En este artículo, queremos brindarle una descripción general de una gran cantidad de diferentes consejos de mejores prácticas, inmersiones profundas más breves en términos de depuración, análisis y otras observaciones interesantes sobre nuestros productos Firewall para aprovecharlos al máximo.
La interfaz de línea de comandos
En caso de que no lo sepa, nuestros dispositivos tienen una interfaz de línea de comando a la que puede acceder a través de SSH o cable de consola: Acceda a la interfaz de línea de comando de su dispositivo Zyxel (SSH a través de puTTY y consola a través de TeraTerm)
Pero, ¿sabía que incluso puede acceder a la CLI desde su navegador web? Haga clic en el icono de la consola web en la esquina derecha del menú de su USG FLEX:
¿No pasa tráfico VPN? (División en subredes y protocolos)
Este es un consejo rápido para un problema que ocurre a menudo en VPN: muchos de nuestros clientes nos informan que el túnel VPN, ya sea de sitio a sitio o de cliente a sitio, se conecta perfectamente, pero no hay tráfico. pasando - ¿por qué es así? A menudo, hay dos razones diferentes para esto.
- Las subredes están configuradas incorrectamente
- ISP está bloqueando protocolos
# 1 - Las subredes están mal configuradas
Imagine que tiene dos sitios que desea interconectar, y ambos sitios tienen el mismo rango de IP, supongamos que 192.168.1.X, como se muestra a continuación:
A menudo, los clientes informarán que la VPN, de hecho, se conecta y se acumula, pero no reciben tráfico a través de la VPN, por lo que no pueden conectarse desde la PC al servidor. ¿Qué está sucediendo aquí?
El caso es que al crear una interfaz en el USG, estamos creando una Ruta Directa . Una fuente de ruta directa, independientemente, coloca un tráfico que desea ir a una IP que coincide con una de las subredes de la interfaz del firewall en la interfaz respectiva. En otras palabras: al tener LAN1 en USG # 1 con 192.168.1.1, siempre que queramos llegar a 192.168.1.200 (la IP del servidor), siempre al llegar a nuestra puerta de enlace se nos enviará de regreso a la Subred LAN1 de USG # 1 a través del ruta directa. Así es como se ve:
Puede leer la regla de la siguiente manera: "Sin mirar el origen, si el destino coincide con la interfaz de LAN1, simplemente empújelo hacia LAN1", para que la conexión desde la PC al servidor nunca llegue al cuarto bloque de enrutamiento "Sitio-2 -Site VPN "y, por lo tanto, nunca puede ser procesado por el algoritmo de enrutamiento para ser insertado en la VPN. El aprendizaje claro de esto es: ¡ asegúrese de nunca tener subredes superpuestas!
Y si lo hace, consulte este tutorial: Cómo configurar SNAT en un túnel VPN
2 # - ISP está bloqueando protocolos
Puede ser que la razón por la que su VPN se conecte, pero no pase tráfico, sea simplemente porque su ISP no está bloqueando puertos, sino protocolos. Entonces, la VPN puede establecerse a través del puerto 500 UDP, 4500 UDP y / o 1701 UDP, que son responsables de intercambiar el protocolo de enlace para conectar el túnel entre sí, pero el protocolo utilizado para encapsular los datos del túnel VPN, ESP - también conocido como protocolo 50 - está siendo bloqueado. Si usted se ve afectado no lo está, puede averiguarlo a través de la línea de comando: ingrese
dyn_repppppp_ @y desencadenar una conexión VPN (Consejo: asegúrese de no tener ningún túnel adicional abierto y de que no haya tráfico que se ejecute a través del túnel antes de su cliente. Luego, active un ping a la IP de la puerta de enlace LAN remota. Si ve paquetes saliendo, pero no volver a su interfaz WAN, ese es un indicador bastante sólido de que su ISP está haciendo algo mal; en ese caso, póngase en contacto con ellos.
¡Los nombres importan! ¡Organiza bien tus Objetos!
Nuestra serie USG FLEX / ATP / VPN en forma independiente trae una excelente estructura de menú y diseño. Una de las ventajas clave que tienen nuestros dispositivos es la increíble flexibilidad para modificar y ajustar la configuración a sus necesidades. Sin embargo, esto tiene un precio que pagar: ¡debe mantener organizados sus nombres!
Ahora, dado que hay muchos enfoques individuales sobre cómo hacerlo, simplemente mostraremos cómo lo hacen algunos de nuestros colegas. Para darle un pequeño ejemplo, primero navegue hasta
Configuration > Object > Service
y presione el botón "Agregar" para crear una nueva entrada:
Dado que el nombre de un Servicio tiene que comenzar con una letra, pero principalmente estamos definiendo Servicios fuera del espectro, podríamos comenzar el nombre con algo genérico como "Port", seguido por el número Port. Al final, también podríamos agregar el Protocolo, ya que podría ser que en un momento diferente el UDP Port coincidente podría ser utilizado por una aplicación diferente.
Si lo desea, también puede mejorar este sistema agregando una palabra clave corta sobre de qué se trata el servicio:
Se recomienda un enfoque similar para todos los demás objetos, especialmente las direcciones; asegúrese de organizar y comprender el sistema que creó y mantenerlo por razones de coherencia.
Actualizaciones de firmware: ¡nunca cambie un sistema en ejecución!
Lo que podría sonar a primera vista como una recomendación para permanecer con su firmware actual (¡no lo es!) Es un juego de palabras irónico, pero déjenos explicarlo más. Nuestros cortafuegos de seguridad tienen dos particiones de arranque / firmware:
Cada partición tiene su propia base de datos, que también consta de dos bases de datos de configuración individuales entre sí; es importante saberlo, porque si desea aplicar un nuevo firmware, es posible que desee establecer el firmware en la partición en espera, "por si acaso algo sucede, puedo volver al Running y estar bien de nuevo ". Muchos de nuestros clientes piensan exactamente de esa manera. Pero hay una falacia: cada vez que cambia la partición, su configuración actual se intentará traer y aplicar a la otra partición. Eso podría ir bien en la mayoría de los casos. Sin embargo, si de alguna manera se detecta un problema con la configuración actual, lo que puede suceder si actualiza de un firmware muy antiguo al más reciente sin ningún paso intermedio, puede ser que el USG falle, se reinicie y vuelva a intentar el proceso. . Sin embargo, para no caer en un ciclo de arranque eterno, después de 3 intentos, el dispositivo volverá a la configuración predeterminada del sistema.
Si ahora se encuentra en una situación en la que está conectado de forma remota al USG durante varios 100 kilómetros y el dispositivo se ha estrellado de esta manera, es mejor que tenga a alguien en el lugar que pueda ayudarlo o estar preparado para un viaje largo en el lugar.
Es mucho mejor sobrescribir la partición en ejecución , ya que solo si sucede algo no anticipado (como un error de implementación o similar), puede haber un problema; en la mayoría de los casos, simplemente se ejecutará perfectamente bien actualizando el firmware desde un ya bastante firmware reciente en la partición en ejecución.
Haga una copia de seguridad de su configuración, ¡ahora mismo! No, no copiarlo al enrutador, ¡en realidad guárdelo en su PC!
Otro titular irónico para una recomendación seria: haga una copia de seguridad de su archivo de configuración con regularidad. Además, haga la copia de seguridad no solo en el dispositivo en sí (que ya es un buen paso en la dirección correcta, sino que en realidad descárguelo en la computadora a través de
Maintenance > File Manager > Configuration File
y seleccionando startup-config.conf y presionando el botón Descargar :
Ahora puede encontrar el archivo .conf descargado, que se puede abrir mediante el Bloc de notas o el Bloc de notas ++:
Tener una sincronización regular de este tipo le ayuda a reducir drásticamente el tiempo de inactividad cuando realmente se necesita: en una situación problemática.
Hay muchos otros consejos y trucos que eventualmente se agregarán en el futuro, pero esto le dará un buen comienzo con alguna información que esperamos sea útil.
DESCARGO DE RESPONSABILIDAD:
Estimado cliente, tenga en cuenta que utilizamos la traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con precisión. Si hay preguntas o discrepancias sobre la precisión de la información en la versión traducida, revise el artículo original aquí: Versión original
Comentarios
0 comentariosInicie sesión para dejar un comentario.