Náš USG FLEX firewall lze spravovat a konfigurovat pomocí Nebula Control Center (NCC) od verze firmwaru ZLD5.00 a výše. Řada ATP může být spravována v NCC od verze firmwaru ZLD5.10. Tento návod ukazuje, jak přidat zařízení do Nebula pomocí procesu ZTP a předkonfigurovat nastavení firewallu v Nebula před předáním zařízení k instalaci na místě. Tento článek ukazuje, jak zaregistrovat váš firewall v Nebula. Je rozdělen do různých sekcí, proto prosím přejděte do příslušné sekce podle vašich potřeb v obsahu.
 Poznámka: Režim ZTP není dostupný od verze 5.37 patch 1, proto musíte zařízení nasadit do Nebula pomocí nativního režimu. Zde jsou ovlivněné modely. Řada ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Řada USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Proč nemohu použít ZTP nebo nativní režim k nasazení mého firewallu na Nebula?

Pokud máte potíže s přidáním vašeho zařízení do Nebula, může to znamenat, že vaše zařízení bylo vyrobeno před koncem roku 2023 a vyžaduje dokončení procesu Zero Touch Provisioning (ZTP). Postupujte podle těchto kroků:

• Downgrade firmwaru na vašem zařízení
• Projděte požadovaný proces ZTP
• Po úspěšném přidání aktualizujte zařízení na nejnovější verzi firmwaru

Jak zaregistrovat váš firewall do Nebula (videa)

Poznámka: Vaše zařízení musí být resetováno na výchozí nastavení, aby bylo možné jej připojit k Nebula, což znamená ztrátu všech předchozích nastavení, která mohla být nakonfigurována. Po připojení k Nebula bude zařízení automaticky nakonfigurováno s výchozími nastaveními Nebula. Upozorňujeme také na některá omezení a následující funkce nejsou v cloudovém režimu pro USG FLEX zatím dostupné:

• Zařízení HA
• Emailová bezpečnost (Anti-Spam)
• SSL inspekce
• Dynamické směrování (RIP, OSPF, BGP)
• Související funkce IPv6
• AP kontroler (Nebula Control Center by měl být používán jako AP kontroler místo toho)
• Hotspot služba (Nebula Control Center již podporuje hotspot služby jako Voucher, Walled garden)

Licencování

• Licencování vašeho USG FLEX do Nebula Control Center

Pokud váš USG Flex přišel s bundlovanou licencí, automaticky získáte Nebula Professional Pack na 1 rok pro vaše zařízení. Licence služby UTM bude plynule přenesena do Nebula, bez ohledu na zbývající dobu platnosti.

Pokud váš USG nepřišel s bundlovanou licencí, stále si užijete 30denní zkušební období pro vaše UTM služby. Služby Nebula PRO Pack také automaticky zahrnují 30denní zkušební období při vytvoření vaší organizace.

Zkušební licenční období se také vztahuje na vaše zařízení s bundlovanou licencí.

• Migrace mé stávající licence NSG (NSS) na USG FLEX (UTM)

Pro migraci licence z vašeho NSG na USG FLEX v cloudu platí následující tabulka mapování. Například NSG 100 může svou licenci migrovat pouze na USG FLEX 200 a nelze migrovat licenci na jiné modely USG FLEX.

Pokud váš USG FLEX 100 již má licenci na 1 rok, po migraci zbývající licence z NSG50 (např. 6 měsíců) na USG FLEX 100, bude mít toto zařízení licenci na 1 a půl roku k využití. 

Prosím, vytvořte žádost o podporu, a náš tým vám rád pomůže s řešením vaší migrace licence s náležitou prioritou.

Výběr režimu Nebula přes Web GUI

Jakmile vaše zařízení běží na verzi 5.10 a používá tovární výchozí nastavení, při prvním přihlášení do Web Configurátoru budete vyzváni k aktualizaci výchozího administrátorského hesla ("1234"). 

• Režim Nebula

Vyberte režim Nebula pro správu vašeho Zyxel zařízení pomocí Nebula Control Center (NCC). NCC je cloudový systém pro správu sítě, který vám umožní vzdáleně spravovat a monitorovat vaše Zyxel zařízení.

Postupujte podle průvodce režimem Nebula k nastavení WAN, aby bylo možné předat správu vašeho Zyxel zařízení do NCC. 

Jakmile je režim správy a WAN zařízení nakonfigurován a umožňuje přístup k internetu, můžete pokračovat do Nebula pro další nastavení. Více informací je v sekci "nativní režim Nebula"

• Vzdálená migrace z on-premise do režimu Nebula

I když máte statická IP nastavení nebo tovární výchozí nastavení, můžete vzdáleně přepnout vaši on-premise správu do cloudového režimu Nebula pomocí Web GUI. Upozornění: zařízení bude resetováno do továrního nastavení a konfigurace budou ztraceny. Ve fázi 13 Nebula již nemusíte být na místě, abyste zařízení resetovali před migrací do Nebula. Nyní to můžete udělat vzdáleně. 

Požadavky pro vzdálenou migraci do Nebula jsou, že firewall:

• Musí být v nativním režimu Nebula, což znamená, že musí obsahovat ZTP certifikát
• Zařízení musí být online (potřebný přístup k WAN/internetu)

Poznámka: Pokud máte zařízení v on-premise režimu, můžete přeskočit krok "nativní režim Nebula

• Vytvoření organizace a lokality

Pokud jste ještě nevytvořili organizaci a lokalitu v Nebula, postupujte podle přiloženého odkazu v článku. Po dokončení tohoto kroku můžeme pokračovat v procesu registrace.
Nebula [lokalita/organizace] - Jak vytvořit/smazat organizaci a lokalitu v Nebula Control Center?

Konfigurace firewallu v portálu Nebula

Před provedením těchto kroků mějte připravenou síťovou topologii, nastavení firewallu a WAN konfiguraci. Tyto informace vám umožní předem nakonfigurovat nastavení firewallu ještě před jeho zapnutím v Nebula. Firewall automaticky synchronizuje tuto konfiguraci, když se připojí k Nebula. Při vytváření lokality můžete specifikovat model vašeho firewallu bez jeho přidání. To umožňuje předkonfigurovat některé parametry ještě před přidáním samotného zařízení.

• Nastavení skupiny portů

Celá lokalita -> Konfigurace -> Firewall -> Porty

• Pro konfiguraci skupin WAN/LAN portů nebo přidání WAN/LAN skupin dle vašeho scénáře.

• Konfigurace WAN nastavení, pokud máte statickou IP

Celá lokalita -> Konfigurace -> Firewall - rozhraní

•  pro změnu IP adres WAN/LAN rozhraní podle vašeho scénáře.

Registrace firewallu a výběr metody nasazení

Manuální režim

Přejděte do Celá lokalita -> Licence a inventář

Vstupte na stránku zařízení a klikněte na "Přidat" pro registraci firewallu. Můžete zaregistrovat více zařízení zadáním MAC adresy a sériového čísla

Poté můžete zařízení přiřadit k správné lokalitě. V organizaci můžete mít několik zařízení, odsud můžete vybrat konkrétní zařízení a přiřadit jej ke správné lokalitě:

Objeví se vyskakovací okno, kde můžete vybrat metodu nasazení zařízení.

Režim Zero Touch Provision

Při prvním zápisu zařízení do Nebula musí být použit režim Zero Touch Provision, protože zařízení potřebuje proces ZTP, aby se stalo schopným cloudu. Přejděte na Spustit proces ZTP

Nativní režim Nebula

Při prvním registraci vašeho zařízení do Nebula musíte zajistit, že máte na zařízení ZTP certifikát. U všech zařízení musí firewall nejdříve projít procesem ZTP jednou. U novějších zařízení může být ZTP certifikát již v zařízení (zkontrolujte, zda máte ZTP certifikát zde - pokud ZTP certifikát nemáte, musíte provést proces ZTP a nemůžete použít nativní režim pro připojení firewallu online).

• Resetujte zařízení na výchozí konfiguraci

Pokud chcete migrovat z režimu Stand-alone do Nebula, musíte nejprve resetovat zařízení pomocí tlačítka RESET na přední straně zařízení (držte ho stisknuté 15 sekund). Pokud během procesu změníte i nejmenší nastavení (např. administrátorské heslo), migrace nebude úspěšná. 

• Zkontrolujte, zda máte DHCP nebo statickou IP na WAN

Pokud máte statickou IP na WAN, musíte se přihlásit do zařízení přes Web GUI, zvolit režim Nebula a zadat IP informace potřebné pro navázání spojení: 

Pokud máte statickou IP na WAN, projděte níže uvedeným průvodcem a po dokončení přejděte k kroku 2 - registrace zařízení:

• Vyberte nativní režim

Připojte WAN port k portu uvedenému na obrázku (v tomto příkladu P2) a LAN k portu zobrazenému (v tomto příkladu P4) - Poznámka: Nic dalšího by nemělo být připojeno

• Měli byste vidět, že zařízení čeká na připojení k Nebula (v Zařízení -> Firewall):

Firewall nyní provede rychlý restart a po restartu by zařízení mělo být online do 20 minut.

Řešení problémů - "Čekání na připojení zařízení" [Kontrola ZTP certifikátu]

Pokud je vaše zařízení zaseknuté v nativním režimu "Čekání na připojení zařízení" - musíte zkontrolovat, zda máte ZTP certifikát: 

Přihlaste se přes SSH do zařízení (pomocí programu Putty nebo Teraterm) a zadejte show native mode cert file status: 

Pokud dostanete chybu nebo certifikát chybí, ještě jste neprovedli proces ZTP na tomto firewallu a musíte tentokrát použít proces ZTP. Může to také znamenat, že nemáte verzi firmwaru 5.10 a musíte firewall aktualizovat před použitím nativního režimu. 

• Migrace z on-premise režimu do režimu Nebula v Web GUI

Přejděte do Konfigurace -> Správa a analýzy -> Nebula, poté klikněte na Použít a Přejít do Nebula

Zobrazí se vyskakovací okno, kde klikněte na ano:

Poté počkejte, až se zařízení připojí online do Nebula.

Spuštění procesu ZTP

Videa uvedená na začátku článku ukazují celý proces s tím, že pouze poslední část je odlišná. Tato poslední část odpovídá procesu ZTP, který je dostupný ve dvou metodách, jak je ukázáno ve videu. Tato metoda je podrobně popsána v následujících 2 podsekcích.

Pro proces ZTP je potřeba specifikovat, jak bude nastaveno WAN připojení (DHCP/PPPoE/Statická IP) a zadat e-mailovou adresu, kam bude odeslán e-mail obsahující odkaz a JSON soubor. „Instaluji firewall sám“ odešle e-mail na účet, který právě zařízení přidává do lokality. Je také možné zadat jiný e-mail, aby instalatér mohl spustit proces ZTP.

• Aktivace cloudové schopnosti firewallu přes URL

Po připojení zařízení s nejnovějším firmwarem k napájení a zapnutí firewallu počkejte, až se LED SYS rozsvítí zeleně. Poté připojte WAN (P2) rozhraní k internetu.

Připojte LAN (P4) rozhraní k počítači.

Otevřete e-mail přijatý z Nebula a klikněte na „Povolit Nebula spravovat mé zařízení“.
 

Počkejte, až bude Zero Touch Provisioning úspěšný. Klikněte na „Přejít do Nebula Control Center“ pro přístup do Nebula

Zařízení bude potřebovat několik minut, aby se připojilo k Nebula a stalo se online.

Poznámka: Pokud máte na portu 4 USG FLEX již připojený AP a AP již poskytuje Wi-Fi síť v podsíti 192.168.1.1/24, můžete provést ZTP přes URL z jakéhokoliv zařízení připojeného k Wi-Fi síti, což umožňuje provedení z mobilního zařízení.

• Aktivace cloudové schopnosti firewallu přes USB

Alternativně můžete firewall aktivovat pomocí USB klíče. Zkopírujte soubor přiložený v e-mailu z Nebula na nový/čistý USB disk (FAT32) a připojte jej k USB portu firewallu. Zapněte firewall, LED SYS bliká červeně při připojování k Nebula a svítí zeleně, když je připojen.

Přejděte do Nebula Dashboard pro kontrolu stavu brány.

Zařízení bude potřebovat několik minut, aby se připojilo k Nebula a stalo se online.

Řešení problémů

• Internetové připojení je nedostupné - Zkontrolujte internetové připojení

Webový prohlížeč ukazuje, že internetové připojení není dostupné při přístupu na URL v e-mailu.

Zkontrolujte vaše internetové připojení a ujistěte se, že jste připojeni k WAN (P2) rozhraní. Poté klikněte na „Zkusit znovu“ pro opakování ZTP.

Můžete také kliknout na „Nástroje pro testování sítě“ pro přihlášení do webového GUI zařízení pro další řešení problémů. Uživatelské jméno je „support“ a heslo je sériové číslo firewallu.

Pokud máte statickou IP / PPPoE připojení, zkontrolujte, zda jste správně zadali statické IP informace přímo na zařízení: 

Přejděte do Konfigurace -> WAN nastavení a zkontrolujte, že je vše správně vyplněno

• Zero Touch Provisioning (ZTP) selhává, protože zařízení není v továrním výchozím stavu

Podržte tlačítko reset 5 sekund pro reset zařízení do továrního nastavení. Poté klikněte na URL pro opakování ZTP.

• ZTP přes USB: LED SYS nepřestává blikat červeně

Nebula Dashboard ukazuje, že firewall je offline.
Pokud ZTP přes USB selže, zkontrolujte internetové připojení. Otevřete soubor ztpresult.log na USB pro kontrolu stavu.

Zde je příklad:

ZTP selhává, protože na USB není odpovídající ZTP soubor pro toto zařízení. Ujistěte se, že kopírujete správný ZTP soubor.

• Režim Nebula se nezobrazuje při přístupu do Web GUI

Můžete aktualizovat zařízení pomocí rozhraní Web Configurator nebo pomocí nástroje ZON. Tento článek ukazuje, jak to udělat přes nástroj ZON.

Ujistěte se, že máte nainstalovaný nástroj ZON na vašem počítači. Pokud ne, můžete si jej stáhnout zde:

Zyxel One Network Utility (ZON)

Připojte napájecí port k napájecímu zdroji a zapněte firewall. Počkejte, až se LED SYS rozsvítí zeleně. Připojte počítač k portu 4 (P4) firewallu.

Otevřete ZON na vašem počítači a naskenujte firewall. Vyberte firewall a klikněte na „Aktualizace firmwaru“:

Vyberte nejnovější verzi firmwaru z cloudu a zadejte výchozí heslo „1234“ pro aktualizaci. Proces aktualizace firmwaru trvá přibližně 5 minut

Licencování pro řadu USG FLEX

• Bundlované Nebula licencování pro váš USG FLEX v Nebula Control Center

Pokud váš USG Flex přišel s bundlovanou licencí, automaticky získáte Nebula Professional Pack na 1 rok pro vaše zařízení. Licence služby UTM bude plynule přenesena do Nebula, bez ohledu na zbývající dobu platnosti.

Pokud váš USG nepřišel s bundlovanou licencí, stále si užijete 30denní zkušební období pro vaše UTM služby. Služby Nebula Pro Pack také automaticky zahrnují 30denní zkušební období při vytvoření vaší organizace.

Zkušební licenční období se také vztahuje na vaše zařízení s bundlovanou licencí.

• Migrace mé stávající licence NSG (NSS) na USG FLEX (UTM)

Pro migraci licence z vašeho předchozího NSG na USG FLEX v cloudu platí následující tabulka mapování. Například NSG 100 může svou licenci migrovat pouze na USG FLEX 200 a nelze migrovat licenci na jiné modely USG FLEX.

Pokud váš USG FLEX 100 již má licenci na 1 rok, po migraci zbývající licence z NSG50 (např. 6 měsíců) na USG FLEX 100, bude mít toto zařízení licenci na 1 a půl roku k využití.

• Omezení při přechodu do režimu Nebula

Existují některá omezení a následující funkce zatím nejsou dostupné v cloudovém režimu pro USG FLEX:

- Zařízení HA
- Emailová bezpečnost (Anti-Spam)
- SSL inspekce
- Dynamické směrování (RIP, OSPF, BGP)
- Související funkce IPv6
- AP kontroler (Nebula Control Center by měl být používán jako AP kontroler místo toho)
- Hotspot služba (Nebula Control Center již podporuje hotspot služby jako Voucher a Walled garden)

Pokud narazíte na jiné problémy, neváhejte se obrátit na náš kontaktní tým podpory.