In diesem Artikel möchten wir Ihnen einen Überblick über eine Fülle verschiedener Best-Practice-Tipps, kürzere Deep Dives in Sachen Debugging, Analyse und andere interessante Bemerkungen zu unseren Firewall Produkten geben, um das Beste aus ihnen herauszuholen.
Die Befehlszeilenschnittstelle
Falls Sie es vielleicht nicht wissen, unsere Geräte verfügen über eine Befehlszeilenschnittstelle, auf die Sie entweder über SSH oder Konsolenkabel zugreifen können: Greifen Sie auf die Befehlszeilenschnittstelle Ihres Zyxel-Geräts zu (SSH über puTTY & Konsole über TeraTerm)
Aber wussten Sie, dass Sie sogar von Ihrem Webbrowser auf die CLI zugreifen können? Klicken Sie auf das Webkonsolen-Symbol in der rechten Ecke Ihres USG FLEX-Menüs:
Kein VPN-Traffic durch? (Subnetze & Protokolle)
Dies ist ein kurzer Tipp für ein Problem, das bei VPN häufig auftritt: Viele unserer Kunden berichten uns, dass der VPN-Tunnel, sei es Site-To-Site oder Client-To-Site, einwandfrei verbindet, aber es gibt keinen Verkehr durchkommen - warum ist das so? Dafür gibt es oft zwei unterschiedliche Gründe
- Subnetze sind falsch eingerichtet
- ISP blockiert Protokolle
#1 – Subnetze sind falsch eingerichtet
Stellen Sie sich vor, Sie haben zwei Sites, die Sie miteinander verbinden möchten, und beide Sites haben den gleichen IP-Bereich. Nehmen wir einfach 192.168.1.X an, wie unten gezeigt:
Häufig berichten Kunden, dass das VPN zwar eine Verbindung herstellt und aufbaut, aber keinen Datenverkehr über das VPN erhält und somit keine Verbindung vom PC zum Server herstellen kann - was passiert hier?
Die Sache ist die, dass wir beim Erstellen einer Schnittstelle in der USG eine direkte Route erstellen. Eine direkte Route platziert quellenunabhängig einen Verkehr, der zu einer IP gehen möchte, die zu einem der Schnittstellen-Subnetze der Firewall passt, auf die entsprechende Schnittstelle. Mit anderen Worten: Wenn wir LAN1 auf USG #1 mit 192.168.1.1 haben, werden wir immer, wenn wir 192.168.1.200 (die Server-IP) erreichen wollen, beim Erreichen unseres Gateways über die direkte Route. So sieht es aus:
Sie könnten die Regel wie folgt lesen: "Ohne die Quelle zu betrachten, wenn das Ziel mit der Schnittstelle von LAN1 übereinstimmt, einfach auf LAN1 verschieben", damit die Verbindung vom PC zum Server nie den vierten Routingblock "Site-2" erreicht -Site VPN" und kann daher niemals vom Routing-Algorithmus verarbeitet werden, um in das VPN gepusht zu werden. Die klare Erkenntnis daraus ist: Stellen Sie sicher, dass Sie niemals überlappende Subnetze haben!
Und wenn ja, dann sehen Sie sich dieses Tutorial an: So richten Sie SNAT in einem VPN-Tunnel ein
2# - ISP blockiert Protokolle
Es kann sein, dass der Grund für Ihre VPN-Verbindung, aber kein Datenverkehr einfach darin besteht, dass Ihr ISP keine Ports, sondern Protokolle blockiert. So kann das VPN über die Ports 500 UDP, 4500 UDP und/oder 1701 UDP aufbauen, die für den Austausch des Handshakes verantwortlich sind, um den Tunnel miteinander zu verbinden, aber das Protokoll, das zur Kapselung der VPN-Tunneldaten verwendet wird, ESP - auch als Protokoll bekannt 50 - wird gesperrt. Wenn Sie nicht betroffen sind, können Sie dies über die Kommandozeile herausfinden: Enter
packet-trace interface wan1 ip-proto esp
und lösen Sie eine VPN-Verbindung aus (Tipp: Stellen Sie sicher, dass kein zusätzlicher Tunnel geöffnet ist und kein Verkehr durch den Tunnel von Ihrem Client erwartet wird. Lösen Sie dann einen Ping an die IP des Remote-LAN-Gateways aus. Wenn Sie sehen, dass Pakete ausgehen, aber Wenn Sie nicht zu Ihrer WAN-Schnittstelle zurückkehren, ist dies ein ziemlich solider Indikator dafür, dass Ihr ISP etwas falsch macht - in diesem Fall treten Sie mit ihm in Kontakt.
Namensgebung ist wichtig! Organisieren Sie Ihre Objekte gut!
Unsere USG FLEX/ATP/VPN-Serie im Standalone bringt eine tolle Menüstruktur und Layout mit sich. Einer der Hauptvorteile unserer Geräte ist die unglaubliche Flexibilität, die Einstellungen an Ihre Bedürfnisse anzupassen. Dies ist jedoch mit einem Preis verbunden - Sie müssen Ihre Namensgebung organisiert halten!
Da es jetzt viele individuelle Ansätze gibt, werden wir einfach zeigen, wie es einigen unserer Kollegen geht. Um Ihnen ein kleines Beispiel zu geben, navigieren Sie zuerst zu
Configuration > Object > Service
und klicken Sie auf die Schaltfläche "Hinzufügen", um einen neuen Eintrag zu erstellen:
Da der Name eines Dienstes mit einem Buchstaben beginnen muss, wir jedoch hauptsächlich Dienste außerhalb des Spektrums definieren, könnten wir den Namen mit etwas Generischem wie "Port" beginnen, gefolgt von der Port-Nummer. Am Ende können wir auch das Protokoll hinzufügen, da zu einem anderen Zeitpunkt möglicherweise das passende UDP Port von einer anderen Anwendung verwendet wird.
Wenn Sie möchten, können Sie dieses System auch erweitern, indem Sie ein kurzes Stichwort zum Inhalt des Dienstes hinzufügen:
Für alle anderen Objekte, insbesondere Adressen, wird ein ähnlicher Ansatz empfohlen. Stellen Sie sicher, dass Sie das von Ihnen aufgebaute System organisieren und verstehen und es aus Gründen der Konsistenz pflegen.
Firmware-Updates - ändern Sie niemals ein laufendes System!
Was auf den ersten Blick wie eine Empfehlung klingen mag, bei Ihrer aktuellen Firmware zu bleiben (ist es nicht!), ist ein augenzwinkerndes Wortspiel, aber lassen Sie es uns weiter erklären. Unsere Sicherheitsfirewalls haben zwei Boot-Up/Firmware-Partitionen:
Jede Partition hat ihre eigene Datenbank, die auch aus zwei einzelnen Konfigurationsdatenbanken besteht - das ist wichtig zu wissen, denn wenn Sie eine neue Firmware installieren möchten, möchten Sie möglicherweise dazu neigen, die Firmware auf der Standby-Partition zu installieren, "nur für den Fall". passiert etwas, kann ich wieder zum Laufen zurückrollen und es geht mir wieder gut.“ – viele unserer Kunden denken tatsächlich genau so. Aber es gibt einen Trugschluss: Jedes Mal, wenn Sie die Partition ändern, wird tatsächlich versucht, Ihre aktuelle Konfiguration zu übernehmen und auf die andere Partition anzuwenden. Das kann in den meisten Fällen gut gehen. Wenn jedoch irgendwie ein Problem mit der aktuellen Konfiguration festgestellt wird - was passieren kann, wenn Sie ohne Zwischenschritte von einer sehr alten Firmware auf die neueste aktualisieren - kann es sein, dass die USG ausfällt und sich neu startet und den Vorgang erneut versucht . Um jedoch nicht in einen ewigen Bootloop zu geraten, kehrt das Gerät nach 3 Versuchen in die System-Default-Konfiguration zurück!
Wenn Sie nun in einer Situation sind, dass Sie über mehrere 100 Kilometer mit dem USG fernverbunden sind und das Gerät auf diese Weise selbst abgestürzt ist, haben Sie besser jemanden vor Ort, der aushelfen kann oder vor Ort auf eine lange Reise vorbereitet ist.
Es ist viel besser, die laufende Partition zu überschreiben, denn nur wenn etwas nicht erwartetes passiert (z aktuelle Firmware auf der laufenden Partition.
Sichern Sie Ihre Konfiguration - sofort! Nein, nicht auf den Router kopieren, sondern auf Ihrem PC speichern!
Eine weitere augenzwinkernde Überschrift für eine ernsthafte Empfehlung: Sichern Sie Ihre Konfigurationsdatei regelmäßig. Führen Sie das Backup auch nicht nur auf dem Gerät selbst durch (was bereits ein guter Schritt in die richtige Richtung ist, sondern laden Sie es tatsächlich über . auf den Computer herunter
Maintenance > File Manager > Configuration File
und wählen Sie die startup-config.conf und drücken Sie den Download -Button:
Sie finden nun die heruntergeladene .conf-Datei, die über Notepad oder Notepad++ geöffnet werden kann:
Durch eine solche regelmäßige Synchronisierung können Sie Ausfallzeiten drastisch reduzieren, wenn sie wirklich benötigt werden - in einer Problemsituation.
Es gibt viele andere Tipps und Tricks, die in Zukunft hinzugefügt werden sollen, aber dies gibt Ihnen einen guten Einstieg in einige hoffentlich nützliche Informationen.
HAFTUNGSAUSSCHLUSS:
Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion