Prérequis matériel

Ci-dessous VMware configuration requise qui doit être implémentée pour assurer la transmission correcte des paquets à l’intérieur du Wisper GW :

• Virtual Operating System: Ubuntu > 20.0, Debian > 8 , RedHat > 8.6

🚧

Si votre version linux est différente de celles-ci dessus, merci de vous rapprocher du support Wisper pour validation.

• CPU : 8 vCPU
• Memory : 8 GB
• Network :
  • VMXNET3 avec une carte réseau physique dédiée.
    Stratégie de sécurité pour le commutateur virtuel à utiliser pour la 2e carte réseau :
    • VLAN : 4095 (for Truncking)
    • Allow promiscuous mode (Yes)
    • Allow Forged Transmits (Yes)
    • Allow MAC Changes (Yes)

📘

Veuillez noter que le CPU et la RAM peuvent être adaptés en fonction du nombre de connexions simultanées à gérer.

Packages

L'installation de Wisper Connect sera effectuée automatiquement à l'aide d'un script de déploiement fourni par Wisper.

Le script téléchargera et installera automatiquement les packages suivants :

• curl : la commande dans Linux est utilisée pour effectuer des requêtes vers les serveurs web depuis la ligne de commande.
• eth-tools : utilitaire en ligne de commande dans Linux utilisé pour configurer et interroger les interfaces réseau Ethernet. Il fournit des informations sur les cartes réseau (NIC), telles que l'état de la liaison, la vitesse, les paramètres de duplex, etc. De plus, ethtool peut être utilisé pour modifier des paramètres tels que le réveil sur LAN et le contrôle de flux.
• openvswitch (commutateur virtuel) : Open vSwitch (OpenvSwitch ou OVS) est un commutateur logiciel open source et une plateforme de mise en réseau conçue pour faciliter la virtualisation réseau et les réseaux définis par logiciel (SDN) dans les centres de données et les environnements cloud.
• kmod-wireguard : fait référence au module noyau pour le protocole VPN WireGuard. WireGuard est un protocole VPN moderne et efficace (réseau privé virtuel) conçu pour offrir de meilleures performances et une meilleure sécurité par rapport aux solutions VPN traditionnelles.
• wireguard-tools : wireguard-tools est un ensemble d'utilitaires en ligne de commande utilisés pour configurer et gérer les connexions VPN WireGuard sur les systèmes Linux.
• jq - Utilitaire d'analyse JSON : un utilitaire d'analyse JSON est un outil logiciel ou une bibliothèque conçue pour analyser et manipuler des données JSON (JavaScript Object Notation). JSON est un format d'échange de données léger couramment utilisé pour transmettre des données structurées entre un serveur et un client, ainsi que pour stocker des données de configuration, des journaux, etc.
• R1R2Server (paquet Wisper)

🚧

Système RedHat :

Sur les systèmes RedHat, le script intégrera automatiquement les repository suivant dans la base dnf
https://www.elrepo.org/elrepo-release-8.el8.elrepo.noarch.rpm

https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Des règles de flux supplémentaires pour l'accès a ces ressources peuvent être requises.

Règles Firewall

Les règles de flux concernant la Gateway Wisper est disponible à cette adresse :

Wisper Gateway Rules

Récupération des informations

1* Assurez-vous que le serveur est prêt et que les deux cartes réseau sont correctement configurées comme indiquées.

Dans un premier temps, il est nécessaire de récupérer plusieurs informations essentielles avant l'installation.

Stocker les différentes informations dans un notepad par exemple avant installation

Dans l'ordre :

• 1] L'ID site
• 2] Le groupe ID
• 3] L'infrastructure tag
• 4] Le nom de la future Gateway
• 5] Le nom de seconde carte réseau permettant la sortie internet de la machine virtuelle
• 6] L'adresse IP public d'accès a la Wisper Gateway et éventuellement sont port (si différent de celui par défaut 443/UDP)

1] ID Site

L'ID site se trouve dans l'onglet "Sites" de la console web, puis "Identifiant".

2] ID Group

L'ID Groupe se trouve dans l'onglet "Groupes" de la console web, puis "Identifiant".

3] Infra Tag

L'Infra Tag, est le tag spécifique à votre infrastructure.

Tag possibles :

• workspace
• pilot

📘

En cas de doute, rapprochez-vous du support Wisper !

4] Nom de la "Wisper Gateway"

Le nom renseigné sera remonté dans la console web afin d'identifier la "Wisper Gateway"

5] Nom de la carte réseau

Cette information se trouve sur la machine virtuelle qui doit être configurée avec deux cartes réseaux.

Plusieurs commandes existes, ifconfig ou ip a selon les distributions. Exemple avec la commande "ifconfig" :

Conserver le nom de la carte réseau utilisée pour la sortie réseau des machines virtuelles.

6] L'adresse IP public + port

Récupérer auprès de vos administrateurs réseau, l'adresse IP publique et le port utilisé pour la connexion des ceBox a la "Wisper Gateway"

Résultat :

Dans notre fichier, nous devrions alors avoir ce qui suit :

Installation de la Wisper Gateway

Télécharger le script d'installation disponible auprès du support Wisper.

Ensuite, le rendre exécutable :

chmod +x wispergatewayinstaller.sh

L'exécution de ce script sans paramètre présente une aide comme ci-joint :

Pour procéder à l'installation, exécuter :

./wisperGatewayInstaller.sh install

et suivre l'assistant d'installation.

Ce script installera automatiquement les dépendances nécessaire au fonctionnement de la solution.

En cas d'erreur pendant l'installation des dépendances, un message d'erreur s'affichera vous demandant d'installer manuellement le paquet.

📘

Contactez le support Wisper si vous avez besoin d'aide !

Renseignez lorsque nécessaire, les informations récupérées présentes plus haut dans la documentation.

A la fin de l'installation, un compte rendu sera affiché indiquant si les services on bien démarré correctement.

👍

Un script de gestion du service est installé dans le système (/usr/bin/wispergateway.sh)

Vous pouvez appeler ce script simplement avec la commande

wispergateway.sh

Finalisation de l'installation

Une fois le service en place et actif, vous devez autoriser le "Wisper Gateway" à partir de la console web:

🚧

Important :

N'oubliez pas de fournir l'ensemble des informations au support Wisper pour création de la Gateway !

L'ensemble de ces informations sont regroupées dans la commande :

wispergateway.sh get-info

Mise à jour d'une gateways

Pour mettre à jour votre version actuelle, veuillez appliquer ce qui suit :

 wispergateway.sh self-update

Une fois lancé, la passerelle mettra à jour les différents éléments en appliquant la dernière version stable.

📘

Cas spécifiques :

Selon les besoins, il est possible de forcer la version à l'aide de tags en appliquant la commande.

wispergateway.sh self-update --force

Pour cela, il faudra se rapprocher du support ou votre TAM pour obtenir des indications supplémentaires.

Une fois la mise à jour complète, il faudra relancer les services pour l'application et utilisant la commande suivante

wispergateway.sh reload

🚧

Pas d'impact à prévoir car la relance des services n'affecte pas les tunnels déjà établis.

👍

N'oubliez pas de vérifier que les services sont bien démarrés (comme indiqué dans la capture d'écran suivante).

[Optionnel] Configuration et activation du module Prometheus

Introduction module Prometheus

Le module Prometheus permet la remontée d'information au niveau console WEB concernant les états des connexions entre les ceBox et une Gateway.

Configuration

Par défaut, le module Prometheus n'est pas activé. Pour l'activer, il est nécessaire de récupèrer l'ID périphérique de la Gateway.

Se connecter sur la console WEB et se rendre sur la page du périphérique Gateway concerné.

📘

Dans notre contexte, notre Gateway se nomme "audit-gw01"

L'ID du périphérique se trouve dans l'url

Ensuite, se connecter en SSH sur la Gateway et configurer le service.

Le démarrage du service Prometheus est conditionné au paramètrage de deux variables :

• PrometheusState
• IdDevice

Pour configurer ces variables exécuter la commande suivante en root :

1] Variable PrometheusState

wispergateway.sh update-config

• Etape 1 - "Enter the variable to update" entrer : PrometheusState
• Etape 2 - "Actual PrometheusState ==, replace by?:" entrer : true

2] Variable IdDevice

wispergateway.sh update-config

• Etape 1 - "Enter the variable to update" entrer : IdDevice
• Etape 2 - "Actual IdDevice ==, replace by?:" entrer l'ID du device récupéré plus haut.

Enfin, reload le service avec la commande :

wispergateway.sh reload

👍

Contrairement à la commande restart, le reload n'interromp pas les connexions

Après le reload, ou après la commande "wispergateway.sh status", une nouvelle ligne concernant le Prometheus fait sont apparition avec l'état du service.

Dépannage

Pour vous assurer que le service Wisper-Gateways fonctionne correctement, voici quelques commandes pour vérifier que votre passerelle (Gateway) fonctionne parfaitement.

le service WisperGateway

Vérifiez que le service WisperGatewayService.service est opérationnel

wispergateway.sh status

Le service devrait être actif et en cours d'exécution

🚧

Si le service est arrêté, essayez de le démarrer manuellement en utilisant la commande suivante :

wispergateway.sh start-service

Les tunnels :

Vérifiez les tunnels établis vers les serveurs d'authentification Wisper.

wg

🚧

Assurez-vous que vos passerelles ont un "latest handshake" récente qui garanti une communication correcte entre la passerelle et le serveur d'authentification

• pop-europe [15.236.220.90]
• pop-usa [52.203.132.222]

Carte Virtuelle

Vérifiez que la carte virtuelle a été créée correctement par le service WisperGateway

ovs-vsctl show

🚧

Veuillez vérifier que l'interface "br_tunnel" a été créée et inclut la deuxième carte réseau correcte que vous avez spécifiée lors de la configuration

Les variables

Vérifiez que les variables des passerelles Wisper sont correctement configurées.

wispergateway.sh get-config

🚧

Assurez-vous que les variables suivantes sont correctement définies :

• WGMtu : doit correspondre à l'unité maximale de transmission (MTU) calculée selon votre production.
• LacpTime : doit toujours être défini sur "fast".