I denne artikel vil vi give dig et overblik over et væld af forskellige bedste praksis-tip, kortere dybtgående dyk med hensyn til fejlfinding, analysering og andre interessante bemærkninger vedrørende vores Firewall-produkter for at få mest muligt ud af dem.
Kommandolinjegrænsefladen
Hvis du måske ikke ved det, har vores enheder en kommandolinjegrænseflade, som du enten kan få adgang til via SSH eller konsolkabel: Få adgang til kommandolinjegrænsefladen på din Zyxel-enhed (SSH via puTTY & Console via TeraTerm)
Men vidste du, at du endda kan få adgang til CLI fra din webbrowser? Klik på webkonsolikonet i højre hjørne af din USG FLEX' menu:
Ingen VPN-trafik der passerer igennem? (Undernet og protokoller)
Dette er et hurtigt tip til et problem, som ofte opstår på VPN: Mange af vores kunder rapporterer til os, at VPN-tunnelen, kan det være Site-To-Site eller Client-To-Site, perfekt forbinder, men der er ingen trafik kommer igennem - hvorfor er det sådan? Ofte er der to forskellige årsager til dette
- Undernet er sat forkert op
- ISP blokerer protokoller
#1 - Undernet er sat forkert op
Forestil dig, at du har to websteder, som du vil forbinde, og begge websteder har det samme IP-område, lad os bare antage 192.168.1.X, som vist nedenfor:
Ofte vil kunder rapportere, at VPN'en faktisk forbinder og opbygges, men de får ikke trafik over VPN'en og kan dermed ikke oprette forbindelse fra pc'en til serveren - hvad sker der her?
Sagen er, at når vi opretter en grænseflade på USG, opretter vi en direkte rute . En direkte rute kildeuafhængigt placerer en trafik, der ønsker at gå til en IP, som matcher en af firewalls grænsefladeundernet på den respektive grænseflade. Med andre ord: ved at have LAN1 på USG #1 med 192.168.1.1, når vi ønsker at nå 192.168.1.200 (serverens IP), vil vi altid, når vi når vores gateway blive sendt tilbage til LAN1 Subnet af USG #1 via direkte rute. Sådan ser det ud:
Du kan læse reglen som følgende: "Uden at se på kilden, hvis destinationen matcher grænsefladen på LAN1, skal du bare skubbe den ud til LAN1", så forbindelsen fra pc til serveren vil aldrig nå den fjerde routingblok "Site-2 -Site VPN" og kan således aldrig behandles af routingalgoritmen til at blive skubbet ind i VPN'en. Den klare læring dette er: Sørg for aldrig at have overlappende undernet!
Og hvis du gør det, så tjek denne tutorial: Sådan konfigurerer du SNAT i en VPN-tunnel
2# - ISP blokerer protokoller
Det kan være, at årsagen til din VPN-forbindelse, men ingen trafik passerer igennem, simpelthen er fordi din internetudbyder ikke blokerer porte, men protokoller. Så VPN kan etablere via port 500 UDP, 4500 UDP og/eller 1701 UDP, som er ansvarlige for at udveksle håndtrykket for at forbinde tunnelen med hinanden, men protokollen, der bruges til at indkapsle VPN-tunneldataene, ESP - også kendt som protokol 50 - bliver blokeret. Hvis du ikke er berørt, kan du finde ud af det via kommandolinjen: enter
packet-trace interface wan1 ip-proto esp
og udløs en VPN-forbindelse (Tip: Sørg for ikke at have nogen ekstra tunnel åben og ikke have nogen trafik, der kører gennem tunnelen, forvent af din klient. Udløs derefter et ping til den eksterne LAN-gateway IP. Hvis du ser pakker gå ud, men ikke kommer tilbage til din WAN-grænseflade, det er en ret solid indikator for, at din internetudbyder gør noget forkert - i så fald skal du komme i kontakt med dem.
Navngivning betyder noget! Organiser dine objekter godt!
Vores USG FLEX/ATP/VPN-serie i standalone bringer en fantastisk menustruktur og layout med sig. En af de vigtigste fordele, vores enheder har, er den utrolige fleksibilitet til at vride og tilpasse indstillinger til dine behov. Dette kommer dog med en pris at betale - du skal holde orden i dit navn!
Nu, da der er mange individuelle tilgange til, hvordan man gør det, vil vi blot vise, hvordan nogle af vores kolleger gør det. For at give dig et lille eksempel, skal du først navigere til
Configuration > Object > Service
og tryk på knappen "Tilføj" for at oprette en ny post:
Da navnet på en tjeneste skal starte med et bogstav, men for det meste definerer vi tjenester uden for spektret, kunne vi starte navnet med noget generisk som "Port", efterfulgt af Port-tallet. I sidste ende kan vi også tilføje protokollen, da det kan være, at den matchende UDP Port på et andet tidspunkt kan blive brugt af en anden applikation.
Hvis du vil, kan du også forbedre dette system ved at tilføje et kort nøgleord om, hvad tjenesten handler om:
En lignende tilgang anbefales til alle andre objekter, især adresser - sørg for at organisere og forstå det system, du har bygget op, og vedligeholde det af hensyn til sammenhængen.
Firmwareopdateringer - skift aldrig et kørende system!
Det, der umiddelbart kan lyde som en anbefaling om at blive ved med din nuværende firmware (det er det ikke!), er en tungen på vægtskålen, men lad os forklare nærmere. Vores sikkerhedsfirewalls har to Boot-Up/Firmware-partitioner:
Hver partition har deres egen database, der også består af to konfigurationsdatabaser, der er individuelle for hinanden - det er vigtigt at vide, for hvis du vil anvende en ny firmware, vil du måske være tilbøjelig til at indstille firmwaren på Standby-partitionen, "i tilfælde af at sker der noget, jeg kan rulle tilbage til Løbet og have det godt igen." - rigtig mange af vores kunder tænker faktisk præcis sådan. Men der er en fejlslutning i det: hver gang du ændrer partitionen, vil din nuværende konfiguration faktisk blive forsøgt hentet og anvendt på den anden partition. Det kan gå godt i de fleste tilfælde. Men hvis der på en eller anden måde er opdaget et problem med den nuværende konfiguration - hvilket kan ske, hvis du opgraderer fra en meget gammel firmware til den nyeste uden nogen trin imellem - kan det være, at USG fejler og genstarter sig selv og prøver processen igen . Men for ikke at falde i en evig bootloop, vil enheden efter 3 forsøg vende tilbage til system-default-konfiguration!
Hvis du nu er i en situation, hvor du er fjernforbundet til USG over flere 100 kilometer, og enheden er gået ned på denne måde, må du hellere have nogen på stedet, som kan hjælpe eller være forberedt på en lang tur på stedet.
Du er meget bedre stillet ved at overskrive den kørende partition , da kun hvis der sker noget ikke-forventet (såsom en udrulningsfejl eller lignende), kan der være et problem - i de fleste tilfælde vil det bare køre helt fint ved at opgradere firmwaren fra en allerede ret seneste firmware på den kørende partition.
Sikkerhedskopier din konfiguration - lige nu! Nej, kopier det ikke til routeren, gem det faktisk på din pc!
Endnu en tunge på vægten overskrift for en seriøs anbefaling: Sikkerhedskopier din konfigurationsfil regelmæssigt. Lav også backup ikke kun på selve enheden (hvilket allerede er et godt skridt i den rigtige retning, men download det faktisk til computeren via
Maintenance > File Manager > Configuration File
og vælg startup-config.conf og tryk på Download -knappen:
Du kan nu finde den downloadede .conf-fil, som kan åbnes via Notepad eller Notepad++:
At have en regelmæssig synkronisering af denne slags hjælper dig med at reducere nedetiden drastisk, når det virkelig er nødvendigt - i en problemsituation.
Der er mange andre tips og tricks, der i sidste ende kan tilføjes i fremtiden, men dette giver dig en god start på nogle forhåbentlig nyttige oplysninger.
ANSVARSFRASKRIVELSE:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Ikke al tekst er muligvis oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her: Originalversion