnel definitions

Traditionally IPsec site-to-site tunnel definitions require fixed IP addresses for host identification and policy matching. In order to support IPsec tunnels for sites where one side has a dynamic IP address, AXS Guard can now be configured with a template or wild-card definition to accept any connection with the right credentials. Security-wise this is not an optimal solution. Furthermore it can cause a lot of unwanted log entries originating from unknown connections.

To address this issue, AXS Guard now supports the use of dynamic (DNS) hostnames, making tunnels definitions more secure. Every time a tunnel is (re)started, a DNS lookup of the hostname is performed to determine the IP address to connect to. When the tunnel collapses because one side changed its IP address, the tunnel is re-established automatically when that side updates its dynamic DNS entry with the new IP address.

Lists of local and remote subnets in IPsec tunnel definitions

IPsec site-to-site tunnels definitions share one local subnet with one remote subnet. In case that many local subnets have to be shared with possibly many remote subnets, multiple tunnel definitions have to be configured separately for each subnet sharing the same IPsec MAIN mode.

System administrators can now specify a list of local and remote subnets. This reduces configuration overhead and also simplifies IPsec VPN status management.

Personal AXS Guard Industrial AIO

The Personal AXS Guard portfolio of products has been extended with a new type of hardware geared towards industrial applications. The brand new Personal AXS Guard Industrial all-in-one device is based on an x86 64bits platform with two ethernet ports (LAN and WAN), an optional wireless-N adaptor, mSATA storage and is rack-mountable (DIN rail).

Create a new Personal AXS Guard client and select the AG-I122 (Industrial all-in-one) hardware type for an optimal configuration.

Version 10.2

Secure Socket Tunneling Protocol (SSTP)

AXS Guard extends its offering of remote access solutions with support for the Microsoft Secure Socket Tunneling Protocol (SSTP), a VPN service that provides a mechanism to transport PPP traffic over an SSL/TLS channel.

SSL and TLS are cryptographic protocols designed to provide communications security over a computer network.

The use of SSL/TLS over TCP port 443 allows SSTP clients to pass through virtually all firewalls and proxy servers, except for authenticated web proxies.

The SSTP server can be configured to enforce strong authentication, which is capable of blending different authentication factors and/or types for increased security.

The AXS Guard reverse proxy manages the SSTP server as a separate application, allowing administrators to share the same external IP address and port with other applications and services.

See the official Microsoft documentation for additional information about SSTP.

Documentation

The AXS Guard documentation is constantly updated to reflect the various changes and improvements in the software and the product as a whole. Documents are available in the PDF and HTML format.

The following manuals have been added or updated:

AXS Guard Reverse Proxy Guide

The following KB articles have been added or updated:

HTTP Authentication Methods

New Features

Microsoft SSTP VPN Support

MS-SSTP (Microsoft Secure Socket Tunneling Protocol) is a VPN protocol which is developed by Microsoft. It implements PPP over HTTPS (SSL), so traffic can easily traverse firewalls and proxies.

CA Certificate Export Option

If the SSTP server certificate is signed by the AXS Guard CA, the CA certificate must be exported and added as a trusted root CA on each Windows SSTP client in order for connections to succeed. A new button has been added for this purpose.

OATH Support for Remote Desktop Gateway Back-ends

The Remote Desktop Gateway (RDG) reverse proxy back-end now supports authentication with OATH-based tokens, such as Google and Microsoft Authenticator apps.

The following authentication methods are available:

OATH or DIGIPASS (to facilitate migration)

OATH is supported for all RDG implementations, such as RPC over HTTP (prior to Windows 8), RDG (Windows 8 or later) and the Microsoft Remote Desktop App (Android, iOS and Windows).

Version 10.1

Support for Google and Microsoft OATH tokens has been implemented. OATH tokens provide one-time passwords to end users and are a form of strong authentication.

The Initiative for Open Authentication (OATH) is a collaborative effort of IT industry leaders aimed at providing a reference architecture for universal strong authentication across all users and all devices over all networks. Using open standards, OATH will offer more hardware choices, lower cost of ownership, and allow customers to replace existing disparate and proprietary security systems whose complexity often leads to higher costs.

An OATH license is required for this feature.

Documentation

The AXS Guard documentation is constantly updated to reflect the various updates and improvements in the software and the product as a whole. Documents are available in the PDF and HTML format.

The following manuals have been updated:

The following articles have been added to the knowledge base:

How to set up your Google Authenticator

How to set up your Microsoft Authenticator

New Features

Microsoft and Google Authenticator Support

Both Google and Microsoft provide authenticators based on the OATH standard. Most implementations of OATH leverage smartphones and apps for the generation of one-time passwords.

The Authenticator apps can be downloaded from the Android and iOS app stores at no cost.

Licensing

Tokens cannot be assigned without a valid license a new system license is required. Contact your reseller to obtain an OATH token license.

Go to System > License > Authenticators > OATH to view your license details.

Provisioning

On the server side, secrets are provisioned by assigning a token to a user. An e-mail with configuration instructions is automatically sent to the user’s AXS Guard mailbox after a token has been assigned by an administrator.

On the client side, the user can simply import the secret by scanning the QR code provided in the e-mail, which also contains instructions to manually enter the required information.

Authentication Policies

New policies have been added to accommodate authentication with OATH tokens. These feature authentication methods for both password (PAP) and challenge (CHAP) based authentication protocols, as used by PPTP and L2TP VPN services.

Version 10.0

Kernel Upgrade

A new 64-bit kernel has been implemented. The previous kernel has also been upgraded to version 4.14. This is especially important when installing the appliance in a virtual environment it will no longer be possible to boot your virtual AXS Guard appliance with a virtual machine that has been configured for a 32-bit guest OS.

The upgrade process may take over 30 minutes to complete. It is recommended to upgrade your appliance during off-peak hours or during a maintenance window to avoid service interruptions.

A new NAT option has been added to the Personal AXS Guard service to allow administrators to use the same subnet for multiple PAX units. Some minor changes were also made to the server-side user interface, making DHCP and passwords easier to configure.

A drag and drop feature has been implemented allowing administrators to easily change the order of rules in system policies, such as firewall policies.

A new reverse proxy back-end has been added to support Awingu version 4.0 and above.

Documentation

The AXS Guard documentation is constantly updated to reflect the various updates and improvements in the software and the product as a whole. Documents are available in PDF and HTML formats.

The following guides have been updated:

AXS Guard PAX Installation Guide

AXS Guard Reverse Proxy Guide

AXS Guard Virtual Appliance Guides

New Features

Kernel 4.14

Kernel updates introduce fixes which close up previously discovered security vulnerabilities and are the most important reason to upgrade your system.

Updates will also include support for new hardware, new functionalities and improve the stability and speed of your system.

IPsec netkey and VTI interfaces

The IP security (IPsec) stack is switched to the native linux implementation called netkey. In order to facilitate this transition, AXS Guard makes use of virtual tunnel interfaces (VTI), which provide routable ipsec software interfaces that support multicast, bandwidth management and load balancing, similar to the KLIPS IPsec stack used before.

The switch to netkey IPsec stack offers active development and support, a larger selection of cryptographic algorithm support, cryptographic offloading and parallel processing.

New PAX NAT Option

A new Translate Remote LAN option has been added, allowing administrators to reuse the same subnet for multiple PAX units.

Reverse Proxy support for Awingu 4.0

The reverse proxy has been refactored to support Awingu 4.0 and later versions. To configure the reverse proxy for use with Awingu 4.0, just select the "awingu-v2" back-end.


Voir la vidéo: Quest-ce que la topologie? Do You Spoc