Tässä artikkelissa haluamme antaa sinulle yleiskatsauksen lukuisista erilaisista parhaiden käytäntöjen vinkeistä, lyhyemmistä virheenkorjauksen syistä, analysoinnista ja muista mielenkiintoisista huomautuksista Firewall-tuotteistamme saadaksesi niistä kaiken irti.
Komentoriviliittymä
Jos et ehkä tiedä, laitteissamme on komentoriviliitäntä, johon pääset joko SSH:n tai konsolikaapelin kautta: Käytä Zyxel-laitteesi komentoriviliitäntää (SSH puTTY:n kautta ja konsoli TeraTermin kautta)
Mutta tiesitkö, että voit jopa käyttää CLI:tä verkkoselaimestasi? Napsauta verkkokonsolikuvaketta USG FLEX -valikon oikeassa kulmassa:
VPN-liikennettä ei kulje? (Aliverkot ja protokollat)
Tämä on nopea vinkki ongelmaan, jota usein esiintyy VPN:ssä: Monet asiakkaamme ilmoittavat meille, että VPN-tunneli, olipa se Site-To-Site tai Client-To-Site, yhdistää täydellisesti, mutta liikennettä ei ole tulee läpi - miksi se on niin? Usein tähän on kaksi eri syytä
- Aliverkot on asetettu väärin
- Internet-palveluntarjoaja estää protokollia
#1 - Aliverkot on asetettu väärin
Kuvittele, että sinulla on kaksi sivustoa, jotka haluat yhdistää, ja molemmilla sivustoilla on sama IP-alue, oletetaan vain 192.168.1.X, kuten alla näytetään:
Usein asiakkaat ilmoittavat, että VPN itse asiassa muodostaa yhteyden ja muodostuu, mutta he eivät saa liikennettä VPN:n kautta, joten he eivät voi muodostaa yhteyttä tietokoneesta palvelimeen - mitä tässä tapahtuu?
Asia on, että kun luomme käyttöliittymän USG:lle, luomme suoran reitin . Suora reitti lähteestä riippumattomasti sijoittaa liikenteen, joka haluaa mennä IP-osoitteeseen, joka sopii yhteen palomuurin rajapinnan aliverkoista vastaavaan rajapintaan. Toisin sanoen: kun LAN1 on USG #1:ssä 192.168.1.1:llä, aina kun haluamme saavuttaa 192.168.1.200 (palvelimen IP), meidät lähetetään aina yhdyskäytävämme saavuttaessa takaisin USG #1:n LAN1-aliverkkoon suora reitti. Tältä se näyttää:
Voit lukea säännön seuraavasti: "Lähdettä katsomatta, jos kohde vastaa LAN1:n liitäntää, työnnä se ulos LAN1:een", joten yhteys PC:ltä palvelimelle ei koskaan saavuta neljättä reitityslohkoa "Site-2 -Site VPN", joten reititysalgoritmi ei voi koskaan käsitellä sitä työnnettäväksi VPN:ään. Selkeä oppiminen tästä on: varmista, ettet koskaan käytä päällekkäisiä aliverkkoja!
Ja jos teet niin, katso tämä opetusohjelma: SNATin määrittäminen VPN-tunneliin
2# - Internet-palveluntarjoaja estää protokollia
Voi johtua siitä, että VPN-yhteytesi muodostaminen, muttei läpi kulkevaa liikennettä, johtuu yksinkertaisesti siitä, että Internet-palveluntarjoajasi ei estä portteja vaan protokollia. Joten VPN voi muodostaa portin 500 UDP, 4500 UDP ja/tai 1701 UDP, jotka ovat vastuussa kättelyn vaihtamisesta tunnelin yhdistämiseksi toisiinsa, mutta VPN-tunnelin tietojen kapseloimiseen käytetty protokolla, ESP - tunnetaan myös protokollana. 50 - on estetty. Jos et koske sinua, voit selvittää sen komentorivillä: enter
packet-trace interface wan1 ip-proto esp
ja käynnistä VPN-yhteys (Vinkki: varmista, että ylimääräistä tunnelia ei ole auki eikä tunnelin läpi kulje liikennettä, jota asiakkaasi odottaa. Käynnistä sitten ping LAN-yhdyskäytävän etä-IP-osoitteeseen. Jos näet paketteja sammuvan, mutta Jos et palaa WAN-liittymään, se on melko vankka osoitus siitä, että Internet-palveluntarjoajasi tekee jotain väärin - siinä tapauksessa ota yhteyttä heihin.
Nimeämisellä on väliä! Järjestä esineesi hyvin!
USG FLEX/ATP/VPN-sarjamme erillisinä tuovat mukanaan upean valikkorakenteen ja asettelun. Yksi laitteidemme tärkeimmistä eduista on uskomaton joustavuus muuttaa ja muokata asetuksia tarpeidesi mukaan. Tästä on kuitenkin maksettava hinta - sinun on pidettävä nimeämisesi järjestyksessä!
Nyt, koska on olemassa monia yksilöllisiä lähestymistapoja sen tekemiseen, näytämme yksinkertaisesti, kuinka jotkut kollegamme tekevät sen. Antaaksesi pienen esimerkin, siirry ensin kohtaan
Configuration > Object > Service
ja paina "Lisää" -painiketta luodaksesi uuden merkinnän:
Koska palvelun nimen on aloitettava kirjaimella, mutta enimmäkseen määrittelemme palveluja spektrin ulkopuolella, voisimme aloittaa nimen jollain yleisellä nimellä "Port", jota seuraa Port numero. Loppujen lopuksi saatamme lisätä myös protokollan, koska voi olla, että eri ajankohtana vastaavaa UDP Port voidaan käyttää eri sovelluksessa.
Jos haluat, voit myös parantaa tätä järjestelmää lisäämällä lyhyen avainsanan palvelusta:
Samanlaista lähestymistapaa suositellaan kaikille muille objekteille, erityisesti osoitteille - varmista, että järjestät ja ymmärrät rakentamasi järjestelmän ja ylläpidät sitä johdonmukaisuuden vuoksi.
Laiteohjelmistopäivitykset - älä koskaan muuta käynnissä olevaa järjestelmää!
Se, mikä saattaa aluksi kuulostaa suositukselta pysyä nykyisen laiteohjelmiston kanssa (se ei ole sitä!), on sanaleikki, mutta selitetään tarkemmin. Suojauspalomuurissamme on kaksi Boot-Up/Firmware-osiota:
Jokaisella osiolla on oma tietokanta, joka koostuu myös kahdesta eri kokoonpanotietokannasta - se on tärkeää tietää, koska jos aiot ottaa käyttöön uuden laiteohjelmiston, saatat haluta asettaa laiteohjelmiston valmiustilaan "varmuuden vuoksi jotain tapahtuu, voin palata Juoksuun ja olla taas kunnossa." - monet asiakkaamme ajattelevat juuri näin. Mutta siinä on virhe: joka kerta kun muutat osiota, nykyinen kokoonpanosi todellakin yritetään tuoda ja soveltaa toiseen osioon. Se voi mennä hyvin useimmissa tapauksissa. Jos kuitenkin jollakin tavalla havaitaan ongelma nykyisessä kokoonpanossa - mikä voi tapahtua, jos päivität erittäin vanhasta laiteohjelmistosta uusimpaan ilman välivaiheita - voi olla, että USG bugit ja käynnistyy uudelleen ja yrittää prosessia uudelleen. . Kuitenkin, jotta laite ei joutuisi ikuiseen käynnistyssilmukkaan, laite palaa järjestelmän oletuskokoonpanoon kolmen yrityksen jälkeen!
Jos olet nyt tilanteessa, jossa olet etäyhteydessä USG:hen useiden 100 kilometrin matkan ja laite on törmännyt itsekseen tällä tavalla, kannattaa olla paikalla joku, joka voi auttaa tai valmistautua pitkälle matkalle paikan päällä.
Sinun on paljon parempi korvata käynnissä oleva osio , koska vain jos jotain odottamatonta tapahtuu (kuten käyttöönottovirhe tai vastaava), siinä voi olla ongelma - useimmissa tapauksissa se vain toimii täydellisesti päivittämällä laiteohjelmiston jo melko laitteesta. uusin laiteohjelmisto käynnissä olevassa osiossa.
Varmuuskopioi kokoonpanosi - heti! Ei, älä kopioi sitä reitittimeen, vaan tallenna se tietokoneellesi!
Toinen vakavan suosituksen otsikko: Varmuuskopioi asetustiedostosi säännöllisesti. Älä myöskään tee varmuuskopiointia vain itse laitteelle (mikä on jo hyvä askel oikeaan suuntaan), vaan lataa se tietokoneelle
Maintenance > File Manager > Configuration File
ja valitse startup-config.conf ja paina Download -painiketta:
Nyt voit löytää ladatun .conf-tiedoston, joka voidaan avata Notepadilla tai Notepad++:lla:
Tämän tyyppinen säännöllinen synkronointi auttaa sinua lyhentämään huomattavasti seisokkeja, kun sitä todella tarvitaan - ongelmatilanteessa.
On monia muita vihjeitä ja temppuja, joita voidaan lopulta lisätä tulevaisuudessa, mutta tämä antaa sinulle hyvän alun toivottavasti hyödyllisille tiedoille.
VASTUUVAPAUSLAUSEKE:
Hyvä asiakas, huomaa, että käytämme konekäännöstä toimittaaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää oikein. Jos käännetyn version tietojen oikeellisuudesta on kysymyksiä tai ristiriitaisuuksia, tarkista alkuperäinen artikkeli tästä: Alkuperäinen versio