Avis important : |
Cet article montre comment résoudre les problèmes de conversion de configuration lorsque vous voulez convertir un fichier de configuration manuellement. Il vous montrera comment résoudre les problèmes lorsque le fichier de configuration ne peut pas être appliqué, et la meilleure façon de convertir votre configuration d'un ancien appareil vers un nouvel appareil via l'outil de conversion, ou manuellement.
Avertissement ! Cet article offre une vue d'ensemble de la série et peut ne pas s'appliquer uniformément à tous les modèles et à toutes les versions de logiciel/firmware. Avant d'acheter ou d'utiliser l'appareil, veuillez consulter la documentation spécifique au modèle/à la version ou contacter le support technique pour obtenir des informations précises.
Remarque ! La nouvelle configuration de conversion ne bénéficie que d'un soutien limité de la part de l'équipe d'assistance, car nous ne prenons officiellement en charge que les conversions effectuées à l'aide de l'outil de conversion.Il existe cependant des moyens de convertir manuellement la configuration vous-même, mais nous ne pouvons pas vous aider à cet égard.
Table des matières
1) Comment fonctionne la configuration
1.1 Application de la configuration
2) Préparer la conversion de la configuration
2.1 Télécharger les fichiers de configuration
2.2 Utiliser l'outil de conversion
2.3 Télécharger le nouveau fichier de configuration converti
3) Chemins d'accès pour la conversion de la configuration
Chemin 1 : Conversion vers une série de pare-feu différente mais équivalente
Voie 2 : Conversion vers un autre pare-feu
Voie 3 : Copier/coller manuellement la configuration
Voie 3.1 : Télécharger Notepad++
Chemin 3.2 : Installer le plugin "Compare".
Chemin 3.3 : Ouvrez les deux fichiers de configuration et lancez l'outil de comparaison.
4.1 Exemples à copier/coller
4.2 Ce qu'il ne faut pas copier/coller
5) Résolution des problèmes
1) Fonctionnement de la configuration
1.1 Application de la configuration
Le fichier de configuration, lorsqu'il est appliqué, entre toutes les commandes du fichier de configuration, par exemple
interface EXTERNAL_pppou ;
dyn_repppp_1ou ;
dyn_repppp_2De cette manière, le pare-feu peut compiler et appliquer la configuration au nouveau dispositif
1.2 Séparation des commandes
Les commandes sont séparées par des " !" pour distinguer la configuration.
Assurez-vous que vous avez bien séparé la configuration par des " !" et qu'il n' y a pas d'espace avant ou après les symboles " !". Dans le cas contraire, l'application de configuration échouera.
1.3 Copier la configuration
Lorsque vous copiez et collez manuellement un fichier de configuration, essayez de trouver des similitudes entre le début et la fin de certaines sections de configuration. Vous pouvez également voir les champs verts dans Notepad++ pour voir quelle nouvelle configuration ne se trouve pas dans le fichier de configuration actuel.
Par exemple, dans l'ancienne configuration de l'USG310, nous pouvons voir que la configuration VPN se termine par
vpn-configuration-provision authentication default
Par conséquent, nous pouvons copier la configuration VPN jusqu'à ce que nous voyions cette ligne de commande
Puis la copier dans la nouvelle configuration où l'on peut voir cette ligne de commande
2) Préparer la conversion de la configuration
2.1 Télécharger les fichiers de configuration
Naviguer vers
Maintenance -> File Manager -> Configuration File > Configuration
Téléchargez le dernier fichier "startup-config.conf" en sélectionnant le fichier et en cliquant sur "download", ou regardez "last modified" pour voir quel est le dernier fichier de configuration.
2.2 Utiliser l'outil de conversion
a) Entrez https://convert.cloud.zyxel.com/
b) Choisissez l'appareil le plus similaire à votre nouvel appareil
Consultez cet article pour plus d'informations : Convertisseur de configuration
Si vous avez un USG FLEX 500 ou un ATP700, vous pouvez choisir de convertir vers l'ATP500 (pour l'USG FLEX 500) et l'USG FLEX 700 (pour l'ATP700) parce que le nombre de ports physiques est le même pour l'USG FLEX 500 et l'ATP500, ainsi que pour l'USG FLEX 700 et l'ATP700.
2.3 Télécharger le nouveau fichier de configuration converti
Naviguez d'abord vers :
Maintenance -> File Manager -> Configuration File -> Configuration
Puis téléchargez votre fichier de configuration en cliquant sur "Parcourir..."
Sélectionnez ensuite le fichier de configuration nouvellement téléchargé en cliquant dessus avec le bouton gauche de la souris, puis cliquez sur "Appliquer".
Choisissez d'arrêter immédiatement l'application du fichier de configuration et de revenir à la configuration précédente.
3) Chemins vers la conversion de la configuration
Lorsque vous souhaitez convertir la configuration manuellement, il y a plusieurs façons de procéder en fonction du modèle de pare-feu que vous possédez et du modèle que vous avez acheté en tant que nouveau dispositif.
Pour USG310 (Zywall310), vous pouvez choisir de convertir en VPN300, USG FLEX 700.
Mais vous pouvez aussi choisir USG310 qui vous donne l'option de convertir votre fichier de configuration en ATP500 :
Voie 1 : Convertir vers une autre série de firewall mais le firewall équivalent.
Si vous avez un Zywall310 et que vous souhaitez convertir ce fichier en USG FLEX 500, vous pouvez convertir votre fichier de configuration Zywall310 de la forme
USG310 -> ATP500
Comme l'USG FLEX 500 et l'ATP500 ont la même structure de configuration (ports physiques / structure du fichier de configuration), la conversion sera facile.
Pour inciter le convertisseur à convertir votre Zywall310 d'un USG310, supprimez ces deux lignes dans le fichier de configuration :
Ensuite, si vous voulez télécharger le nouveau fichier de configuration ATP500 vers votre nouveau USG FLEX 500, vous devez modifier quelques éléments :
Tout d'abord, le modèle doit être changé d'ATP500 à USG FLEX 500, et la version du firmware n'est probablement pas 4.60. Vous pouvez donc essayer de supprimer ces deux lignes ou de changer le modèle en "USG FLEX 500" et de supprimer la ligne de la version du firmware.
Ensuite, téléchargez le nouveau fichier converti et sauvegardé (sans le modèle ni la version du micrologiciel) sur le nouveau dispositif.
Voie 2 : Convertir vers un autre pare-feu
Disons que nous avons la configuration du Zywall310 et que nous voulons convertir notre configuration en USG FLEX 100.
Étape 1) Conversion vers la série de pare-feu la plus proche
Zywall310(USG310)/ATP500 a une structure d'interface différente de USG FLEX 100 parce que vous avez des ports (ge1, ge2, ge3 etc.) au lieu de choisir lan1 et de l'assigner à un port ou à un certain nombre de ports. Nous devons donc effectuer un travail manuel.
Ainsi, parce que l'USG FLEX 100 a 6 ports et que le Zywall310 en a 8, nous devons supprimer ge7 et ge3. Nous devons supprimer ge7 et ge8 ainsi que toutes les références à ge7 et ge 8 en recherchant dans le fichier de configuration " ge7 " puis " ge8 "
Exemples d'endroits où supprimer la configuration de mappage ge7 et ge8 :
Après avoir supprimé toutes les références des ports qui n'existent pas sur l'USG FLEX 100, téléchargez le nouveau fichier de configuration que vous avez créé et appliquez la configuration.
Voie 3 : Copier/coller manuellement la configuration
Voie 3.1 : Télécharger Notepad++
Rendez-vous sur https://notepad-plus-plus.org/downloads/ et téléchargez et installez la dernière version de Notepad++.
Chemin 3.2 : Installer le plugin "Compare
Naviguez vers
Plugins -> Plugins Admin
Recherchez ensuite compare et cliquez sur "install" pour installer l'outil de comparaison.
Chemin 3.3 : Ouvrez les deux fichiers de configuration et lancez l'outil de comparaison.
Ouvrez les deux fichiers de configuration (de l'ancien USG310 et du nouveau USG FLEX 700).
Champs blancs = même configuration sur les deux
Champsrouges = n'existe pas dans l'autre fichier de configuration
Champsverts = nouvelles choses qui doivent être copiées dans l'autre fichier de configuration
4.1 Exemples de copier/coller
1. Interface Ethernet + VLAN
2. Configuration utilisateur/administrateur
3. Paramètres VPN
4. Zones
5. DNS & Domain Zone Forwarder
6. NAT (serveur virtuel et NAT)
7. Politique de sécurité (règles de pare-feu)
8. Routes politiques
4.2 Ce qu'il ne faut pas copier/coller
Fonctions UTM
La patrouille d'application, comme vous pouvez le voir ci-dessous, est une syntaxe différente pour les anciens et les nouveaux firewalls.
Certificats
Les certificats sont propres aux pare-feux et ne peuvent être trouvés dans le fichier de configuration. Cependant, ils seront toujours référencés dans le fichier de configuration. Il peut donc être utile de connaître les références qui s'y trouvent. Recherchez les références "cert" dans le document du fichier de configuration.
Une fois la copie terminée, exécutez à nouveau la fonction de comparaison et vous verrez plus clairement ce qui a été copié et ce qui ne l'a pas été.
5) Dépannage
Cette section présente des explications sur la manière de résoudre les problèmes, puis des exemples d'erreurs susceptibles de se produire et la manière de les résoudre.
Lorsque vous téléchargez un nouveau fichier de configuration vers le nouveau pare-feu, vous devrez probablement le dépanner car le téléchargement échouera. Chaque fois que vous rencontrerez cet écran :
Naviguez jusqu'à
Monitor -> Logs
Sous Filtre, vous pouvez filtrer les journaux sur "Gestionnaire de fichiers" pour voir tous les enregistrements liés au téléchargement de la configuration.
5.1 AVERTISSEMENT ou ERREUR
Vous devez rechercher les messages d'ERREUR qui s'affichent en rouge. Sachez que les messages d'AVERTISSEMENT n'ont rien d'inquiétant et sont tout à fait normaux.
En cas d'échec, corrigez l'erreur et supprimez la configuration que vous venez de télécharger, puis téléchargez à nouveau la nouvelle configuration.
5.2 Erreur de cryptage
Si vous obtenez un message d'erreur indiquant que les données sont cryptées, il se peut que vous deviez supprimer tous les comptes d'utilisateur (+ les mots de passe) parce que le cryptage des mots de passe ne peut pas être converti par le nouvel appareil.
5.3 Exemples d'erreurs
Erreur n° 1
Cette erreur indique que "l'objet AAA associé n'existe pas", ce qui signifie que quelque chose dans la configuration AD ne correspond pas à cette référence.
Solution #1
Nous avons pu voir que les utilisateurs VPN SSL faisaient référence à la configuration AD, alors que la configuration AD a été supprimée avant la conversion, parce qu'elle n'était plus utilisée. La solution a donc été de supprimer les utilisateurs VPN SSL dans la configuration et de télécharger à nouveau le fichier de configuration.
Erreur n°2
Ici, le compte configure terminal PPPoE GE14 n'a pas pu être configuré. Nous devons donc rechercher (ctrl+f) dans le fichier de configuration la commande GE14 que le pare-feu tente d'exécuter.
Solution #2
Ici, l'échec est dû au fait que nous avons oublié de séparer les commandes "account pppoe" et "ip dhcp pool". Il faut donc ajouter un " !" entre les deux commandes.
Erreur #3
Nous avons vu une erreur "configure terminal interface_ether ge \x09\x09\x09\x09[...]", et lorsque nous recherchons "interface_ether", nous ne trouvons rien dans le fichier de configuration. Nous avons donc commencé à rechercher les interfaces dans le fichier de configuration.
Solution #3
Après avoir revérifié la configuration de l'interface, nous avons pu constater qu'il s'agissait d'un objet d'adresse dupliqué sur les interfaces ge que nous avons supprimées. L'objet adresse dupliqué ne peut donc pas fonctionner car le nom LAN_SUBNET_GE4 est déjà utilisé.
Erreur #4
Nous avons pu constater que l'objet adresse RFC1918_2 n'a pas pu être créé et exécuté.
Solution #4
Après quelques essais et erreurs, nous avons découvert que l'adresse des objets se trouvait au mauvais endroit dans le fichier de configuration, et qu'elle avait été changée entre l'adresse de l'objet et l'adresse du groupe d'objets.
Erreur n°5
Nous avons eu un problème avec l'objet de service qui n'a pas pu être créé.
Solution #5
Lorsque nous avons supprimé ces deux objets de service Any_UDP et Any_TCP, nous avons constaté que le troisième objet de service ne pouvait pas être créé, ce qui montre qu'aucun des objets de service n'a pu être créé.
La solution consistait à vérifier s'il pouvait y avoir un "espace" avant ou après le " !" entre l'objet address6 et l'objet service.