Alternativer Zugriff auf Netzwerkkomponenten und Konsolen

Viele Systemintegratoren und Administratoren kennen das Problem. Aktuelle Notebooks bieten meist nicht mehr die benötigte RS232-Schnittstellen zum Zugriff auf serielle Konsolenzugänge von Netzwerkkomponenten. Diese sind nur noch in speziellen Outdoor-Geräten enthalten. Tablets und Smartphones bieten diese Schnittstelle überhaupt nicht nativ. Die Hersteller aktiver Netzwerkkomponenten, wie Router und Switches gehen erst langsam dazu über, USB-Schnittstellen in ihre Geräte einzubauen. Bei der Erstkonfiguration kommen somit aktuell noch immer serielle Schnittstellen zum Einsatz, falls noch keine Auto-Provisionierungs-Tools zum Einsatz kommen.

Aktuell stehen an Notebooks meist nur noch LAN, WLAN, Bluetooth und USB-Schnittstellen zur Verfügung. Selbst LAN-Ports sind bei vielen Modellen bereits nicht mehr verbaut. Express-Card-Slots findet man ebenfalls immer weniger. Bei USB-Seriell-Adaptern gibt es insbesondere im Microsoft-Windows-Umfeld häufig Treiberprobleme. Gerade die Stabilität bei langen Konfigurations-Sessions lässt hier oft zu wünschen übrig. Zusätzlich hat man in IT-Verteilerräumen oder Rechenzentren nur begrenzt Platz vor oder in den IT-Verteilerschränken, um das Notebook für Konfigurationsarbeiten vor Ort zu platzieren. Sinnvoll wäre also eine sichere drahtlose Variante, um beispieslweise an einem benachbarten Arbeitsplatz ergonomisch arbeiten zu können.

Eine mögliche Lösung für dieses Probleme bietet die „AirConsole 2.0“. Diese gibt es sowohl in der Variante LAN/WLAN und/oder Bluetooth. Sie bietet einen akkubetriebenen Serial-Port-Device-Server aufbauend auf RFC2217, welcher in vielen verschiedenen Konstellationen zum Einsatz kommen kann.

Das USB-zu-Seriell-Anschlusskabel der Airconsole-Pro 2.0 und XL 2.0 stellt bereits einen RJ45-Stecker mit passendem Pinout für Cisco-Geräte zur Verfügung und bietet einen USB-Steckplatz für einen Bluetooth-Adapter nach dem Standard Bluetooth-Low-Energy 4.0. Für die RS232-Schnittstelle stehen Adapter von RJ45 auf DB9 und RJ45 auf DB9/Nullmodem zur Verfügung. Das Laden des integrierten Akkus erfolgt über ein Micro-USB-Kabel.

Zugriff über verschlüsseltes WLAN

WLAN-Einstellungen

Die erste Nutzungsvariante ist die Nutzung der Airconsole als Serial-Port-Server mit integriertem WLAN-Access-Point und DHCP-Server. Das WLAN stellt hierfür eine 2,4-GHz-Schnittstelle nach 802.11 b/g/n mit bis zu 150 MBit/s zur Verfügung.

Als Verschlüsselung steht aktuell in der Firmware 2.82 WPA2 mit AES und Pre-Shared-Key zur Verfügung. Nutzt man das Gerät mit seiner LAN-Schnittstelle im Unternehmensnetz wäre sogar eine WPA2-Enterprise mit einer Authentifizierung über einen RADIUS-Server möglich.

Zunächst erfolgt ein Verbindungsaufbau vom Client zur Airconsole über einen WPA2-PSK. Der integrierte DHCP-Server der Airconsole vergibt nach erfolgreichem Verbindungsaufbau eine IPv4-Adresse in seinem Subnetz. Im Anschluss ist es möglich, eine verschlüsselte SSH- oder Http/s-Verbindung zu dem Gerät aufzubauen. Der SSH-Dienst bietet die Möglichkeit einer Port-Anpassung, damit der Management-Zugriff weiterhin auf Port 22 erreichbar bleibt.

Web-Terminal angepasst

Um auf Netzwerkkomponenten zugreifen zu können ist eine mehrstufige Authentifizierung notwendig. Im ersten Schritt authentifiziert man sich als lokaler Benutzer der Airconsole und im Anschluss wie bei einem lokalen Login an der Konsole der Komponente. Dies kann je nach Konfiguration lokal oder über einen RADIUS- bzw. TACACS-Server sein. Alternativ zum Zugriff über einen SSH-Client kann auch ein Web-Terminal Verwendung finden. Hierbei ist zunächst ein Login per http/s auf der Managementoberfläche der Airconsole notwendig.

Für den Zugriff über Smartphones oder Tablets unter Android oder iOS stehen ebenfalls Apps des Herstellers zur Verfügung. Bei iOS bietet der Hersteller die Get-Console und auf Android die SerialBot-App. Hierbei ist nicht nur ein reiner Terminal-Client integriert, sondern sogar ein Skript-Manager, über welchen wiederkehrende Aufgaben automatisiert werden können.

Eine Einbindung in ein LAN ist ebenfalls möglich, wenn auch untypisch. Es steht ein 10/100-MBit/s-Ethernet-Port zur Verfügung, über welchen diese LAN-Integration stattfinden kann.

Es kann hierbei sowohl eine statische IPv4-Adresse als auch eine DHCP-Client-Konfiguration für die IP-Adressierung verwendet werden. Folglich sollte natürlich darauf geachtet werden, dass zuvor der integrierte DHCP-Server der Airconsole deaktiviert ist. Zusätzlich sind sogar statische Routen möglich. Authentifizierungen nach IEEE-802.1X oder -802.1ae werden zum derzeitigen Stand nicht unterstützt.

LAN-Einbindung

Einen anderen Lösungsansatz bietet der Airconsole-Enterprise-Server. Durch die Zentralisierung vieler IT-Abteilungen besteht häufig das Problem, dass vor Ort in der Nähe der aktiven Netzwerkkomponenten nur wenig Know-how für deren Konfiguration vorhanden ist. Um nun bei einer initialen Inbetriebnahme oder einem Troubleshooting vom zentralen Standort unterstützen zu können, gibt es die Möglichkeit einen Airconsole-Enterprise-Server einzusetzen, welcher als VM-Image vom Hersteller zur Verfügung steht, jedoch aus Sicherheitsgründen angepasst werden sollte (Logindaten, usw.). Er kann entweder Onpremise in einer DMZ oder angemietet in der Amazon-Cloud betrieben werden. Auf die Websocket-Schnittstelle kann nach entsprechendem Login über eine TLS geschützte Verbindung aus dem Internet oder über ein privates Netz, eine Verbindung zum Konsolenport aufgebaut werden. Die Login-Daten für die Authentifizierung der Airconsole gegenüber der Enterprise-Server sind in der Airconsole zu hinterlegen. Es sind auf dem Enterprise-Server eigene TLS-Serverauthentifizierungszertifikate installierbar.

Da die Login-Daten für die Netzwerkkomponenten über den Airconsole-Enterprise-Server fließen, sollte man jedoch genau klären, ob diese Daten über eine Cloud-Lösung oder eine vom Hersteller vorkonfigurierte VM-Appliance fließen dürfen. Lizenzen für diesen Server sind direkt bei der Pro- und XL-Variante enthalten und müssen nur noch beim Hersteller mit dem genutzten FQDN und der Bestellnummer verbunden werden.

Für den Zugriff verbindet sich die Airconsole als WLAN-Client beispielsweise mit einem WLAN-Hotspot eines Smartphones und über die hierdurch bestehende Internetverbindung wird eine Websocket-Session aufgebaut. Über diese Websocket-Session ist eine bidirektionale Kommunikationsbeziehung möglich. Auf dem Airconsole-Enterprise-Server kann über ein Rechtmanagement der Login gesteuert werden. Ein Web-Terminal ermöglicht es, die entfernte Konsolenverbindung zu steuern, um Konfigurationstätigkeiten durchzuführen.

Erstkonfiguration

On-Site-Support mit Airconsole-Enterprise-Server

Um eine Erstkonfiguration durchführen zu können ist die Airconsole-Pro und XL mit einer SSID-Airconsole-XX vorkonfiguriert, wobei XX für eine beliebige Zeichenfolge steht, welche vom Hersteller vorkonfiguriert wurde. Mit dem PSK 12345678 kann zunächst eine Verbindung aufgebaut werden. Die Default-Werte können und sollten natürlich im Anschluss angepasst werden. Es erfolgt im Anschluss eine DHCP Adressvergabe von der Airconsole an den Client im Subnetz 192.168.10.0/24. Das Gerät selbst ist über 192.168.10.1 erreichbar.

Alternativ kann eine Verbindung auch direkt über Bluetooth-Low-Energy und die iOS-App Get-Console aufgebaut werden. Diese meldet bei eingeschaltetem Bluetooth am iOS-Endgerät direkt die Präsenz eines im Empfangsbereich befindlichen Geräts und kann mit den Standardeinstellung (9600 Baud/8 Datenbits/Keine Parität/1 Stoppbit/Keine Flusssteuerung) sofort eine Verbindung aufbauen.

Die App kann auch in Kombination mit WLAN Verwendung finden. In dieser Kombination ist die App sogar in der Lage als TFTP- oder Http-Server zu dienen, um beispielsweise Updates von Netzwerkkomponenten durchführen zu können oder Konfigurationsdateien bereitzustellen.

 

Zusatzmöglichkeiten

Es sind derzeit einige Beta-Funktionen enthalten, wie Packet-Capture, welche noch nicht einwandfrei funktionieren. Die Machine-2-Machine-Funktion ermöglicht es über 2 Airconsole-Systeme eine virtuelle serielle Verbindung zwischen zwei Geräten herzustellen.

Es gibt zusätzlich ein iOS- und Websocket-SDK, über welche Szenarien mit seriellen Schnittstellen in Apps integrierbar sind. Unter der Haube kommt ein Ralink-SoC zum Einsatz.

 

Umgang

Das Gerät braucht nur kurze Zeit zum Starten (ca. 10-15 Sekunden) und ist für seine vielen Funktionen relativ leicht und klein (je nach Schnittstellen und Akkuvariante). Die Pro Variante wiegt laut Herstellerangaben nur 63 Gramm und hat die Maße 94*35*17 mm, die XL-Variante mit größeren Akku 100*44*30m wiegt 128 Gramm. Die Akkulaufzeit bei der Pro-Variante liegt im Akkubetrieb laut Hersteller zwischen 3 und 4 Stunden. In der Praxis sind es eher 2 Stunden. Bei der XL-Variante sollen es bis zu 10 bis 12 Stunden sein. In Tests kamen wir nah an diese Werte heran.

Der Zugriff mit Windows 10, Mac OS X, iOS, Ubuntu-Linux und Android war problemlos.

 

Von Benjamin Pfister von der Pfister IT-Beratung in Rotenburg

#Netzpalaver