Wichtiger Hinweis: |
Dieser Artikel zeigt Ihnen, wie Sie Fehler bei der Konfigurationskonvertierung beheben können, wenn Sie eine Konfigurationsdatei manuell konvertieren möchten. Er zeigt Ihnen, wie Sie Fehler beheben, wenn die Konfigurationsdatei nicht angewendet werden kann, und wie Sie Ihre Konfiguration am besten mit dem Konvertierungstool oder manuell von einem alten Gerät in ein neues Gerät konvertieren können.
Haftungsausschluss! Dieser Artikel bietet einen allgemeinen Überblick über die Serie und ist möglicherweise nicht für jedes Modell und jede Software-/Firmware-Version gleich . Bitte konsultieren Sie vor dem Kauf oder der Verwendung des Geräts diemodell-/versionsspezifische Dokumentation oder wenden Sie sich an den technischen Support, um genaue Informationen zu erhalten.
Hinweis! Die neue Konvertierungskonfiguration wird vom Support-Team nur begrenzt unterstützt, da wir offiziell nur die Konvertierung mit dem Konvertierungstool unterstützen. Es gibt jedoch Möglichkeiten, die Konfiguration manuell zu konvertieren, aber wir können Sie dabei nicht unterstützen.
Tabelle der Inhalte
1) Wie die Konfiguration funktioniert
1.1 Anwendung der Konfiguration
1.3 Kopieren der Konfiguration
2) Vorbereiten der Konfigurationskonvertierung
2.1 Download der Konfigurationsdateien
2.2 Verwenden Sie das Konvertierungswerkzeug
2.3 Hochladen der neuen konvertierten Konfigurationsdatei
3) Pfade zur Konfigurationskonvertierung
Weg 1: Konvertierung in eine andere Firewall-Serie, aber in eine gleichwertige Firewall
Weg 2: Umstellung auf eine andere Firewall
Weg 3: Manuelles Kopieren/Einfügen der Konfiguration
Weg 3.1: Notepad++ herunterladen
Weg 3.2: Installieren Sie das "Compare"-Plugin
Pfad 3.3: Öffnen Sie beide Konfigurationsdateien und starten Sie das Vergleichstool
4.1 Beispiele zum Kopieren/Einfügen
4.2 Dinge, die nicht kopiert/eingefügt werden sollten
5) Fehlersuche
1) Wie die Konfiguration funktioniert
1.1 Anwendung der Konfiguration
Wenn die Konfigurationsdatei angewendet wird, werden alle Befehle in die Konfigurationsdatei eingetragen, z. B.
interface EXTERNAL_pppoder;
interface-name ge3 LANoder;
secure-policy 1
name xyz
action allow
from LAN
to Zywall
sourceip Server_1
Auf diese Weise kann die Firewall die Konfiguration kompilieren und auf das neue Gerät anwenden
1.2 Trennung der Befehle
Die Befehle werden mit "!" getrennt, um die Konfiguration zu unterscheiden.
Vergewissern Sie sich, dass Sie die Konfiguration mit "!" getrennt haben und dass keine Leerzeichen vor oder nach den "!"-Symbolen vorhanden sind. Andernfalls wird die Konfigurationsanwendung fehlschlagen.
1.3 Kopieren der Konfiguration
Versuchen Sie beim manuellen Kopieren und Einfügen einer Konfigurationsdatei, Ähnlichkeiten zu finden, wo einige Konfigurationsabschnitte beginnen und enden. Sie können auch die grünen Felder in Notepad++ sehen, die zeigen, welche neue Konfiguration nicht in der aktuellen Konfigurationsdatei enthalten ist.
In der alten Konfiguration des USG310 sehen wir zum Beispiel, dass die VPN-Konfiguration endet mit
vpn-configuration-provision authentication default
Daher können wir die VPN-Konfiguration kopieren, bis wir diese Befehlszeile sehen
Kopieren Sie sie dann in die neue Konfiguration, wo dieser Befehl zu sehen ist
2) Bereiten Sie die Konvertierung der Konfiguration vor
2.1 Download der Konfigurationsdateien
Navigieren Sie zu
Maintenance -> File Manager -> Configuration File > Configuration
Laden Sie die neueste "startup-config.conf"-Datei herunter, indem Sie die Datei auswählen und dann auf "download" klicken, oder sehen Sie sich die "letzte Änderung" an, um zu sehen, welche die neueste Konfigurationsdatei ist.
2.2 Verwenden Sie das Konvertierungswerkzeug
a) Geben Sie https://convert.cloud.zyxel.com/ ein.
b) Wählen Sie das Gerät, das Ihrem neuen Gerät am ähnlichsten ist
Weitere Informationen finden Sie in diesem Artikel: Konfigurationskonverter
Wenn Sie eine USG FLEX 500 oder eine ATP700 besitzen, können Sie auf die ATP500 (für die USG FLEX 500) und die USG FLEX 700 (für die ATP700) umstellen, da die Anzahl der physischen Ports für die USG FLEX 500 und ATP500 sowie die USG FLEX 700 und ATP700 gleich ist.
2.3 Hochladen der neuen konvertierten Konfigurationsdatei
Navigieren Sie zunächst zu:
Maintenance -> File Manager -> Configuration File -> Configuration
Laden Sie dann Ihre Konfigurationsdatei hoch, indem Sie auf "Durchsuchen..." klicken.
Wählen Sie dann die neu hochgeladene Konfigurationsdatei aus, indem Sie sie mit der linken Maustaste anklicken, und klicken Sie dann auf "Übernehmen".
Wählen Sie, ob Sie dieAnwendung der Konfigurationsdatei sofortabbrechen und zur vorherigen Konfiguration zurückkehren möchten
3) Pfade zur Konfigurationskonvertierung
Wenn Sie die Konfiguration manuell konvertieren möchten, gibt es mehrere Möglichkeiten, je nachdem, welches Firewall-Modell Sie haben und welches Modell Sie als neues Gerät gekauft haben.
Bei der USG310 (Zywall310) können Sie sich für die Konvertierung in eine VPN300, USG FLEX 700 entscheiden.
Sie können aber auch USG310 wählen, was Ihnen die Möglichkeit gibt, Ihre Konfigurationsdatei in eine ATP500 zu konvertieren:
Pfad 1: Konvertieren Sie in eine andere Firewall-Serie, aber die entsprechende Firewall
Wenn Sie eine Zywall310 haben und diese Datei in eine USG FLEX 500 konvertieren möchten, können Sie Ihre Zywall310-Konfigurationsdatei von einer
USG310 -> ATP500
Da die USG FLEX 500 und die ATP500 die gleiche Konfigurationsstruktur haben (physische Ports / Struktur der Konfigurationsdatei), wird die Konvertierung einfach sein.
Um den Konverter dazu zu bringen, Ihre Zywall310 von einer USG310 zu konvertieren, löschen Sie diese beiden Zeilen in der Konfigurationsdatei:
Wenn Sie dann die neue ATP500-Konfigurationsdatei auf Ihre neue USG FLEX 500 hochladen möchten, müssen Sie ein paar Dinge ändern:
Zunächst muss das Modell von ATP500 in USG FLEX 500 geändert werden, und die Firmware-Version ist wahrscheinlich nicht 4.60. Sie können also versuchen, diese beiden Zeilen zu löschen oder das Modell in "USG FLEX 500" ändern und die Zeile mit der Firmware-Version löschen.
Laden Sie dann die neu konvertierte und gespeicherte Datei (ohne Modell und Firmwareversion) auf das neue Gerät hoch.
Weg 2: Konvertieren auf eine andere Firewall
Nehmen wir an, wir haben die Konfiguration der Zywall310 und möchten sie in eine USG FLEX 100 konvertieren.
Schritt 1) Konvertieren auf die nächstgelegene Firewall-Serie
Zywall310(USG310)/ATP500 hat eine andere Schnittstellenstruktur als USG FLEX 100, da Sie Ports haben (ge1, ge2, ge3 usw.), anstatt entweder lan1 zu wählen und dies einem Port oder einer Anzahl von Ports zuzuweisen. Hier müssen wir also etwas manuelle Arbeit leisten.
Die USG FLEX 100 hat 6 Ports und die Zywall310 hat 8 Ports. Wir müssen ge7 und ge8 sowie alle Verweise auf ge7 und ge8 löschen, indem wir in der Konfigurationsdatei nach "ge7" und dann nach "ge8" suchen.
Beispiele für das Löschen der ge7- und ge8-Zuordnungskonfiguration:
Nachdem Sie alle Verweise von den Ports gelöscht haben, die auf der USG FLEX 100 nicht vorhanden sind, können Sie die neu erstellte Konfigurationsdatei hochladen und die Konfiguration anwenden.
Weg 3: Manuelles Kopieren/Einfügen der Konfiguration
Weg 3.1: Notepad++ herunterladen
Navigieren Sie zu https://notepad-plus-plus.org/downloads/ und laden Sie die neueste Notepad++-Version herunter und installieren Sie sie.
Pfad 3.2: Installieren Sie das "Compare"-Plugin
Navigieren Sie zu
Plugins -> Plugins Admin
Suchen Sie dann nach compare und klicken Sie auf "installieren", um das Compare-Tool zu installieren.
Pfad 3.3: Öffnen Sie beide Konfigurationsdateien und starten Sie das Vergleichstool
Öffnen Sie beide Konfigurationsdateien (von der alten USG310 und der neuen USG FLEX 700)
Weiße Felder = gleiche Konfiguration auf beiden
Rote Felder = nicht in der anderen Konfigurationsdatei vorhanden
Grüne Felder = neue Dinge, die in die andere Konfigurationsdatei kopiert werden müssen
4.1 Beispiele zum Kopieren/Einfügen
1. Ethernet-Schnittstelle + VLAN
2. Benutzer-/Admin-Konfiguration
3. VPN-Einstellungen
4. Zonen
5. DNS & Domain Zone Forwarder
6. NAT (Virtueller Server & NAT)
7. Sicherheitsrichtlinien (Firewall-Regeln)
8. Richtlinien-Routen
4.2 Dinge, die nicht kopiert/eingefügt werden dürfen
UTM-Funktionen
Die Anwendungspatrouille hat, wie Sie unten sehen können, eine unterschiedliche Syntax für die alten und die neuen Firewalls
Zertifikate
Zertifikate sind einzigartig für die Firewalls und können nicht in der Konfigurationsdatei gefunden werden. Dennoch wird in der Konfigurationsdatei auf sie verwiesen. Achten Sie also auf die Verweise in dieser Datei. Suchen Sie im Dokument der Konfigurationsdatei nach den "cert"-Verweisen.
Wenn Sie mit dem Kopieren fertig sind, führen Sie die Vergleichsfunktion erneut aus, damit Sie besser erkennen können, was kopiert wurde und was nicht.
5) Fehlersuche
In diesem Abschnitt finden Sie einige Erklärungen zur Fehlersuche und anschließend Beispiele für mögliche Fehler und deren Behebung.
Wenn Sie eine neue Konfigurationsdatei auf die neue Firewall hochladen, müssen Sie wahrscheinlich eine Fehlersuche durchführen, da der Upload fehlschlägt. Wenn Sie auf diesen Bildschirm stoßen:
Navigieren Sie zu
Monitor -> Logs
Unter Filter können Sie die Protokolle nach "Dateimanager" filtern, um alle Datensätze im Zusammenhang mit dem Konfigurations-Upload zu sehen.
5.1 WARNUNG vs. FEHLER
Worauf Sie achten sollten, sind die ERROR-Meldungen, die in Rot angezeigt werden. Beachten Sie, dass die WARNING-Meldungen kein Grund zur Sorge sind und völlig normal sind.
Wenn es fehlschlägt - beheben Sie den Fehler und löschen Sie die soeben hochgeladene Konfiguration, und laden Sie die neue Konfiguration erneut hoch
5.2 Verschlüsselungsfehler
Wenn Sie die Fehlermeldung "Daten sind verschlüsselt" erhalten, kann es sein, dass Sie alle Benutzerkonten (+ Passwörter) löschen müssen, weil die Verschlüsselung der Passwörter vom neuen Gerät nicht umgewandelt werden kann.
5.3 Beispiel-Fehler
Fehler #1
Dieser Fehler besagt, dass das "Associated AAA object doesn't exist", was bedeutet, dass irgendetwas in der AD-Konfiguration nicht mit diesem Verweis übereinstimmt.
Lösung #1
Wir konnten sehen, dass die SSL VPN-Benutzer auf die AD-Konfiguration verwiesen, wobei die AD-Konfiguration vor der Konvertierung entfernt wurde, da sie nicht mehr verwendet wurde. Die Lösung bestand also darin, die SSL-VPN-Benutzer in der Konfiguration zu löschen und die Konfigurationsdatei erneut hochzuladen.
Fehler #2
Hier konnte das Konfigurationsterminkonto PPPoE GE14 nicht konfiguriert werden. Wir müssen also in der Konfigurationsdatei nach dem GE14-Befehl suchen (Strg+f), den die Firewall auszuführen versucht.
Lösung #2
Hier ist es fehlgeschlagen, weil wir vergessen haben, zwischen "account pppoe" und "ip dhcp pool" zu trennen. Was wir also tun müssen, ist ein "!" zwischen den Befehlen einzufügen.
Fehler #3
Wir sahen einen Fehler "configure terminal interface_ether ge \x09\x09\x09\x09[...]", und wenn wir nach "interface_ether" suchen, können wir nichts in der Konfigurationsdatei finden. Also begannen wir mit der Suche nach den Schnittstellen in der Konfigurationsdatei.
Lösung #3
Nach einer erneuten Überprüfung der Schnittstellenkonfiguration konnten wir feststellen, dass es sich um doppelte Adressobjekte auf den ge-Schnittstellen handelt, die wir gelöscht haben. Das doppelte Adressobjekt kann also nicht funktionieren, da der Name LAN_SUBNET_GE4 bereits in Gebrauch ist.
Fehler #4
Wir konnten sehen, dass das Adressobjekt RFC1918_2 nicht erstellt und ausgeführt werden konnte.
Lösung #4
Nach einigem Hin- und Herprobieren fanden wir heraus, dass die Adress-Objekte hier an der falschen Stelle in der Konfigurationsdatei standen und zwischen den Adress-Objekt- und Objekt-Gruppen-Adressen eingefügt waren
Fehler #5
Wir hatten ein Problem mit dem Service-Objekt, das nicht erstellt werden konnte.
Lösung #5
Als wir die beiden Dienstobjekte Any_UDP und Any_TCP löschten, konnten wir feststellen, dass das dritte Dienstobjekt nicht erstellt werden konnte, was zeigt, dass keines der Dienstobjekte erstellt werden konnte.
Die Lösung bestand darin, zu prüfen, ob ein Leerzeichen vor oder nach dem "!" zwischen dem address6-Objekt und dem Service-Objekt stehen könnte.
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.