Unsere USG FLEX-Firewall kann ab der Firmware-Version ZLD5.00 vom Nebula Control Center (NCC) verwaltet und bereitgestellt werden. Die ATP-Serie kann ab Firmware ZLD5.10 im NCC verwaltet werden. Diese Anleitung zeigt, wie Sie das Gerät über den ZTP-Prozess zu Nebula hinzufügen und die Firewall-Einstellungen im Nebula vorab konfigurieren, bevor das Gerät zur Installation vor Ort geliefert wird. Dieser Artikel zeigt, wie Sie Ihre Firewall in Nebula registrieren. Er ist in verschiedene Abschnitte unterteilt, navigieren Sie bitte im Inhaltsverzeichnis zum für Sie relevanten Abschnitt.
 Hinweis: Der ZTP-Modus ist ab Version 5.37 Patch 1 nicht mehr verfügbar, daher müssen Sie das Gerät im nativen Modus zu Nebula bereitstellen. Folgende Modelle sind betroffen: ATP-Serie: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 USG FLEX-Serie: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Warum kann ich meinen Firewall nicht im ZTP- oder nativen Modus auf Nebula bereitstellen?

Wenn Sie Schwierigkeiten haben, Ihr Gerät zu Nebula hinzuzufügen, könnte dies darauf hinweisen, dass Ihr Gerät vor Ende 2023 hergestellt wurde und der Zero Touch Provisioning (ZTP)-Prozess abgeschlossen werden muss. Gehen Sie wie folgt vor:

• Downgrade der Firmware auf Ihrem Gerät
• Folgen Sie dem erforderlichen ZTP-Prozess
• Nach erfolgreicher Registrierung aktualisieren Sie das Gerät auf die neueste Firmware-Version

So registrieren Sie Ihre Firewall in Nebula (Videos)

Hinweis: Ihr Gerät muss auf Werkseinstellungen zurückgesetzt werden, um es mit Nebula zu verbinden, wodurch alle vorherigen Einstellungen verloren gehen. Nach der Verbindung mit Nebula wird das Gerät automatisch mit den Standard-Einstellungen von Nebula konfiguriert. Bitte beachten Sie auch, dass es einige Einschränkungen gibt und folgende Funktionen im Cloud-Modus für USG FLEX noch nicht verfügbar sind:

• Geräte-HA
• E-Mail-Sicherheit (Anti-Spam)
• SSL-Inspektion
• Dynamisches Routing (RIP, OSPF, BGP)
• Verwandte IPv6-Funktionen
• AP-Controller (Nebula Control Center sollte stattdessen als AP-Controller verwendet werden)
• Hotspot-Service (Nebula Control Center unterstützt bereits Hotspot-Dienste wie Voucher, Walled Garden)

Lizenzierung

• Lizenzierung Ihres USG FLEX im Nebula Control Center

Wenn Ihr USG Flex mit einer gebündelten Lizenz geliefert wurde, erhalten Sie automatisch ein 1-Jahres-Nebula Professional Pack für Ihr Gerät. Die UTM-Service-Lizenz wird nahtlos auf Nebula übertragen, unabhängig von der verbleibenden Zeit.

Falls Ihr USG nicht mit einer gebündelten Lizenz geliefert wurde, erhalten Sie dennoch eine 30-tägige Testphase für Ihre UTM-Dienste. Die Nebula PRO Pack-Dienste beinhalten ebenfalls automatisch eine 30-tägige Testphase, sobald Ihre Organisation erstellt wurde.

Die Testlizenzzeit gilt auch für Geräte mit gebündelter Lizenz.

• Migrieren meiner bestehenden NSG-Lizenz (NSS) auf die USG FLEX (UTM)

Um die Lizenz von Ihrem NSG auf die USG FLEX in der Cloud zu migrieren, gilt folgende Zuordnungstabelle. Zum Beispiel kann NSG 100 seine Lizenz nur auf USG FLEX 200 migrieren und nicht auf andere USG FLEX-Modelle.

Falls Ihr USG FLEX 100 bereits eine 1-Jahres-Lizenz besitzt, hat es nach der Migration der verbleibenden Lizenz vom NSG50 (z.B. 6 Monate) auf das USG FLEX 100 letztlich eine Lizenz von 1,5 Jahren zur Nutzung.

Bitte stellen Sie eine Support-Anfrage, unser Team hilft Ihnen gerne prioritär bei der Lösung Ihres Lizenzmigrationsproblems.

Auswahl des Nebula-Modus über die Web-GUI

Sobald Ihr Gerät mit Version 5.10 läuft und die Werkseinstellungen verwendet, müssen Sie beim ersten Login in den Web-Konfigurator das Admin-Standardpasswort ("1234") ändern.

• Nebula-Modus

Wählen Sie den Nebula-Modus, um Ihr Zyxel-Gerät mit dem Nebula Control Center (NCC) zu verwalten. NCC ist ein cloudbasiertes Netzwerkmanagementsystem, das Ihnen ermöglicht, Ihr Zyxel-Gerät aus der Ferne zu verwalten und zu überwachen.

Folgen Sie dem Nebula-Modus-Assistenten, um die WAN-Einstellungen zu konfigurieren und die Verwaltung Ihres Zyxel-Geräts an NCC zu übergeben.

Sobald der Verwaltungsmodus und das WAN des Geräts so konfiguriert sind, dass ein Internetzugang besteht, können Sie mit der weiteren Einrichtung in Nebula fortfahren. Weitere Informationen finden Sie im Abschnitt „Nebula nativer Modus“

• Remote-Migration vom lokalen Betrieb zum Nebula-Modus

Selbst wenn Sie statische IP-Einstellungen oder Werkseinstellungen verwenden, können Sie Ihre lokale Verwaltungs-Lösung über die Web-GUI remote in den Nebula-Cloud-Modus wechseln. Beachten Sie, dass das Gerät auf Werkseinstellungen zurückgesetzt wird und Konfigurationen verloren gehen. Ab Nebula Phase 13 müssen Sie das Gerät vor der Migration nicht mehr vor Ort auf Werkseinstellungen zurücksetzen, sondern können dies remote durchführen.

Voraussetzungen für die Remote-Migration zu Nebula sind:

• Das Firewall-Gerät muss im Nebula Native Mode sein, d.h. es muss das ZTP-Zertifikat
• Das Gerät muss online sein (WAN-Internet-Zugang erforderlich)

Hinweis: Wenn Ihr Gerät im lokalen Modus ist, können Sie den Schritt „Nebula nativer Modus“ überspringen

• Erstellen einer Organisation und eines Standorts

Wenn Sie noch keine Nebula-Organisation und keinen Standort erstellt haben, folgen Sie bitte dem verlinkten Artikel. Nach Abschluss dieses Schrittes können wir mit der Registrierung fortfahren.
Nebula [Standort/Organisation] – Wie erstelle/lösche ich eine Organisation und einen Standort im Nebula Control Center?

Konfigurieren der Firewall im Nebula-Portal

Vor diesen Schritten sollten Sie die Netzwerktopologie, Firewall-Einstellungen und WAN-Konfiguration bereithalten. Diese Informationen ermöglichen es Ihnen, die Firewall-Einstellungen vorab zu konfigurieren, bevor sie in Nebula eingeschaltet wird. Die Firewall synchronisiert diese Konfiguration automatisch, wenn sie sich mit Nebula verbindet. Beim Erstellen des Standorts können Sie das Modell Ihrer Firewall angeben, ohne sie hinzuzufügen. So können einige Parameter vorab konfiguriert werden, bevor das Gerät selbst hinzugefügt wird.

• Portgruppen-Einstellungen

Standortweit -> Konfigurieren -> Firewall -> Port

• Konfigurieren Sie WAN/LAN-Portgruppen oder fügen Sie WAN/LAN-Gruppen hinzu, die zu Ihrem Szenario passen.

• WAN-Einstellungen konfigurieren, wenn Sie eine statische IP haben

Standortweit -> Konfigurieren -> Firewall -> Schnittstellen

•  Ändern Sie die IP-Adressen der WAN/LAN-Schnittstellen entsprechend Ihrem Szenario.

Firewall registrieren und Bereitstellungsmethode wählen

Manueller Modus

Gehen Sie zu Standortweit -> Lizenz & Inventar

Öffnen Sie die Geräteseite und klicken Sie auf "Hinzufügen", um die Firewall zu registrieren. Sie können mehrere Geräte registrieren, indem Sie MAC-Adresse und Seriennummer eingeben

Anschließend können Sie das Gerät dem richtigen Standort zuweisen. Sie können mehrere Geräte in einer Organisation haben, hier wählen Sie ein bestimmtes Gerät aus und weisen es dem entsprechenden Standort zu:

Ein Pop-up-Fenster erscheint, in dem Sie die Bereitstellungsmethode für das Gerät auswählen können.

Zero Touch Provision Modus

Beim erstmaligen Einschreiben des Geräts in Nebula muss der Zero Touch Provision Modus verwendet werden, da das Gerät den ZTP-Prozess durchlaufen muss, um Cloud-fähig zu werden. Gehen Sie zu ZTP-Prozess ausführen

Der Nebula native Modus

Wenn Sie Ihr Gerät erstmals in Nebula registrieren, müssen Sie sicherstellen, dass das ZTP-Zertifikat auf Ihrem Gerät vorhanden ist. Bei allen Geräten muss die Firewall zunächst einmal den ZTP-Prozess durchlaufen. Bei neueren Geräten könnte das ZTP-Zertifikat bereits auf der Firewall vorhanden sein (bitte prüfen Sie, ob Sie das ZTP-Zertifikat hier haben – falls nicht, müssen Sie den ZTP-Prozess durchführen und können den nativen Modus nicht nutzen, um die Firewall online zu bringen).

• Setzen Sie das Gerät auf die Werkseinstellungen zurück

Wenn Sie vom Stand-alone-Modus auf Nebula migrieren möchten, müssen Sie das Gerät zuerst mit der RESET-Taste an der Vorderseite des Geräts (15 Sekunden gedrückt halten) zurücksetzen. Wenn Sie während des Vorgangs auch nur die geringste Einstellung ändern (z.B. das Admin-Passwort), schlägt die Migration fehl.

• Prüfen Sie, ob Sie DHCP oder statische IP auf WAN verwenden

Wenn Sie eine statische IP auf Ihrem WAN haben, müssen Sie sich per Web-GUI am Gerät anmelden, den Nebula-Modus wählen und die erforderlichen IP-Informationen für die Verbindung eingeben:

Wenn Sie eine statische IP auf WAN haben, führen Sie den untenstehenden Assistenten durch und fahren Sie nach Abschluss mit Schritt 2 – Registrierung des Geräts fort:

• Wählen Sie den nativen Modus

Verbinden Sie Ihren WAN-Port mit dem auf dem Bild angegebenen Port (in diesem Beispiel P2) und den LAN-Port mit dem gezeigten Port (in diesem Beispiel P4) – Hinweis: Es sollte nichts anderes angeschlossen sein

• Sie sollten sehen können, dass gewartet wird, bis sich das Gerät mit Nebula verbindet (unter Geräte -> Firewall):

Die Firewall sollte nun einen kurzen Neustart durchführen und nach dem Neustart innerhalb von 20 Minuten online sein.

Fehlerbehebung – „Warten auf Geräteverbindung“ [Überprüfung des ZTP-Zertifikats]

Wenn Ihr Gerät im nativen Modus auf „Warten auf Geräteverbindung“ hängen bleibt, müssen Sie überprüfen, ob das ZTP-Zertifikat vorhanden ist:

Melden Sie sich per SSH am Gerät an (mit Programmen wie Putty oder Teraterm) und geben Sie ein: show native mode cert file status:

Wenn Sie einen Fehler erhalten oder das Zertifikat nicht vorhanden ist, haben Sie den ZTP-Prozess auf dieser Firewall noch nicht durchgeführt und müssen diesmal den ZTP-Prozess verwenden. Es kann auch sein, dass Sie nicht die Firmware-Version 5.10 haben und die Firewall vor Nutzung des nativen Modus aktualisieren müssen.

• Migration vom lokalen Modus zum Nebula-Modus über die Web-GUI

Gehen Sie zu Konfiguration -> Verwaltung & Analyse -> Nebula, dann klicken Sie auf Anwenden und zu Nebula wechseln

Ein Pop-up erscheint, in dem Sie mit Ja bestätigen müssen:

Warten Sie dann, bis das Gerät in Nebula online ist.

ZTP-Prozess ausführen

Die eingangs gezeigten Videos zeigen den gesamten Prozess, wobei nur der letzte Teil unterschiedlich ist. Dieser letzte Teil entspricht dem ZTP-Prozess, für den zwei Methoden verfügbar sind, wie im Video gezeigt. Diese Methode wird in den folgenden zwei Unterabschnitten behandelt.

Für den ZTP-Prozess muss angegeben werden, wie die WAN-Verbindung eingerichtet wird (DHCP/PPPoE/Static IP) und eine E-Mail-Adresse, an die die E-Mail mit dem Link und der JSON-Datei gesendet wird. „Ich installiere die Firewall selbst“ sendet die E-Mail an das Konto, das gerade das Gerät zur Site hinzufügt. Es ist auch möglich, eine andere E-Mail-Adresse anzugeben, sodass ein Installateur den ZTP-Prozess ausführen kann.

• Firewall Cloud-Fähigkeit über URL aktivieren

Verbinden Sie das Gerät mit der neuesten Firmware mit einer geeigneten Stromquelle und schalten Sie die Firewall ein. Warten Sie, bis die SYS-LED dauerhaft grün leuchtet. Verbinden Sie dann die WAN-Schnittstelle (P2) mit dem Internet.

Verbinden Sie die LAN-Schnittstelle (P4) mit dem Computer.

Öffnen Sie die E-Mail von Nebula und klicken Sie auf „Nebula erlauben, mein Gerät zu verwalten“.
 

Warten Sie, bis die Nebula Zero Touch Provisioning erfolgreich war. Klicken Sie auf „Zum Nebula Control Center“, um auf Nebula zuzugreifen.

Das Gerät benötigt einige Minuten, um sich mit Nebula zu verbinden und online zu gehen.

Hinweis: Wenn Sie ein Gerät wie einen AP bereits an Port 4 des USG FLEX angeschlossen haben und der AP bereits ein WLAN im Subnetz 192.168.1.1/24 bereitstellt, können Sie die ZTP per URL von jedem Gerät im WLAN ausführen, z.B. von einem Mobilgerät.

• Firewall Cloud-Fähigkeit über USB aktivieren

Alternativ können Sie die Firewall auch mit einem USB-Stick aktivieren. Kopieren Sie die in der E-Mail von Nebula angehängte Datei auf einen neuen/sauberen USB-Stick (FAT32) und schließen Sie diesen am USB-Port der Firewall an. Schalten Sie die Firewall ein, die SYS-LED blinkt rot während der Verbindung zu Nebula und leuchtet dauerhaft grün, wenn die Verbindung steht.

Gehen Sie zum Nebula-Dashboard, um den Gateway-Status zu überprüfen.

Das Gerät benötigt einige Minuten, um sich mit Nebula zu verbinden und online zu gehen.

Fehlerbehebung

• Internetverbindung ist ausgefallen – Überprüfen Sie die Internetverbindung

Der Webbrowser zeigt an, dass die Internetverbindung ausgefallen ist, wenn die URL in der E-Mail aufgerufen wurde.

Überprüfen Sie Ihre Internetverbindung und stellen Sie sicher, dass Sie mit der WAN-Schnittstelle (P2) verbunden sind. Klicken Sie dann auf „Wiederholen“, um den ZTP erneut zu starten.

Sie können auch auf „Netzwerk-Test-Tools“ klicken, um sich in die Web-GUI des Geräts einzuloggen und weitere Fehlerbehebungen durchzuführen. Der Benutzername ist „support“ und das Passwort die Seriennummer der Firewall.

Wenn Sie eine statische IP-/PPPoE-Verbindung haben, überprüfen Sie sorgfältig, ob die statischen IP-Daten lokal im Gerät korrekt eingegeben sind:

Gehen Sie zu Konfiguration -> WAN-Einstellungen und prüfen Sie, ob alles korrekt ausgefüllt ist

• Zero Touch Provisioning (ZTP) schlägt fehl, weil das Gerät nicht im Werkszustand ist

Bitte halten Sie die Reset-Taste 5 Sekunden gedrückt, um das Gerät auf Werkseinstellungen zurückzusetzen. Klicken Sie dann auf die URL, um den ZTP erneut durchzuführen.

• ZTP per USB: Die SYS-LED hört nicht auf, rot zu blinken

Nebula-Dashboard zeigt, dass die Firewall offline ist.
Wenn der ZTP per USB fehlschlägt, überprüfen Sie bitte die Internetverbindung. Öffnen Sie die Datei ztpresult.log auf dem USB-Stick, um den Status zu prüfen.

Hier ein Beispiel:

ZTP schlägt fehl, weil keine passende ZTP-Datei auf dem USB-Stick für dieses Gerät vorhanden ist. Bitte stellen Sie sicher, dass Sie die korrekte ZTP-Datei kopiert haben.

• Nebula-Modus wird nicht angezeigt, wenn auf die Web-GUI zugegriffen wird

Sie können Ihr Gerät über die Web-Konfigurator-Oberfläche oder mithilfe des ZON-Tools aktualisieren. Dieser Artikel zeigt, wie es mit dem ZON-Tool funktioniert.

Stellen Sie sicher, dass Sie ZON auf Ihrem Computer installiert haben. Falls nicht, können Sie es hier herunterladen:

Zyxel One Network Utility (ZON)

Verbinden Sie das Stromkabel mit der Stromquelle und schalten Sie die Firewall ein. Warten Sie, bis die SYS-LED dauerhaft grün leuchtet. Verbinden Sie Ihren Computer mit Port 4 (P4) der Firewall.

Öffnen Sie ZON auf Ihrem Computer, um die Firewall zu scannen. Wählen Sie die Firewall aus und klicken Sie auf „Firmware-Upgrade“:

Wählen Sie die neueste Firmware-Version aus der Cloud und geben Sie das Standardpasswort „1234“ ein, um das Upgrade zu starten. Der Firmware-Prozess dauert etwa 5 Minuten.

Lizenzierung für USG FLEX-Serie

• Gebündelte Nebula-Lizenzierung für Ihre USG FLEX im Nebula Control Center

Wenn Ihr USG Flex mit einer gebündelten Lizenz geliefert wurde, erhalten Sie automatisch ein 1-Jahres-Nebula Professional Pack für Ihr Gerät. Die UTM-Service-Lizenz wird nahtlos auf Nebula übertragen, unabhängig von der verbleibenden Zeit.

Falls Ihr USG nicht mit einer gebündelten Lizenz geliefert wurde, erhalten Sie dennoch eine 30-tägige Testphase für Ihre UTM-Dienste. Die Nebula Pro Pack-Dienste beinhalten ebenfalls automatisch eine 30-tägige Testphase, sobald Ihre Organisation erstellt wurde.

Die Testlizenzzeit gilt auch für Geräte mit gebündelter Lizenz.

• Migrieren meiner bestehenden NSG-Lizenz (NSS) auf die USG FLEX (UTM)

Um die Lizenz von Ihrem vorherigen NSG auf die USG FLEX in der Cloud zu migrieren, gilt folgende Zuordnungstabelle. Zum Beispiel kann NSG 100 seine Lizenz nur auf USG FLEX 200 migrieren und nicht auf andere USG FLEX-Modelle.

Falls Ihr USG FLEX 100 bereits eine 1-Jahres-Lizenz besitzt, hat es nach der Migration der verbleibenden Lizenz vom NSG50 (z.B. 6 Monate) auf das USG FLEX 100 letztlich eine Lizenz von 1,5 Jahren zur Nutzung.

• Einschränkungen beim Wechsel in den Nebula-Modus

Es gibt einige Einschränkungen und folgende Funktionen sind im Cloud-Modell für USG FLEX noch nicht verfügbar:

- Geräte-HA
- E-Mail-Sicherheit (Anti-Spam)
- SSL-Inspektion
- Dynamisches Routing (RIP, OSPF, BGP)
- Verwandte IPv6-Funktionen
- AP-Controller (Nebula Control Center sollte stattdessen als AP-Controller verwendet werden)
- Hotspot-Service (Nebula Control Center unterstützt bereits Hotspot-Dienste wie Voucher und Walled Garden)

Wenn Sie weitere Probleme haben, können Sie sich gerne an unser Support-Team wenden.