В тази статия искаме да ви дадем общ преглед на множество различни съвети за най-добри практики, по-кратки дълбоки гмуркания по отношение на отстраняване на грешки, анализиране и други интересни забележки относно нашите Firewall продукти, за да извлечете максимума от тях.
Интерфейсът на командния ред
В случай, че може би не знаете, нашите устройства имат интерфейс на командния ред, до който можете да получите достъп чрез SSH или конзолен кабел: Достъп до интерфейса на командния ред на вашето устройство Zyxel (SSH чрез puTTY & Console чрез TeraTerm)
Но знаете ли, че дори можете да получите достъп до CLI от вашия уеб браузър? Щракнете върху иконата на уеб конзолата в десния ъгъл на вашето USG FLEX меню: 
Не преминава VPN трафик? (Подмрежи и протоколи)
Това е бърз съвет за проблем, който често възниква при VPN: Много от нашите клиенти ни съобщават, че VPN тунелът, може да е от сайт към сайт или от клиент към сайт, се свързва перфектно, но няма трафик преминаване - защо е така? Често има две различни причини за това
- Подмрежите са настроени неправилно
- ISP блокира протоколи
#1 - Подмрежите са настроени неправилно
Представете си, че имате два сайта, които искате да свържете взаимно, и двата сайта имат един и същ IP-обхват, нека просто приемем 192.168.1.X, както е показано по-долу:
Често клиентите ще съобщават, че VPN всъщност се свързва и се натрупва, но не получават трафик през VPN, като по този начин не могат да се свържат от компютъра към сървъра - какво се случва тук?
Работата е там, че при създаването на интерфейс на USG, ние създаваме директен маршрут . Източникът на директен маршрут независимо поставя трафик, който иска да отиде до IP, който съвпада с една от подмрежите на интерфейса на защитните стени към съответния интерфейс. С други думи: като имаме LAN1 на USG #1 с 192.168.1.1, когато искаме да достигнем 192.168.1.200 (IP сървъра), ние винаги при достигане на нашия шлюз ще бъдем изпращани обратно в LAN1 подмрежата на USG #1 чрез директен маршрут. Ето как изглежда:
Можете да прочетете правилото по следния начин: „Без да гледате източника, ако дестинацията съвпада с интерфейса на LAN1, просто го избутайте към LAN1“, така че връзката от компютър към сървъра никога няма да достигне до четвъртия маршрутизиращ блок „Site-2 -Site VPN" и по този начин никога не може да бъде обработен от алгоритъма за маршрутизиране, за да бъде насочен към VPN. Ясното разбиране за това е: уверете се, че никога не имате припокриващи се подмрежи!
И ако го направите, вижте този урок: Как да настроите SNAT в VPN тунел
2# - ISP блокира протоколи
Може да се окаже, че причината за вашата VPN връзка, но без преминаване на трафик, е просто защото вашият интернет доставчик не блокира портове, а протоколи. Така VPN може да установи чрез порт 500 UDP, 4500 UDP и/или 1701 UDP, които са отговорни за обмена на ръкостискане за свързване на тунела един към друг, но протоколът, използван за капсулиране на данните за VPN тунел, ESP - известен също като протокол 50 - се блокира. Ако не сте засегнати, можете да разберете чрез командния ред: enter
packet-trace interface wan1 ip-proto esp
и задействайте VPN връзка (Съвет: уверете се, че нямате отворен допълнителен тунел и нямате никакъв трафик, преминаващ през тунела, очакван от вашия клиент. След това задействайте ping към IP адреса на отдалечения LAN шлюз. Ако видите, че пакетите излизат, но ако не се връщате към вашия WAN интерфейс, това е доста солиден индикатор, че вашият интернет доставчик прави нещо нередно - в такъв случай влезте в контакт с тях.
Именуването има значение! Организирайте добре своите обекти!
Нашите USG FLEX/ATP/VPN-серии в самостоятелен вид носят страхотна структура на менюто и оформление със себе си. Едно от основните предимства на нашите устройства е невероятната гъвкавост за усукване и настройка на настройките според вашите нужди. Това обаче идва с цена, която трябва да платите - трябва да поддържате организирано именуването си!
Сега, тъй като има много индивидуални подходи как да го направите, просто ще покажем как го правят някои от нашите колеги. За да ви дам малък пример, първо отидете до
Configuration > Object > Service
и натиснете бутона "Добавяне", за да създадете нов запис: 
Тъй като името на услуга трябва да започва с буква, но най-вече ние дефинираме услуги извън спектъра, бихме могли да започнем името с нещо общо като "Port", последвано от числото Port. В крайна сметка можем да добавим и протокола, тъй като може да се окаже, че в различен момент от времето съответстващият UDP Port може да бъде използван от различно приложение.
Ако желаете, можете също да подобрите тази система, като добавите кратка ключова дума за това за какво е услугата: 
Подобен подход се препоръчва за всички други обекти, особено за адреси - уверете се, че организирате и разбирате системата, която сте изградили, и я поддържате от съображения за последователност.
Актуализации на фърмуера - никога не сменяйте работеща система!
Това, което на пръв поглед може да звучи като препоръка да останете с текущия си фърмуер (не е!), е насмешка на думи, но нека обясним допълнително. Нашите защитни стени за сигурност имат два дяла за стартиране/фърмуер: 
Всеки дял има своя собствена база данни, която също се състои от две бази данни за конфигурация, индивидуални една за друга - това е важно да знаете, защото ако искате да приложите нов фърмуер, може да искате да настроите фърмуера на дяла в режим на готовност, "за всеки случай нещо се случва, мога да се върна към Running и отново да съм добре." - много от нашите клиенти всъщност мислят точно по този начин. Но има една заблуда: всеки път, когато промените дяла, текущата ви конфигурация наистина ще се опита да бъде пренесена и приложена към другия дял. Това може да върви добре в повечето случаи. Въпреки това, ако по някакъв начин има проблем, забелязан с текущата конфигурация - което може да се случи, ако надстроите от много стар фърмуер до най-новия без никакви стъпки между тях - може да се окаже, че USG се измъкне и се рестартира и опита процеса отново . Въпреки това, за да не попаднете във вечен bootloop, след 3 опита устройството ще се върне към системна конфигурация по подразбиране!
Ако сега сте в ситуация, че сте свързани дистанционно с USG на няколко 100 километра и устройството се е саморазбило по този начин, по-добре да имате някой на място, който може да помогне или да бъде подготвен за дълго пътуване на място.
Много по-добре е да презапишете работещия дял , тъй като само ако се случи нещо неочаквано (като бъг при разгръщане или подобно), може да има проблем - в повечето случаи просто ще работи перфектно, надграждайки фърмуера от вече доста скорошен фърмуер на работещия дял.
Архивирайте конфигурацията си - още сега! Не, не го копирате в рутера, всъщност го запазете на вашия компютър!
Друго насмешливо заглавие за сериозна препоръка: Редовно архивирайте конфигурационния си файл. Също така, направете архивиране не само на самото устройство (което вече е добра стъпка в правилната посока, но всъщност го изтеглете на компютъра чрез
Maintenance > File Manager > Configuration File
и изберете startup-config.conf и натиснете бутона Download :
Сега може да намерите изтегления .conf файл, който може да бъде отворен чрез Notepad или Notepad++:
Наличието на редовна синхронизация от този вид ви помага драстично да намалите времето за престой, когато наистина е необходимо - в проблемна ситуация.
Има много други съвети и трикове, които евентуално ще бъдат добавени в бъдеще, но това ви дава добро начало за някои, надявам се, полезна информация.
ОПРОВЕРЖЕНИЕ:
Уважаеми клиенти, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Не целият текст може да бъде преведен точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия