V tomto článku vám chceme poskytnout přehled o spoustě různých tipů osvědčených postupů, kratších hloubkových ponorů z hlediska ladění, analýzy a dalších zajímavých poznámek týkajících se našich produktů Firewall, abyste z nich vytěžili maximum.
Rozhraní příkazového řádku
V případě, že to nevíte, naše zařízení mají rozhraní příkazového řádku, ke kterému můžete přistupovat buď pomocí SSH nebo konzolového kabelu: Přístup k rozhraní příkazového řádku vašeho zařízení Zyxel (SSH přes puTTY & Console přes TeraTerm)
Ale věděli jste, že k CLI můžete přistupovat dokonce i z vašeho webového prohlížeče? Klikněte na ikonu webové konzole v pravém rohu nabídky vašeho USG FLEX':
Žádný provoz VPN neprochází? (Podsítě a protokoly)
Toto je rychlý tip na problém, který se často vyskytuje na VPN: Mnoho našich zákazníků nám hlásí, že tunel VPN, ať už je to Site-To-Site nebo Client-To-Site, se dokonale připojí, ale nedochází k žádnému provozu. prochází - proč tomu tak je? Často pro to existují dva různé důvody
- Podsítě jsou nastaveny špatně
- ISP blokuje protokoly
#1 – Podsítě jsou nastaveny špatně
Představte si, že máte dva weby, které chcete propojit, a oba weby mají stejný rozsah IP adres, předpokládejme pouze 192.168.1.X, jak je uvedeno níže:
Zákazníci často hlásí, že se VPN ve skutečnosti připojuje a buduje, ale nedostávají provoz přes VPN, takže se nemohou připojit z počítače k serveru – co se to děje?
Jde o to, že při vytváření rozhraní na USG vytváříme přímou cestu . Přímá cesta na zdroji nezávisle umístí provoz, který chce přejít na IP, která odpovídá jedné z podsítí rozhraní firewallu, do příslušného rozhraní. Jinými slovy: když máme LAN1 na USG #1 s 192.168.1.1, kdykoli budeme chtít dosáhnout 192.168.1.200 (IP serverů), vždy po dosažení naší brány budeme posláni zpět do podsítě LAN1 USG #1 přes přímou cestou. Vypadá to takto:
Pravidlo byste si mohli přečíst následovně: „Aniž byste se dívali na zdroj, pokud cíl odpovídá rozhraní LAN1, stačí jej vysunout do LAN1“, takže připojení z PC k serveru nikdy nedosáhne čtvrtého směrovacího bloku „Site-2 -Site VPN“, a proto je nikdy nemůže zpracovat směrovací algoritmus, který má být vložen do VPN. Jasné poučení z toho je: ujistěte se, že nikdy nemáte překrývající se podsítě!
A pokud ano, podívejte se na tento tutoriál: Jak nastavit SNAT v tunelu VPN
2# - ISP blokuje protokoly
Může se stát, že důvodem, proč se vaše VPN připojuje, ale neprochází žádný provoz, je prostě to, že váš ISP neblokuje žádné porty, ale protokoly. VPN se tedy může vytvořit přes port 500 UDP, 4500 UDP a/nebo 1701 UDP, které jsou zodpovědné za výměnu handshake pro vzájemné propojení tunelu, ale protokol používaný k zapouzdření dat tunelu VPN, ESP - také známý jako protokol 50 - je blokován. Pokud se vás to netýká, můžete to zjistit pomocí příkazového řádku: enter
packet-trace interface wan1 ip-proto esp
a spusťte připojení VPN (Tip: Ujistěte se, že nemáte otevřený žádný další tunel a že váš klient neočekává žádný provoz tunelem. Poté spusťte ping na IP vzdálené brány LAN. Pokud vidíte, že pakety odcházejí, ale nevrací se k vašemu WAN rozhraní, to je docela solidní indikátor toho, že váš ISP dělá něco špatně – v takovém případě s ním jděte do kontaktu.
Na pojmenování záleží! Dobře si zorganizujte své objekty!
Naše samostatná řada USG FLEX/ATP/VPN přináší skvělou strukturu a rozložení menu. Jednou z klíčových výhod našich zařízení je neuvěřitelná flexibilita při kroucení a vyladění nastavení podle vašich potřeb. Za to se však platí – musíte mít své pojmenování organizované!
Nyní, protože existuje mnoho individuálních přístupů, jak to udělat, jednoduše ukážeme, jak to dělají někteří naši kolegové. Chcete-li uvést malý příklad, nejprve přejděte na
Configuration > Object > Service
a stisknutím tlačítka "Přidat" vytvořte nový záznam:
Vzhledem k tomu, že název služby musí začínat písmenem, ale většinou definujeme služby mimo spektrum, mohli bychom název začít něčím obecným jako „Port“, za kterým následuje číslo Port. Nakonec bychom mohli přidat také Protokol, protože se může stát, že v jiném časovém okamžiku může být odpovídající UDP Port využívána jinou aplikací.
Pokud chcete, můžete tento systém také vylepšit přidáním krátkého klíčového slova o tom, o čem služba je:
Podobný přístup se doporučuje pro všechny ostatní objekty, zejména adresy – ujistěte se, že systém, který jste vytvořili, organizujete, rozumíte mu a udržujete jej z důvodu konzistence.
Aktualizace firmwaru – nikdy neměňte běžící systém!
To, co může na první pohled znít jako doporučení, abyste zůstali u svého aktuálního firmwaru (není!), je slovní hříčka s jazýčkem, ale dovolte nám to vysvětlit dále. Naše bezpečnostní firewally mají dva bootovací/firmwarové oddíly:
Každý oddíl má svou vlastní databázi, která se také skládá ze dvou konfiguračních databází, které jsou navzájem individuální – to je důležité vědět, protože pokud byste chtěli použít nový firmware, možná budete chtít nastavit firmware na oddíl Standby, „pro případ se něco stane, mohu se vrátit zpět do Runningu a být zase v pořádku.“ – mnoho našich zákazníků si to skutečně myslí. Ale je v tom jeden omyl: pokaždé, když změníte oddíl, vaše aktuální konfigurace se skutečně pokusí přenést a aplikovat na druhý oddíl. To by mohlo ve většině případů dopadnout dobře. Pokud je však nějakým způsobem zjištěn problém s aktuální konfigurací – což se může stát, pokud upgradujete z velmi starého firmwaru na nejnovější bez jakýchkoli kroků mezi tím – může to být tím, že se USG objeví chyba a restartuje se a zkusí proces znovu . Aby se však zařízení nedostalo do věčného bootloopu, po 3 pokusech se samo vrátí do výchozí konfigurace systému!
Pokud se nyní nacházíte v situaci, že jste vzdáleně připojeni k USG na více než 100 kilometrů a zařízení se takto samo zhroutilo, je lepší mít na místě někoho, kdo může pomoci nebo být připraven na dlouhou cestu na místě.
Je mnohem lepší přepsat běžící oddíl , protože pouze v případě, že se stane něco neočekávaného (například chyba při zavádění nebo podobně), může nastat problém - ve většině případů to prostě poběží naprosto v pořádku, upgrade firmwaru z již docela nejnovější firmware na běžícím oddílu.
Zálohujte si konfiguraci – právě teď! Ne, nezkopírujte to do routeru, ve skutečnosti to uložte do svého PC!
Další titulek pro seriózní doporučení: Pravidelně zálohujte konfigurační soubor. Zálohu také neprovádějte pouze na samotném zařízení (což je již dobrý krok správným směrem, ale ve skutečnosti si ji stáhněte do počítače přes
Maintenance > File Manager > Configuration File
a výběrem souboru startup-config.conf a stisknutím tlačítka Stáhnout :
Nyní můžete najít stažený soubor .conf, který lze otevřít pomocí programu Poznámkový blok nebo Notepad++:
Pravidelná synchronizace tohoto druhu vám pomůže výrazně zkrátit prostoje, když je to opravdu potřeba – v problémové situaci.
Existuje mnoho dalších tipů a triků, které budou nakonec přidány v budoucnu, ale toto vám dává dobrý začátek k některým doufejme užitečným informacím.
ODMÍTNUTÍ ODPOVĚDNOSTI:
Vážený zákazníku, uvědomte si prosím, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Pokud existují otázky nebo nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde: Původní verze