Nebula [ZTP] - Registrierung des USGFLEX/ATP-Gateways im Nebula Control Center

Unsere USG FLEX-Firewall kann ab der Firmware ZLD5.00 über Nebula Control Center (NCC) verwaltet und bereitgestellt werden. Die ATP-Serie kann ab ZLD5.10-Firmware im NCC verwaltet werden. Dieser Leitfaden zeigt, wie Sie das Gerät auf Nebula mit Hilfe des ZTP-Prozesses hinzufügen und die Firewall-Einstellungen auf Nebula vorkonfigurieren, bevor Sie das Gerät für die Installation vor Ort ausliefern. Dieser Artikel zeigt, wie Sie Ihre Firewall in Nebula registrieren. Er ist in verschiedene Abschnitte unterteilt, navigieren Sie also bitte zu dem für Sie relevanten Abschnitt in der Inhaltsübersicht.
Hinweis: Der ZTP-Modus ist ab Version 5.37 Patch 1 nicht mehr verfügbar. Sie müssen das Gerät also im nativen Modus in Nebula bereitstellen. Hier sind die betroffenen Modelle. ATP-Serie: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-Serie: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Wenn Sie Schwierigkeiten haben, Ihr Gerät zu Nebula hinzuzufügen, kann dies darauf hindeuten, dass Ihr Gerät vor Ende 2023 hergestellt wurde und der Zero Touch Provisioning (ZTP)-Prozess abgeschlossen werden muss. Führen Sie die folgenden Schritte aus, um fortzufahren:

• Downgraden Sie die Firmware auf Ihrem Gerät
• Navigieren Sie wie erforderlich durch den ZTP-Prozess
• Sobald das Gerät erfolgreich hinzugefügt wurde, aktualisieren Sie es auf die neueste Firmware-Version.

Wie Sie Ihre Firewall in Nebula registrieren (Videos)

Hinweis: Ihr Gerät muss auf die Standardeinstellungen zurückgesetzt werden, um es mit Nebula zu verbinden, wobei alle vorherigen Einstellungen verloren gehen. Sobald das Gerät mit Nebula verbunden ist, wird es automatisch mit den Standardeinstellungen von Nebula konfiguriert. Bitte beachten Sie auch, dass es einige Einschränkungen gibt und die folgenden Funktionen im Cloud-Modus für USG FLEX noch nicht verfügbar sind:

• Geräte-HA
• E-Mail-Sicherheit (Anti-Spam)
• SSL-Prüfung
• Dynamische Leitweglenkung (RIP, OSPF, BGP)
• Verwandte IPv6-Funktionen
• AP-Controller (Nebula Control Center sollte stattdessen als AP-Controller verwendet werden)
• Hotspot-Dienst (Nebula Control Center unterstützt bereits Hotspot-Dienste wie Voucher, Walled Garden)

Lizenzierung

• Lizenzierung Ihrer USG FLEX in Nebula Control Center

Wenn Ihre USG Flex mit einer gebündelten Lizenz geliefert wurde, erhalten Sie automatisch ein Nebula Professional Pack für 1 Jahr für Ihr Gerät. Die UTM-Service-Lizenz wird nahtlos in Nebula übernommen, unabhängig von ihrer Restlaufzeit.

Falls Ihr USG nicht mit einer Bundle-Lizenz geliefert wurde, können Sie Ihre UTM-Dienste trotzdem 30 Tage lang testen. Die Nebula PRO Pack-Dienste enthalten ebenfalls automatisch eine 30-tägige Testlizenz, während Ihre Organisation erstellt wird.

Der Testlizenzzeitraum gilt auch für Ihr Gerät mit einer Bundle-Lizenz.

• Migrieren meiner bestehenden NSG-Lizenz (NSS) auf USG FLEX (UTM)

Um die Lizenz von Ihrem NSG auf die USE FLEX in der Cloud zu migrieren, gilt die folgende Zuordnungstabelle. Beispielsweise kann die Lizenz des NSG 100 nur auf den USG FLEX 200 migriert werden und nicht auf andere USG FLEX-Modelle.

Falls Ihr USG FLEX 100 bereits über eine 1-Jahres-Lizenz verfügt, wird nach der Migration der verbleibenden Lizenz vom NSG50 (z. B. 6 Monate) auf den USG FLEX 100 dieser mit einer 1,5-Jahres-Lizenz ausgestattet, die dann genutzt werden kann.

Bitte stellen Sie eine Support-Anfrage, und unser Team wird Ihnen gerne helfen, Ihr Problem mit der Migrationslizenz mit der gebotenen Priorität zu lösen.

Auswahl des Nebula-Modus über die Web-GUI

Wenn Ihr Gerät mit der Version 5.10 läuft und die Werkseinstellungen verwendet, ist beim ersten Versuch, sich in den Web-Konfigurator einzuloggen, eine Aktualisierung des Admin-Standardpassworts ("1234") erforderlich.

• Nebula-Modus

Wählen Sie den Modus Nebula, um Ihr Zyxel-Gerät mit Nebula Control Center (NCC) zu verwalten. NCC ist ein Cloud-basiertes Netzwerkmanagementsystem, mit dem Sie Ihr Zyxel-Gerät aus der Ferne verwalten und überwachen können.

Folgen Sie dem Nebula-Modus-Assistenten, um die WAN-Einstellungen so zu konfigurieren, dass die Verwaltung Ihres Zyxel-Geräts an das NCC übergeben wird.

Sobald der Verwaltungsmodus und das WAN des Geräts so konfiguriert sind, dass der Internetzugang möglich ist, können Sie mit Nebula zur weiteren Einrichtung fortfahren. Weitere Informationen finden Sie im Abschnitt "Nebula nativer Modus".

• Migrieren Sie aus der Ferne vom Vor-Ort-Modus in den Nebula-Modus

Auch wenn Sie über statische IP-Einstellungen oder werkseitige Standardeinstellungen verfügen, können Sie Ihre Vor-Ort-Verwaltungslösung per Fernzugriff über die Web-GUI in den Nebula-Cloud-Modus wechseln. Beachten Sie, dass das Gerät auf die Werkseinstellungen zurückgesetzt wird und die Konfigurationen verloren gehen. Bei Nebula Phase 13 müssen Sie nicht mehr vor Ort gehen, um das Gerät vor der Migration zu Nebula auf die Werkseinstellungen zurückzusetzen. Jetzt können Sie dies aus der Ferne tun.

Die Anforderungen für die Fernmigration nach Nebula sind, dass die Firewall:

• Sie muss sich im Nebula Native Mode befinden, d.h. sie muss das ZTP-Zertifikatenthalten
• Das Gerät muss online sein (WAN (Internet)-Zugang erforderlich)

Hinweis: Wenn Sie das Gerät im Vor-Ort-Modus haben, können Sie den Schritt "Nebula Native Mode"überspringen.

• Erstellen Sie eine Organisation und einen Standort

Wenn Sie noch keine Nebula-Organisation und -Site eingerichtet haben, folgen Sie bitte dem verlinkten Artikel. Sobald Sie diesen Schritt abgeschlossen haben, können wir mit dem Registrierungsprozess fortfahren.
Nebula [Site/Organisation] - Wie erstellt/löscht man eine Organisation und Site im Nebula Control Center?

Konfigurieren Sie die Firewall im Nebula Portal

Bevor Sie diese Schritte ausführen, sollten Sie die Netzwerktopologie, die Firewall-Einstellungen und die WAN-Konfiguration kennen. Mit diesen Informationen können Sie die Firewall-Einstellungen vorkonfigurieren, bevor sie in Nebula aktiviert werden. Die Firewall wird diese Konfiguration automatisch synchronisieren, wenn sie sich mit Nebula verbindet. Beim Erstellen der Site können Sie das Modell Ihrer Firewall angeben, ohne es hinzuzufügen. So können Sie einige Parameter vorkonfigurieren, bevor Sie das Gerät selbst hinzufügen.

• Einstellungen der Portgruppe

Site-wide -> Configure -> Firewall -> Port

• So konfigurieren Sie die WAN/LAN-Portgruppen oder fügen WAN/LAN-Gruppen hinzu, die Ihrem Szenario entsprechen.

• Сonfigurieren Sie die WAN-Einstellungen, wenn Sie eine statische IP haben

Site-wide -> Configure -> Firewall - interfaces

• um die IP-Adressen der WAN/LAN-Schnittstellen entsprechend Ihrem Szenario zu ändern.

Registrieren Sie die Firewall und wählen Sie die Bereitstellungsmethode

Manueller Modus

Go to Site-wide -> License & Inventory

Rufen Sie die Geräteseite auf und klicken Sie auf "Hinzufügen", um die Firewall zu registrieren. Sie können mehrere Geräte registrieren, indem Sie die MAC-Adresse und die Seriennummer eingeben.

Anschließend können Sie das Gerät dem richtigen Standort zuweisen. Wenn Sie mehrere Geräte in einer Organisation haben, können Sie von hier aus ein bestimmtes Gerät auswählen und es dem entsprechenden Standort zuweisen:

Es erscheint ein Pop-up-Fenster, in dem Sie die Methode der Gerätebereitstellung auswählen können.

Zero-Touch-Bereitstellungsmodus

Wenn das Gerät zum ersten Mal auf Nebula registriert wird, muss der Zero Touch Provision-Modus verwendet werden, da das Gerät den ZTP-Prozess benötigt, um Cloud-fähig zu werden. Zum Ausführen des ZTP-Prozesses gehen

Der native Modus Nebula

Wenn Sie Ihr Gerät zum ersten Mal in Nebula registrieren, müssen Sie sicherstellen, dass Sie das ZTP-Zertifikat auf Ihrem Gerät haben. Bei allen Geräten muss die Firewall zunächst einmal den ZTP-Prozess durchlaufen . Bei neueren Geräten könnte das ZTP-Zertifikat bereits in der Firewall vorhanden sein (bitte prüfen Sie hier , ob Sie das ZTP-Zertifikat haben - wenn Sie das ZTP-Zertifikat nicht haben, müssen Sie den ZTP-Prozess durchführen und können nicht den nativen Modus verwenden, um die Firewall online zu bekommen).

• Zurücksetzen des Geräts auf die Standardkonfiguration

Wenn Sie vom Stand-alone-Modus zu Nebula migrieren möchten, müssen Sie das Gerät zunächst mit der RESET-Taste auf der Vorderseite des Geräts zurücksetzen (halten Sie sie 15 Sekunden lang gedrückt). Wenn Sie während des Vorgangs auch nur die kleinste Einstellung ändern (z. B. das Admin-Passwort), wird die Migration nicht erfolgreich sein.

• Prüfen Sie, ob Sie DHCP oder statische IP im WAN haben

Wenn Sie über eine statische IP in Ihrem WAN verfügen, müssen Sie sich über die Web-GUI am Gerät anmelden, den Modus Nebula wählen und die IP-Informationen eingeben, die für den Aufbau einer Verbindung erforderlich sind:

Wenn Sie eine statische IP im WAN haben, gehen Sie durch den unten stehenden Assistenten und gehen Sie anschließend zu Schritt 2 - Registrierung des Geräts:

• Wählen Sie den nativen Modus

Verbinden Sie Ihren WAN-Port mit dem auf dem Bild angegebenen Port (in diesem Beispiel P2) und das LAN mit dem angezeigten Port (in diesem Beispiel P4) - Hinweis: Es sollte nichts anderes angeschlossen sein

• Sie sollten sehen können, dass das Gerät darauf wartet, sich mit Nebula zu verbinden (unter Geräte -> Firewall):

Die Firewall sollte nun einen schnellen Neustart durchführen, und nach dem Neustart sollte das Gerät innerhalb von 20 Minuten online gehen.

Fehlerbehebung - "Gerät wartet auf Verbindung" [Überprüfen des ZTP-Zertifikats]

Wenn Ihr Gerät im Native-Modus "Waiting for a device connected"(Warten auf ein angeschlossenes Gerät) hängen bleibt, müssen Sie überprüfen, ob Sie das ZTP-Zertifikat haben:

Melden Sie sich über SSH am Gerät an (mit dem Programm Putty oder Teraterm) und geben Sie show native mode cert file statusein :

Wenn Sie eine Fehlermeldung erhalten oder das Zertifikat nicht vorhanden ist, haben Sie den ZTP-Vorgang auf dieser Firewall noch nicht durchgeführt und müssen den ZTP-Vorgang dieses Mal verwenden. Es könnte auch sein, dass Sie nicht über die Firmware-Version 5.10 verfügen und die Firewall aktualisieren müssen, bevor Sie den nativen Modus verwenden.

• Migration vom Vor-Ort-Modus zum Nebula-Modus in der Web-GUI

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Sie erhalten dann ein Popup-Fenster, in dem Sie auf Ja klicken müssen:

Dann warten Sie darauf, dass das Gerät in Nebula online geht.

Ausführen des ZTP-Prozesses

Die zu Beginn des Artikels gezeigten Videos zeigen den gesamten Prozess, nur der letzte Teil ist anders. Dieser letzte Teil entspricht dem ZTP-Prozess, für den es, wie im Video gezeigt, zwei Methoden gibt. Diese Methode wird in den folgenden 2 Unterabschnitten behandelt.

Für das ZTP-Verfahren müssen Sie angeben, wie die WAN-Verbindung eingerichtet werden soll (DCHP/PPPoE/Static IP) und eine E-Mail-Adresse angeben, an die die E-Mail mit dem Link und der JSON-Datei gesendet werden soll. Bei der Einstellung "Ich werde die Firewall selbst installieren" wird die E-Mail an das Konto gesendet, das das Gerät gerade zur Website hinzufügt. Es ist auch möglich, ein anderes E-Mail-Konto anzugeben, damit ein Installateur den ZTP-Prozess ausführen kann.

• Aktivieren Sie die Firewall-Cloud-Fähigkeit über eine URL

Wenn das Gerät mit der neuesten Firmware läuft, schließen Sie den Stromanschluss an eine geeignete Stromquelle an und schalten Sie die Firewall ein. Warten Sie, bis die SYS-LED dauerhaft grün leuchtet. Verbinden Sie dann die WAN-Schnittstelle (P2) mit dem Internet.

Verbinden Sie die LAN-Schnittstelle (P4) mit dem Computer.

Öffnen Sie die von Nebula erhaltene E-Mail und klicken Sie auf "Allow Nebula to Manage My Device".

Warten Sie, bis Nebula Zero Touch Provisioning erfolgreich war. Klicken Sie auf "Go to Nebula Control Center", um auf Nebula zuzugreifen.

Es wird einige Minuten dauern, bis das Gerät mit Nebula verbunden und online ist.

Hinweis: Wenn Sie ein Gerät wie z. B. einen AP haben, der bereits an Port 4 des USG FLEX angeschlossen ist, und der AP bereits ein Wi-Fi-Netzwerk im Subnetz 192.168.1.1/24 bereitstellt, können Sie das ZTP über eine URL von einem beliebigen Gerät aus ausführen, das mit dem Wi-Fi-Netzwerk verbunden ist, so dass Sie es von einem mobilen Gerät aus ausführen können.

• Aktivieren Sie die Firewall-Cloud-Fähigkeit über USB

Alternativ dazu können Sie die Firewall auch über einen USB-Stick aktivieren. Kopieren Sie die in der von Nebula gesendeten E-Mail angehängte Datei auf einen neuen/sauberen USB-Stick (FAT32), und schließen Sie ihn an den USB-Port der Firewall an. Schalten Sie die Firewall ein. Die SYS-LED blinkt rot, wenn eine Verbindung zu Nebula besteht, und leuchtet konstant grün, wenn eine Verbindung besteht.

Rufen Sie das Nebula-Dashboard auf, um den Status des Gateways zu überprüfen.

Es dauert einige Minuten, bis das Gerät mit Nebula verbunden und online ist.

Fehlersuche

• Die Internetverbindung ist gestört - Überprüfen Sie die Internetverbindung

Der Webbrowser zeigt an, dass die Internetverbindung unterbrochen ist, wenn die URL in der E-Mail aufgerufen wurde.

Überprüfen Sie Ihre Internetverbindung und stellen Sie sicher, dass Sie mit der WAN-Schnittstelle (P2) verbunden sind. Klicken Sie dann auf "Retry", um das ZTP erneut zu starten.

Sie können auch auf "Network Test Tools" klicken, um sich bei der Web-GUI des Geräts anzumelden, um weitere Fehler zu beheben. Der Benutzer ist "Support" und das Passwort ist die Seriennummer der Firewall.

Wenn Sie eine statische IP-/PPPoE-Verbindung haben, überprüfen Sie, ob Sie die statischen IP-Informationen lokal auf dem Gerät eingegeben haben:

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) schlägt fehl, weil sich das Gerät nicht im Auslieferungszustand befindet

Bitte halten Sie die Reset-Taste für 5 Sekunden gedrückt, um das Gerät auf die Werkseinstellungen zurückzusetzen. Klicken Sie dann auf die URL, um das ZTP erneut auszuführen.

• ZTP über USB: Die SYS-LED hört nicht auf, rot zu blinken

Nebula Dashboard zeigt an, dass die Firewall offline ist.
Wenn das ZTP über USB fehlschlägt, überprüfen Sie bitte die Internetverbindung. Öffnen Sie die Datei ztpresult.log in USB, um den Status zu überprüfen.

Hier ist ein Beispiel:

ZTP schlägt fehl, weil es für dieses Gerät keine passende ZTP-Datei auf dem USB-Stick gibt. Bitte stellen Sie sicher, dass Sie die richtige ZTP-Datei kopieren.

• Der Modus Nebula wird beim Zugriff auf die Web-GUI nicht angezeigt

Sie können Ihr Gerät über die Schnittstelle des Geräte-Webkonfigurators (siehe hier) oder mit dem ZON-Dienstprogrammaktualisieren . In diesem Artikel wird gezeigt, wie Sie dies mit dem ZON-Dienstprogramm durchführen.

Stellen Sie sicher, dass Sie ZON auf Ihrem Computer installiert haben. Falls nicht, können Sie es hier herunterladen:

Zyxel One Network Utility (ZON)

Schließen Sie den Stromanschluss an die Stromquelle an und schalten Sie die Firewall ein. Warten Sie, bis die SYS-LED dauerhaft grün leuchtet. Verbinden Sie Ihren Computer mit dem Port 4 (P4) der Firewall.

Öffnen Sie ZON auf Ihrem Computer, um die Firewall zu scannen. Wählen Sie die Firewall aus und klicken Sie dann auf "Firmware Upgrade":

Wählen Sie die neueste Firmware-Version aus der Cloud aus und geben Sie das Standardpasswort "1234" ein, um das Upgrade durchzuführen. Der Firmware-Vorgang dauert etwa 5 Minuten.

Lizenzierung für die USG FLEX-Serie

• Gebündelte Nebula-Lizenzierung für Ihre USG FLEX in Nebula Control Center

Wenn Ihre USG Flex mit einer gebündelten Lizenz geliefert wurde, erhalten Sie automatisch ein Nebula Professional Pack für 1 Jahr für Ihr Gerät. Die UTM-Service-Lizenz wird nahtlos in Nebula übernommen, unabhängig von ihrer Restlaufzeit.

Falls Ihr USG nicht mit einer gebündelten Lizenz geliefert wurde, können Sie Ihre UTM-Dienste trotzdem 30 Tage lang testen. Die Nebula Pro Pack-Dienste enthalten ebenfalls automatisch eine 30-tägige Testlizenz, während Ihre Organisation erstellt wird.

Der Testlizenzzeitraum gilt auch für Ihr Gerät mit einer Bundle-Lizenz.

• Migrieren meiner bestehenden NSG-Lizenz (NSS) auf USG FLEX (UTM)

Um die Lizenz von Ihrem bisherigen NSG auf den USG FLEX in der Cloud zu migrieren, gilt die folgende Zuordnungstabelle. So kann beispielsweise die Lizenz des NSG 100 nur auf den USG FLEX 200 migriert werden und nicht auf andere USG FLEX-Modelle.

Falls Ihr USG FLEX 100 bereits über eine 1-Jahres-Lizenz verfügt, kann nach der Migration der verbleibenden Lizenz vom NSG50 (z. B. 6 Monate) auf den USG FLEX 100 letzterer mit einer 1,5-Jahres-Lizenz genutzt werden.

• Einschränkungen beim Wechsel zum Modus Nebula

Es gibt einige Einschränkungen und die folgenden Funktionen sind im Cloud-Modell für die USG FLEX noch nicht verfügbar:

- Geräte-HA
- E-Mail-Sicherheit (Anti-Spam)
- SSL-Prüfung
- Dynamische Leitweglenkung (RIP, OSPF, BGP)
- Verwandte IPv6-Funktionen
- AP-Controller (Nebula Control Center sollte stattdessen als AP-Controller verwendet werden)
- Hotspot-Dienst (Nebula Control Center unterstützt bereits Hotspot-Dienste wie Voucher und Walled Garden)

Sollten Sie auf andere Probleme stoßen, wendenSie sich bitte an unser Support-Team.