Сетевой KVM IP переключатель D-Link DKVM-IP1/B1A

DLink-DKVM-IP_00

Сначала немного критики, а далее ниже я дам некоторые советы – как заставить это чудо работать.

Я уже не помню, сколько лет эта вещь у меня, но помню одно точно, почти сразу я столкнулся с проблемами эксплуатации данной KVM консоли (KVM over IP), которые преследуют и сейчас. В один прекрасный день Вы проснетесь и поймете, что ваше устройство больше не поддерживается ни самим производителем, ни сторонним программным обеспечением. А ведь это устройство не автономное, оно не может работать само по себе 20 лет, как электрочайник. Вот отсюда и вытекают все проблемы и утекают наши денюжки, время и нервы.

Само по себе это устройство хоть и старовато во всех отношениях, и морально, и по железу, и тем более по интерфейсу, но оно приносило бы ощутимую пользу, если бы не несколько "но". И самое важное из этих "но", это программная часть, т.е. прошивка, ее производитель попросту не обновляет, либо это делает ну очень поздно, с запаздываниями обновлений прошивки этак лет на 5 и более. У меня вообще изначально складывалось впечатление, что это устройство заброшено. Да и сейчас такое же мнение.

Ко всему прочему, в последние годы в принципе отключается возможность эксплуатации данного KVM, как такового.

Вся соль в том, что этот D-Link DKVM-IP1/B1A работает с использованием виртуальной Java машины, проще говоря Java-апплетов. На дворе API HTM5, а все, что мы сейчас получили, это обновление прошивки с поддержкой Java 8. До этого в устройстве была прошивка для Java 6, но 6-ая версия давно не используется в современных ОС и единственная возможность держать этот кирпич рабочим, это виртуальная машина с XP и старым Explorer 6.0. Но некий выход есть, о нем я расскажу чутка ниже.

Возможно не все знают, не каждому по "долгу службы" это нужно, но на данный момент все известные веб-браузеры вообще отказались целиком от поддержи Java, если быть точнее, то отказались от поддержки плагинов NPAPI (Netscape Plugin Application Programming Interface), а там не только Java, но и Silverlight, Adobe Acrobat и другие. То есть Вы понимаете :), компания D-Link выпустила прошивку под Java 8 (вообще пропустив версию 7, а это несколько лет!) уже после того, как самые известные веб-браузеры отказались от поддержки Java еще два-три года назад, а некоторые и того раньше.  Весело?) Хотелось бы, чтобы так и было, но это не так. Доверие к продуктам D-Link падает с каждым разом. Вот после всего этого понимаешь, что при отсутствии нормальных программистов, хороших вещей от них ожидать сложно. Чего стоят только их вечно зависающие роутеры. Маркетинг и цена делают свое дело, этим и пользуются.

У меня до сих пор чувство, что всех нас, кто приобрел для себя этот DKVM, просто побрили. То ли в шутку, то ли нет, но данное устройство даже сейчас продают! Аж за целых примерно 26000-36000 рублей, проще говоря 500 баксов :) Вопрос, за что?? ))

https://www.d-link-shop.ru/goods/D-Link_DKVM-IP1/B1A.htm
https://www.onlinetrade.ru/catalogue/marshrutizatory_i_kommutatory-c541/d_link/setevoy_kvm_pereklyuchatel_d_link_dkvm_ip1_b1a-131558.html
http://www.dlink.ru/ru/products/3/584.html

 

На одном сайте d-link-shop.ru (я не уверен, что это официальный магазин) даже оптом можно прикупить это старье, я балдею :)

D-Link DKVM-IP1

В магазине ОНЛАЙН ТРЕЙД.РУ пошли еще дальше, аж за 36 тыс руб за девайс, который по сути своей уже не работает :) На дворе уже середина 2019, а технологии со времен Windows XP.. Печаль. Особенно для новых покупателей..

D-Link DKVM-IP1

 

Когда-то с этим устройством все было просто, за пару минут можно было его легко подключить к серверу и в случае необходимости спокойно работать удаленно. Реально по своему назначению вещь очень полезная, но не данной фирмы. Я рекомендую искать какую-то другую альтернативу KVM. Сам я пока не занимался этим вопросом, но очень хочу найти более достойную альтернативу.

А теперь я подскажу, как заставить все это работать на современных ОС, а также, как я вышел из положения и наладил

 

Решение некоторых проблем эксплуатации DKVM-IP1

А теперь я подскажу Вам, какие варианты все же есть запустить эту злополучную веб Java машину на Вашем компьютере, а также, как на этом девайсе настроить SSL.

 

1. Главное, чтобы "оно" вообще работало :)

Первый вариант, это конечно же виртуальная машина с образом Windows XP. Там можно сказать почти из коробки все будет работать, осталось только установить саму Java необходимой версии. Если у вас версия софта F/W Ver.:1.0.0, то вы можете либо найти в сети старую версию Java 6, либо (рекомендуется) обновить свой KVM до версии 2.0.1, она уже поддерживает версию Java 8.

Второй вариант, тут по-любому необходимо обновиться до версии Firmware 2.0.1. После этого скачать и установить на свой компьютер Java 8. И последним шагом, самое главное, это найти веб браузер с поддержкой платформы NPAPI, который будет работать на современных ОС. Задача непростая, но выход есть! Качаем альтернативный веб браузер — Pale Moon, и наслаждаемся! Есть версии для Windows и Linux, но в недрах сайта можно выйти на форум разработчиков, где публикуются бета версии для Mac OS. Я себе установил Pale Moon 28.5.0 (mac64). Да, пока есть косячки с интерфейсом, например плохо работает повторный ввод сохраненных данных полей форм. Перезагрузил браузер и все, поля обновились, ввод работает. Но это мелочи, по сути, все пилится, отлаживается, и для нашей задачи все работает даже более чем. Теперь нам нет необходимости запускать виртуальную машину для работы KVM IP, а это уже огромный плюс.

 

2. Настройка веб-морды на SSL со своим сертификатом.

Что нам обещает производитель? Цитата:

Учетные записи SSL для повышенной безопасности
Для предупреждения нарушений в системе безопасности, переключатель DKVM-IP1 поддерживает протокол аутентификации и шифрования данных SSL. DKVM-IP1 также может сгенерировать запрос на подпись сертификата (CSR) для использования SSL-сертификата, который может быть загружен на DKVM-IP1 с целью идентификации.

Так вот, этот запрос CSR мы создаем через веб-интерфейс в меню Сертификаты и в итоге мы его получаем в виде файла csr.txt. Что дальше?

А дальше можно отправить этот csr файл на подпись какому-либо центру сертификации, например, LetsEncrypt, но там выдают сертификаты только на 3 месяца, вы просто устанете делать каждый раз замену сертификата, и тем более возникнет головная боль, отслеживать срок действия сертификата. Можно подписать сертификат тем же ключом, с помощью которого он был создан, но на самом деле этого мы не можем, т.к. нам его просто не дают, он хранится внутри устройства. Я не знаю, зачем так сделали, эта коробочка чай не супер-пупер со своими встроенными родными, реально корявыми и слабыми сертификатами итак не дает Вам никакой безопасности. И третий вариант - создать свой центр сертификации, и подписать самим себе сертификат. Это единственный разумный путь, его мы и рассмотрим.

 

Переходим в меню Certificate

DKVM-IP1 Certificate

Заполняем все поля в Certificate Signing Request (CSR)

Common Name: Ваш внешний IP,
Key length: 2048.
Остальные поля по вашему желанию.

Жмакаем кнопку Create и ждем пару минут. После этого появится кнопка "скачать" файл (csr.txt). Скачиваем.

Бежим к себе на сервер (Debian, FreeBSD и т.д)

Там создаем где угодно (но только не в "www" директории) каталог, например /etc/ca или /root/ca, а внутри еще один certCA. В принципе достаточно и одного каталога, но мне лично удобнее работать, когда главные сертификаты Центра сертификации находятся в отдельном каталоге, например /root/ca/certCA, а клиентские сертификаты в каталоге /root/ca.

Создаем рекурсивно нужные каталоги
mkdir -p /root/ca/certCA

Копируем любым способом наш csr.txt файл с компьютера на сервер в созданный каталог /root/ca. В этом же каталоге появится наш готовый файл подписанного сертификата (cert.crt).

Первый шаг openssl
Создаём корневой ключ (без пароля)
openssl genrsa -out /root/ca/certCA/rootCA.key 2048
Или создаём корневой ключ с паролем:
openssl genrsa -aes128 -out /root/ca/certCA/rootCA.key 2048

Второй шаг openssl
Создаём корневой сертификат нашего Центра сертификации (на 100 лет).
openssl req -x509 -new -key /root/ca/certCA/rootCA.key -days 36540 -out /root/ca/certCA/rootCA.crt

Заполняем все поля, можно что угодно вводить.

Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Super Cert Authority
Organizational Unit Name (eg, section) []:Super Cert
Common Name (e.g. server FQDN or YOUR name) []:Super Cert
Email Address []:example@example.com

И третий шаг openssl
Подписываем запрос (csr.txt) на сертификат нашим корневым сертификатом на 27 лет.
openssl x509 -req -in /root/ca/csr.txt -CA /root/ca/certCA/rootCA.crt -CAkey /root/ca/certCA/rootCA.key -CAcreateserial -out /root/ca/cert.crt -days 10000

Если вы создавали корневой ключ с паролем, то на данном этапе Вас попросят ввести этот пароль для завершения подписи сертификата. Тот пароль, который вы задали при генерации запроса на подпись сертификата (в форме) нигде не используется (или я не нашел ему применение, приватный ключ все равно нам система не сливает), но на всякий случай его не забывайте. Хотя если и забыли, то проще за 3 минуты перевыпустить сертификат, чем вспоминать.

 

Собственно и все. Полученный файл cert.crt загружаем в устройство через ту же страницу, где мы генерировали запрос на подпись сертификата. Если сертификат успешно загрузится, все сразу же начнет работать уже с новым сертификатом.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *