Nuestro firewall USG FLEX puede ser gestionado y provisionado por Nebula Control Center (NCC) a partir del firmware ZLD5.00 y versiones posteriores. La serie ATP puede ser gestionada en NCC a partir del firmware ZLD5.10. Esta guía muestra cómo agregar el dispositivo en Nebula utilizando el proceso ZTP y preconfigurar los ajustes del firewall en Nebula, antes de entregar el dispositivo para la instalación en sitio. Este artículo muestra cómo registrar su firewall en Nebula. Está dividido en diferentes secciones, por favor navegue a la sección que le corresponda en la tabla de contenidos.
 Nota: El modo ZTP no está disponible desde la versión 5.37 parche 1, por lo que debe desplegar el dispositivo en Nebula usando el modo nativo. Aquí están los modelos afectados. Serie ATP: ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Serie USG FLEX: USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

¿Por qué no puedo usar ZTP o modo nativo para desplegar mi firewall en Nebula?

Si tiene dificultades para agregar su dispositivo a Nebula, puede indicar que su dispositivo fue fabricado antes de finales de 2023 y requiere completar el proceso de Provisionamiento Zero Touch (ZTP). Para continuar, siga estos pasos:

• Degradar el firmware de su dispositivo
• Navegar por el proceso ZTP según sea necesario
• Una vez agregado con éxito, actualizar el dispositivo a la última versión de firmware

Cómo registrar su firewall en Nebula (Videos)

Nota: Su dispositivo debe ser restablecido a los valores predeterminados para poder conectarlo a Nebula, perdiendo todas las configuraciones previas que pudiera tener. Una vez conectado a Nebula, el dispositivo se configurará automáticamente con los ajustes predeterminados de Nebula. También tenga en cuenta que existen algunas limitaciones y las siguientes funciones aún no están disponibles en el modo en la nube para el USG FLEX:

• Alta disponibilidad del dispositivo (HA)
• Seguridad de correo electrónico (Anti-Spam)
• Inspección SSL
• Enrutamiento dinámico (RIP, OSPF, BGP)
• Funciones relacionadas con IPv6
• Controlador AP (se debe usar Nebula Control Center como controlador AP en su lugar)
• Servicio Hotspot (Nebula Control Center ya soporta servicios hotspot como Voucher, Walled garden)

Licenciamiento

• Licenciamiento de su USG FLEX en Nebula Control Center

Si su USG Flex vino con una licencia incluida, automáticamente disfrutará de un paquete profesional Nebula de 1 año para su dispositivo. La licencia del servicio UTM se transferirá sin problemas a Nebula, independientemente del tiempo restante.

En caso de que su USG no haya venido con una licencia incluida, aún disfrutará de 30 días de prueba para sus servicios UTM. Los servicios del paquete PRO de Nebula también incluyen automáticamente 30 días de prueba al crear su organización.

El período de licencia de prueba también aplica para su dispositivo con licencia incluida.

• Cómo migrar mi licencia NSG existente (NSS) al USG FLEX (UTM)

Para migrar la licencia de su NSG al USG FLEX en la nube, se aplica la siguiente tabla de equivalencias. Por ejemplo, NSG 100 solo puede migrar su licencia a USG FLEX 200 y no puede migrar la licencia a otros modelos USG FLEX.

En caso de que su USG FLEX 100 ya tenga una licencia de 1 año, después de migrar la licencia restante del NSG50 (por ejemplo: 6 meses) al USG FLEX 100, este último tendrá una licencia de un año y medio para usar.

Por favor, envíe una Solicitud de Soporte, y nuestro equipo con gusto le ayudará a resolver su problema de migración de licencia con la debida prioridad.

Elegir el modo Nebula a través de la interfaz web

Una vez que su dispositivo esté ejecutando la versión 5.10 y esté usando la configuración predeterminada de fábrica, al intentar ingresar al Configurador Web por primera vez, se le solicitará actualizar la contraseña predeterminada del administrador ("1234"). 

• Modo Nebula

Seleccione el modo Nebula para gestionar su dispositivo Zyxel usando Nebula Control Center (NCC). NCC es un sistema de gestión de red basado en la nube que le permite administrar y monitorear su dispositivo Zyxel de forma remota.

Siga el asistente del modo Nebula para configurar los ajustes WAN y pasar la gestión de su dispositivo Zyxel a NCC. 

Una vez configurados el modo de gestión y el WAN del dispositivo permitiendo acceso a internet, puede proceder a Nebula para la configuración adicional. Más información está en la sección "modo nativo Nebula"

• Migrar remotamente de on-premise a modo Nebula

Incluso si tiene configuraciones IP estáticas o configuraciones predeterminadas de fábrica, puede cambiar su solución de gestión on-premise al modo nube Nebula remotamente usando la interfaz web. Nota: el dispositivo será reiniciado a configuración de fábrica y se perderán las configuraciones. En la Fase 13 de Nebula, no es necesario acudir al sitio para reiniciar el dispositivo antes de migrar a Nebula. Ahora puede hacerlo remotamente. 

Los requisitos para migrar remotamente a Nebula son que el firewall:

• Debe estar en modo nativo Nebula, lo que significa que debe contener el Certificado ZTP
• El dispositivo debe estar en línea (acceso WAN/internet necesario)

Nota: Si tiene el dispositivo en modo on-premise, puede omitir el paso "modo nativo Nebula

• Crear una organización y un sitio

Si aún no ha establecido una organización y sitio en Nebula, por favor siga el artículo enlazado. Una vez completado ese paso, podemos proceder con el proceso de registro.
Nebula [Sitio/Organización] - Cómo crear/eliminar una organización y sitio en Nebula Control Center?

Configurar el Firewall en el portal Nebula

Antes de realizar estos pasos, tenga la topología de red, la configuración del firewall y la configuración WAN a mano. Esta información le permitirá preconfigurar los ajustes del firewall antes de encenderlo dentro de Nebula. El firewall sincronizará automáticamente esta configuración cuando se conecte a Nebula. Al crear el sitio, puede especificar el modelo de su firewall sin añadirlo. Esto permite preconfigurar algunos parámetros antes de agregar el dispositivo mismo.

• Configuración del grupo de puertos

Sitio general -> Configurar -> Firewall -> Puerto

• Para configurar los grupos de puertos WAN/LAN o agregar grupos WAN/LAN que coincidan con su escenario.

• Configurar ajustes WAN si tiene IP estática

Sitio general -> Configurar -> Firewall - interfaces

•  para cambiar las direcciones IP de la interfaz WAN/LAN para que coincidan con su escenario.

Registrar el Firewall y elegir el método de despliegue

Modo manual

Ir a Sitio general -> Licencias e Inventario

Ingrese a la página del dispositivo y haga clic en "Agregar" para registrar el Firewall. Puede registrar múltiples dispositivos ingresando la dirección MAC y el número de serie

Luego, puede asignar el dispositivo al sitio correcto. Puede tener varios dispositivos en una organización, desde aquí puede seleccionar un dispositivo específico y asignarlo al sitio correspondiente:

Aparecerá una ventana emergente donde puede seleccionar el método de despliegue del dispositivo.

Modo de Provisionamiento Zero Touch

Para la primera vez que el dispositivo se inscribe en Nebula, debe usarse el modo de Provisionamiento Zero Touch ya que el dispositivo necesita el proceso ZTP para ser compatible con la nube. Ir a Ejecutar proceso ZTP

El modo nativo Nebula

Cuando registre su dispositivo por primera vez en Nebula, debe asegurarse de tener el certificado ZTP en su dispositivo. En todos los dispositivos, el firewall debe pasar primero por el proceso ZTP una vez. En dispositivos más nuevos, el certificado ZTP podría ya estar en el firewall (por favor verifique si tiene el certificado ZTP aquí - si no tiene el certificado ZTP debe hacer el proceso ZTP y no puede usar el modo nativo para poner el firewall en línea).

• Restablecer el dispositivo a la configuración predeterminada

Cuando quiera migrar del modo independiente al modo Nebula, debe primero restablecer el dispositivo usando el botón RESET ubicado en el frente del dispositivo (mantener presionado por 15 segundos). Si durante el proceso cambia aunque sea un ajuste mínimo (por ejemplo, la contraseña de administrador), la migración no tendrá éxito. 

• Verificar si tiene DHCP o IP estática en WAN

Si tiene IP estática en su WAN, debe ingresar al dispositivo vía Web GUI, elegir modo Nebula e ingresar la información IP necesaria para establecer la conexión: 

Si tiene IP estática en WAN, siga el asistente a continuación y después de terminar, continúe al paso 2 - registrar el dispositivo:

• Elegir el modo nativo

Conecte su puerto WAN al puerto indicado en la imagen (en este ejemplo P2) y el LAN al puerto mostrado (en este ejemplo P4) - Nota: No debe estar conectado nada más

• Debería poder ver que está esperando a que el dispositivo se conecte a Nebula (bajo Dispositivos -> Firewall):

El firewall debería hacer un reinicio rápido y después del reinicio, el dispositivo debería estar en línea dentro de 20 minutos.

Solución de problemas - "Esperando dispositivo conectado" [Verificando certificado ZTP]

Si su dispositivo está atascado en modo nativo "Esperando a que un dispositivo se conecte" - debe verificar que tenga el certificado ZTP: 

Ingrese vía SSH al dispositivo (usando el programa Putty o Teraterm) y escriba show native mode cert file status: 

Si recibe un error o el certificado no está presente, aún no ha realizado el proceso ZTP en ese firewall y debe usar el proceso ZTP esta vez. También podría ser que no tenga la versión de firmware 5.10 y necesite actualizar el firewall antes de usar el modo nativo. 

• Migrar de modo on-premise a modo Nebula en Web GUI

Ir a Configuración -> Gestión y Análisis -> Nebula, luego haga clic en Aplicar y Ir a Nebula

Aparecerá un cuadro emergente y debe hacer clic en sí:

Luego espere a que el dispositivo se conecte en línea en Nebula.

Ejecutar proceso ZTP

Los videos mostrados al inicio del artículo muestran todo el proceso con solo la última parte siendo diferente. Esta última parte corresponde al proceso ZTP para el cual hay dos métodos disponibles como se muestra en el video. Este método se cubre en las siguientes 2 subsecciones.

Para el proceso ZTP, es necesario especificar cómo se configurará la conexión WAN (DHCP/PPPoE/IP estática) y especificar una dirección de correo electrónico a donde se enviará el email que contiene el enlace y el archivo JSON. "Instalaré el firewall yo mismo" envía el correo electrónico a la cuenta que está agregando el dispositivo al sitio en ese momento. También es posible especificar cualquier otra cuenta de correo para que un instalador pueda ejecutar el proceso ZTP.

• Activar la capacidad en la nube del Firewall vía URL

Con el dispositivo con el firmware más reciente funcionando, conecte el puerto de alimentación a una fuente adecuada y encienda el firewall. Espere a que el LED SYS se ponga verde fijo. Luego, conecte la interfaz WAN (P2) a Internet.

Conecte la interfaz LAN (P4) a la computadora.

Abra el correo electrónico recibido de Nebula y haga clic en "Permitir que Nebula administre mi dispositivo".
 

Espere hasta que el Provisionamiento Zero Touch de Nebula sea exitoso. Haga clic en "Ir a Nebula Control Center" para acceder a Nebula

El dispositivo tardará unos minutos en conectarse a Nebula y ponerse en línea.

Nota: Si tiene un dispositivo como un AP ya conectado en el puerto 4 del USG FLEX, y el AP ya está proporcionando una red Wi-Fi en la subred 192.168.1.1/24, puede ejecutar el ZTP vía URL desde cualquier dispositivo conectado a la red Wi-Fi, permitiendo hacerlo desde un dispositivo móvil.

• Activar la capacidad en la nube del Firewall vía USB

Alternativamente, también puede activar el Firewall usando un pendrive USB. Copie el archivo adjunto en el correo enviado desde Nebula a un USB nuevo/limpio (FAT32), y conéctelo al puerto USB del Firewall. Encienda el Firewall, el LED SYS parpadea en rojo cuando se está conectando a Nebula y se pone verde fijo cuando está conectado.

Vaya al panel de Nebula para verificar el estado de la puerta de enlace.

El dispositivo tardará unos minutos en conectarse a Nebula y ponerse en línea.

Solución de problemas

• La conexión a Internet está caída - Verificar la conexión a Internet

El navegador web muestra que la conexión a Internet está caída cuando se accede a la URL en el correo electrónico.

Verifique su conexión a Internet y asegúrese de conectar a la interfaz WAN (P2). Luego, haga clic en "Reintentar" para rehacer el ZTP.

También puede hacer clic en "Herramientas de prueba de red" para ingresar a la interfaz web del dispositivo para más solución de problemas. El usuario es "support" y la contraseña es el número de serie del firewall.

Si tiene una conexión IP estática / PPPoE, verifique que haya ingresado correctamente la información IP estática en el dispositivo localmente: 

Ir a Configuración -> Ajustes WAN y verificar que todo esté correctamente llenado

• El Provisionamiento Zero Touch (ZTP) falla porque este dispositivo no está en estado predeterminado de fábrica

Por favor mantenga presionado el botón de reset por 5 segundos para restablecer el dispositivo a configuración de fábrica. Luego haga clic en la URL para rehacer el ZTP.

• ZTP por USB: El LED SYS no deja de parpadear en rojo

Nebula Dashboard muestra que el firewall está desconectado.
Si el ZTP por USB falla, por favor verifique la conexión a Internet. Abra el archivo ztpresult.log en el USB para revisar el estado.

Aquí hay un ejemplo:

El ZTP falla porque no hay un archivo ZTP correspondiente en el USB para este dispositivo. Por favor asegúrese de copiar el archivo ZTP correcto.

• El modo Nebula no aparece al acceder a la interfaz web

Puede actualizar su dispositivo mediante la interfaz web del dispositivo o usando la utilidad ZON. Este artículo muestra cómo hacerlo mediante la utilidad ZON.

Asegúrese de haber instalado ZON en su computadora. Si no, puede descargarlo aquí:

Zyxel One Network Utility (ZON)

Conecte el puerto de alimentación a la fuente de energía y encienda el firewall. Espere a que el LED SYS se ponga verde fijo. Conecte su computadora al puerto 4 (P4) del firewall.

Abra ZON en su computadora para escanear el firewall. Seleccione el firewall y luego haga clic en "Actualizar firmware":

Seleccione la última versión de firmware desde la nube e ingrese la contraseña predeterminada “1234” para actualizar. El proceso de firmware toma alrededor de 5 minutos para completarse

Licenciamiento para la serie USG FLEX

• Licenciamiento incluido de Nebula para su USG FLEX en Nebula Control Center

Si su USG Flex vino con una licencia incluida, automáticamente disfrutará de un paquete profesional Nebula de 1 año para su dispositivo. La licencia del servicio UTM se transferirá sin problemas a Nebula, independientemente del tiempo restante.

En caso de que su USG no haya venido con una licencia incluida, aún disfrutará de 30 días de prueba para sus servicios UTM. Los servicios del paquete Pro Pack de Nebula también incluyen automáticamente 30 días de prueba al crear su organización.

El período de licencia de prueba también aplica para su dispositivo con licencia incluida.

• Cómo migrar mi licencia NSG existente (NSS) al USG FLEX (UTM)

Para migrar la licencia de su NSG anterior al USG FLEX en la nube, se aplica la siguiente tabla de equivalencias. Por ejemplo, NSG 100 solo puede migrar su licencia a USG FLEX 200 y no puede migrar la licencia a otros modelos USG FLEX.

En caso de que su USG FLEX 100 ya tenga una licencia de 1 año, después de migrar la licencia restante del NSG50 (por ejemplo: 6 meses) al USG FLEX 100, este último tendrá una licencia de un año y medio para usar.

• Limitaciones al cambiar al modo Nebula

Existen algunas limitaciones y las siguientes funciones aún no están disponibles en el modelo en la nube para el USG FLEX:

- Alta disponibilidad del dispositivo (HA)
- Seguridad de correo electrónico (Anti-Spam)
- Inspección SSL
- Enrutamiento dinámico (RIP, OSPF, BGP)
- Funciones relacionadas con IPv6
- Controlador AP (se debe usar Nebula Control Center como controlador AP en su lugar)
- Servicio Hotspot (Nebula Control Center ya soporta servicios hotspot como Voucher y Walled garden)

Si encuentra otros problemas, no dude en ponerse en contacto con nuestro equipo de soporte.