Autorisation des flux de la passerelle vers et depuis ThingPark
Ce sujet décrit les flux requis à autoriser dans votre environnement de déploiement de la passerelle, tels que les proxies, pare-feux ... Ces flux permettent aux passerelles d'échanger du trafic avec le Cœur de réseau ThingPark, ainsi qu'avec des serveurs externes de synchronisation temporelle.
Pour les déploiements SaaS ThingPark
Astuce
Pour plus d'informations sur le FQDN des nœuds SaaS (SLRC, SLRC (LNS-BRIDGE), LRC, SUPPORT et serveurs PROXY_HTTP), consultez Liste FQDN par plate-forme.
Flux LRR lorsque IPsec est utilisé
| # | De (système) | De (application) | Saisir | Protocole | Dest. Port | Vers (système) | Vers (application) | Description |
|---|---|---|---|---|---|---|---|---|
| i6 | Passerelle | strongswan (client) | Bidirectionnel | IKE v2 (sécurisé) MOBIKE v2 (sécurisé) | UDP/500 UDP/4500 | SLRC | strongswan | IPsec IKE (UDP) / MOBIKE (UDP) ike=aes128-sha256-ecp256,aes128-sha384-ecp384,aes256-sha512-ecp521 |
| i7 | Passerelle | strongswan (client) | Bidirectionnel | ESP (sécurisé) | - | SLRC | strongswan | ESP (protocole 50) ike=aes128-sha256-ecp256,aes128-sha384-ecp384,aes256-sha512-ecp521 esp=aes128gcm128,aes256gcm128 |
| i7a | Passerelle | openssl | Unidirectionnel | TLS | TCP/3001 TCP/3002 TCP/3003 | SLRC | haproxy | Vérifier la validité du certificat côté serveur (uniquement applicable pour la version LRR ≥ 2.8) |
| i8a | Passerelle | OS | Unidirectionnel | ICMP | - | SLRC | OS | Ping (SLRC) |
| i10 | Passerelle | OS | Unidirectionnel | DNS | UDP/53 | Service DNS | service | Demande DNS. Note Facultatif, à évaluer selon le réseau d'accès. |
| i11 | Passerelle | OS | Unidirectionnel | DHCP | - | Service DHCP | service | Demande DHCP. Note Facultatif, à évaluer selon le réseau d'accès. |
| i11b | Passerelle | Installateur de clés (client) | Unidirectionnel | SFTP | TCP/22 | SLRC | key-installer (openssh) | Accès SFTP pour télécharger le certificat X.509 |
| i9 | Passerelle | OS | Unidirectionnel | SSH v2 (sécurisé) | TCP/22 | SUPPORT | OS | Administration LRR en contraire |
| i17 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | Service NTP | OS | Demande NTP par la passerelle LRR |
Flux LRR lorsque TLS est utilisé
| # | De (système) | De (application) | Saisir | Protocole | Dest. Port | Vers (système) | Vers (application) | Description |
|---|---|---|---|---|---|---|---|---|
| i7a | Passerelle | stunnel | Unidirectionnel | TLS | TCP/3001 TCP/3002 TCP/3003 | SLRC | haproxy | Tunnels TLS vers respectivement LRC:2404 (i14), LRC:22 (i15b), SUPPORT:22 (i17d) |
| i8a | Passerelle | OS | Unidirectionnel | ICMP | - | SLRC | OS | Ping (SLRC) |
| i10 | Passerelle | OS | Unidirectionnel | DNS | UDP/53 | Service DNS | service | Demande DNS. Note Facultatif, à évaluer selon le réseau d'accès. |
| i11 | Passerelle | OS | Unidirectionnel | DHCP | - | Service DHCP | service | Demande DHCP. Note Facultatif, à évaluer selon le réseau d'accès. |
| i11b | Passerelle | Installateur de clés (client) | Unidirectionnel | SFTP | TCP/22 | SLRC | key-installer (openssh) | Accès SFTP pour télécharger le certificat X.509 |
| i9 | Passerelle | OS | Unidirectionnel | SSH v2 (sécurisé) | TCP/22 | SUPPORT | OS | Administration LRR en contraire |
| i17 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | Service NTP | OS | Demande NTP par la passerelle LRR |
Flux de la Station Basics (toujours avec TLS)
| # | De (système) | De (application) | Saisir | Protocole | Dest. Port | Vers (système) | Vers (application) | Description |
|---|---|---|---|---|---|---|---|---|
| i10 | Passerelle | OS | Unidirectionnel | DNS | UDP/53 | Service DNS | service | Demande DNS Note Facultatif, à évaluer selon le réseau d'accès. |
| i11 | Passerelle | OS | Unidirectionnel | DHCP | - | Service DHCP | service | Demande DHCP. Note Facultatif, à évaluer selon le réseau d'accès. |
| i11c | Passerelle | Semtech Basics Station | Unidirectionnel | HTTPS/WSS | TCP/443 | SLRC (LNS-BRIDGE) | haproxy | Interface LNS vers LRC LNS-BRIDGE |
| i11d | Passerelle | Semtech Basics Station | Unidirectionnel | HTTPS / TLS v1.2 (sécurisé) | TCP/443 | PROXY_HTTP | proxy | Interface CUPS vers AS_RCA |
| i17 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | Service NTP | service | Demande NTP par la passerelle LRR |
Liste FQDN par plate-forme
| Plateforme SaaS | Depuis (système) | Depuis (application) | Saisir | FQDN SUPPORT | FQDN PROXY_HTTP |
|---|---|---|---|---|---|
| EU-PROD | PASSERELLE | strongswan (client) | Bidirectionnel | IKE v2 (sécurisé) MOBIKE v2 (sécurisé) | UDP/500 UDP/4500 |
| AU-PROD | PASSERELLE | strongswan (client) | Bidirectionnel | ESP (sécurisé) | thingparkenterprise.au.actility.com |
| US-PROD | PASSERELLE | OS | Unidirectionnel | ICMP | - |
| Communauté ThingPark | PASSERELLE | Installateur de clés (client) | Unidirectionnel | SFTP | TCP/22 |
| EU-PREPROD | PASSERELLE | OS | Unidirectionnel | SSH v2 (sécurisé) | TCP/22 |
| AU-PREPROD | PASSERELLE | OS | Unidirectionnel | TLS | thingparkenterprise-preprod.au.actility.com |
Pour les déploiements ThingPark Enterprise auto-hébergés
Flux LRR lorsque IPsec est utilisé
| # | De (système) | De (application) | Saisir | Protocole | Dest. Port | Vers (système) | Vers (application) | Description | AUTONOME | HAUTE DISPONIBILITÉ |
|---|---|---|---|---|---|---|---|---|---|---|
| i3 | Passerelle | strongswan (client) | Bidirectionnel | IKE v2 (sécurisé) MOBIKE v2 (sécurisé) | UDP/500 UDP/4500 | TPE | strongswan | IPsec IKE (UDP) / MOBIKE (UDP) ike=aes128-sha256-ecp256,aes128-sha384-ecp384,aes256-sha512-ecp521 | DOIT | DOIT |
| i5 | Passerelle | strongswan (client) | Bidirectionnel | ESP (sécurisé) | - | TPE | strongswan | ESP (protocole 50) ike=aes128-sha256-ecp256,aes128-sha384-ecp384,aes256-sha512-ecp521 esp=aes128gcm128,aes256gcm128 | DOIT | DOIT |
| i3 | Passerelle | OS | Unidirectionnel | ICMP | - | TPE | OS | Ping (TPE) | DOIT | DOIT |
| i7 | Passerelle | Installateur de clés (client) | Unidirectionnel | SFTP | TCP/22 | TPE | Installateur de clés (serveur) | Téléchargement du logiciel LRR Téléchargement de la configuration du logiciel LRR. | DOIT | DOIT |
| i5 | Passerelle | OS | Unidirectionnel | SSH v2 (sécurisé) | TCP/22 | TPE | OS | Admin LRR (SSH inverse) | DOIT | DOIT |
| n1 | Passerelle | OS | Unidirectionnel | TLS | UDP/123 | TPE | serveur | Vérifier la validité du certificat côté serveur (uniquement applicable pour la version LRR ≥ 2.8) | DOIT | DOIT |
| n2 | Passerelle | OS | Unidirectionnel | TLS | UDP/53 | TPE | serveur | Vérifier la validité du certificat côté serveur (uniquement applicable pour la version LRR ≥ 2.8) | DOIT | DOIT |
| n3 | Passerelle | OS | Unidirectionnel | TLS | UDP/123 | TPE | OS | Vérifier la validité du certificat côté serveur (uniquement applicable pour la version LRR ≥ 2.8) | DOIT | DOIT |
| n1 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | Service NTP | service | Demandes NTP lorsque TPE n'est pas utilisé pour NTP | FACULTATIF | FACULTATIF |
| n2 | Passerelle | OS | Unidirectionnel | DNS | UDP/53 | Service DNS | service | Demandes DNS | FACULTATIF | FACULTATIF |
| n3 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | TPE | Service NTP | Demandes NTP lorsque TPE est utilisé pour NTP | FACULTATIF | FACULTATIF |
| n4 | Passerelle | OS | Unidirectionnel | DHCP | - | Service DHCP | service | Demande DHCP | FACULTATIF | FACULTATIF |
Flux LRR lorsque TLS est utilisé
| # | De (système) | De (application) | Saisir | Protocole | Dest. Port | Vers (système) | Vers (application) | Description | AUTONOME | HAUTE DISPONIBILITÉ |
|---|---|---|---|---|---|---|---|---|---|---|
| i3 | Passerelle | OS | Unidirectionnel | ICMP | - | TPE | OS | Ping (TPE) | DOIT | DOIT |
| i7 | Passerelle | Installateur de clés (client) | Unidirectionnel | SFTP | TCP/22 | TPE | Installateur de clés (serveur) | Téléchargement du logiciel LRR Téléchargement de la configuration du logiciel LRR. | DOIT | DOIT |
| i5 | Passerelle | OS | Unidirectionnel | SSH v2 (sécurisé) | TCP/22 | TPE | OS | Admin LRR (SSH inverse) | DOIT | DOIT |
| n1 | Passerelle | OS | Unidirectionnel | DNS | UDP/123 | TPE | serveur | Lien IEC 104 par la passerelle LRR : commandes LRR et échange de DATA et métadonnées Uplink/Downlink LoRa. | DOIT | DOIT |
| n2 | Passerelle | OS | Unidirectionnel | NTP | UDP/53 | TPE | serveur | Requêtes NTP lorsque TPE est utilisé pour NTP | DOIT | DOIT |
| n3 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | TPE | OS | Téléchargement du scan RF LRR Téléchargement de la configuration du logiciel LRR | DOIT | DOIT |
| n1 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | Service NTP | service | Demandes NTP lorsque TPE n'est pas utilisé pour NTP | FACULTATIF | FACULTATIF |
| n2 | Passerelle | OS | Unidirectionnel | DNS | UDP/53 | Service DNS | service | Demandes DNS | FACULTATIF | FACULTATIF |
| n3 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | TPE | Service NTP | Demandes NTP lorsque TPE est utilisé pour NTP | FACULTATIF | FACULTATIF |
| n4 | Passerelle | OS | Unidirectionnel | DHCP | - | Service DHCP | service | Demande DHCP | FACULTATIF | FACULTATIF |
Flux LRR lorsque ni IPsec ni TLS ne sont utilisés
| # | De (système) | De (application) | Saisir | Protocole | Dest. Port | Vers (système) | Vers (application) | Description | AUTONOME | HAUTE DISPONIBILITÉ |
|---|---|---|---|---|---|---|---|---|---|---|
| i3 | Passerelle | OS | Unidirectionnel | ICMP | - | TPE | OS | Ping (TPE) | DOIT | DOIT |
| i5 | Passerelle | OS | Unidirectionnel | SSH v2 (sécurisé) | TCP/22 | TPE | OS | Admin LRR (SSH inverse) | DOIT | DOIT |
| i6 | Passerelle | OS | Unidirectionnel | IEC 104 | TCP/2404 | TPE | server | Lien IEC 104 par la passerelle LRR : commandes LRR et échange de DATA et métadonnées Uplink/Downlink LoRa. | DOIT | DOIT |
| i7 | Passerelle | OS | Unidirectionnel | FTP | TCP/21 | TPE | server | Téléchargement du logiciel de la passerelle LRR Configuration du logiciel de la passerelle LRR | DOIT | DOIT |
| i8 | Passerelle | OS | Unidirectionnel | FTP | TCP/21 | TPE | OS | Téléchargement du scan RF LRR Téléchargement de la configuration du logiciel LRR | DOIT | DOIT |
| n1 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | Service NTP | service | Demandes NTP lorsque TPE n'est pas utilisé pour NTP | FACULTATIF | FACULTATIF |
| n2 | Passerelle | OS | Unidirectionnel | DNS | UDP/53 | Service DNS | service | Demandes DNS | FACULTATIF | FACULTATIF |
| n3 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | TPE | Service NTP | Demandes NTP lorsque TPE est utilisé pour NTP | FACULTATIF | FACULTATIF |
| n4 | Passerelle | OS | Unidirectionnel | DHCP | - | Service DHCP | service | Demande DHCP | FACULTATIF | FACULTATIF |
Flux de la Station Basics (toujours avec TLS)
| # | De (système) | De (application) | Saisir | Protocole | Dest. Port | Vers (système) | Vers (application) | Description | AUTONOME | HAUTE DISPONIBILITÉ |
|---|---|---|---|---|---|---|---|---|---|---|
| i42 | Passerelle | Semtech Basics Station | Unidirectionnel | HTTPS/WSS | TCP/4443 | TPE | haproxy | Interface LNS | DOIT | DOIT |
| i43 | Passerelle | Semtech Basics Station | Unidirectionnel | HTTP+TLS v1.2 (sécurisé) | TCP/443 | TPE | RCA | Interface CUPS | DOIT | DOIT |
| n1 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | Service NTP | service | Demandes NTP lorsque TPE n'est pas utilisé pour NTP | FACULTATIF | FACULTATIF |
| n2 | Passerelle | OS | Unidirectionnel | DNS | UDP/53 | Service DNS | service | Demandes DNS | FACULTATIF | FACULTATIF |
| n3 | Passerelle | OS | Unidirectionnel | NTP | UDP/123 | TPE | Service NTP | Demandes NTP lorsque TPE est utilisé pour NTP | FACULTATIF | FACULTATIF |
| n4 | Passerelle | OS | Unidirectionnel | DHCP | - | Service DHCP | service | Demande DHCP | FACULTATIF | FACULTATIF |