Dans cet article, nous souhaitons vous donner un aperçu d'une pléthore de conseils sur les meilleures pratiques, d'approfondissements plus courts en termes de débogage, d'analyse et d'autres remarques intéressantes concernant nos produits Firewall pour en tirer le meilleur parti.
L'interface de ligne de commande
Au cas où vous ne le sauriez pas, nos appareils ont une interface de ligne de commande à laquelle vous pouvez accéder via SSH ou un câble de console : Accédez à l'interface de ligne de commande de votre appareil Zyxel (SSH via puTTY et console via TeraTerm)
Mais saviez-vous que vous pouvez même accéder à la CLI depuis votre navigateur Web ? Cliquez sur l'icône de la console Web dans le coin droit du menu de votre USG FLEX :
Aucun trafic VPN ne passe ? (Sous-réseau et protocoles)
Ceci est une astuce rapide pour un problème qui se produit souvent sur VPN : Beaucoup de nos clients nous signalent que le tunnel VPN, que ce soit Site-To-Site ou Client-To-Site, se connecte parfaitement, mais il n'y a pas de trafic venir à travers - pourquoi est-ce ainsi? Souvent, il y a deux raisons différentes à cela
- Les sous-réseaux sont mal configurés
- Le FAI bloque les protocoles
#1 - Les sous-réseaux sont mal configurés
Imaginez que vous ayez deux sites que vous souhaitez interconnecter et que les deux sites aient la même plage IP, supposons simplement 192.168.1.X, comme indiqué ci-dessous :
Souvent, les clients signaleront que le VPN se connecte et s'accumule, mais qu'ils ne reçoivent pas de trafic via le VPN, ne pouvant donc pas se connecter du PC au serveur - que se passe-t-il ici ?
Le fait est que lors de la création d'une interface sur l'USG, nous créons une route directe . Une route directe, indépendamment de la source, place un trafic destiné à aller vers une adresse IP qui correspond à l'un des sous-réseaux d'interface du pare-feu sur l'interface respective. En d'autres termes : en ayant LAN1 sur l'USG #1 avec 192.168.1.1, chaque fois que nous voulons atteindre 192.168.1.200 (l'IP des serveurs), nous serons toujours renvoyés en atteignant notre passerelle dans le sous-réseau LAN1 de l'USG #1 via le route directe. Voici à quoi cela ressemble :
Vous pouvez lire la règle comme suit : "Sans regarder la source, si la destination correspond à l'interface de LAN1, poussez-la simplement vers LAN1", de sorte que la connexion du PC au serveur n'atteindra jamais le quatrième bloc de routage "Site-2 -Site VPN" et ne peut donc jamais être traité par l'algorithme de routage pour être poussé dans le VPN. L'apprentissage clair est le suivant : assurez-vous de ne jamais avoir de sous-réseaux qui se chevauchent !
Et si vous le faites, consultez ce tutoriel : Comment configurer SNAT dans un tunnel VPN
2# - Le FAI bloque les protocoles
Il se peut que la raison pour laquelle votre VPN se connecte, mais aucun trafic ne passe, est simplement parce que votre FAI ne bloque aucun port, mais des protocoles. Ainsi, le VPN peut établir via le port 500 UDP, 4500 UDP et/ou 1701 UDP, qui sont chargés d'échanger la poignée de main pour connecter le tunnel les uns aux autres, mais le protocole utilisé pour encapsuler les données du tunnel VPN, ESP - également connu sous le nom de protocole 50 - est bloqué. Si vous n'êtes pas concerné, vous pouvez le découvrir via la ligne de commande : entrez
packet-trace interface wan1 ip-proto esp
et déclenchez une connexion VPN (Conseil : assurez-vous qu'aucun tunnel supplémentaire n'est ouvert et qu'aucun trafic ne traverse le tunnel, à l'exception de votre client. Ensuite, déclenchez un ping vers l'adresse IP de la passerelle LAN distante. Si vous voyez des paquets sortir, mais ne revenant pas à votre interface WAN, c'est un indicateur assez solide que votre FAI fait quelque chose de mal - dans ce cas, entrez en contact avec eux.
Le nom, ça compte ! Organisez bien vos objets !
Notre série USG FLEX/ATP/VPN en standalone apporte une excellente structure et mise en page de menu avec eux. L'un des principaux avantages de nos appareils est l'incroyable flexibilité de tordre et d'ajuster les paramètres selon vos besoins. Cependant, cela a un prix à payer - vous devez garder votre nom organisé !
Maintenant, puisqu'il existe de nombreuses approches individuelles sur la façon de le faire, nous allons simplement montrer comment certains de nos collègues le font. Pour vous donner un petit exemple, tout d'abord, accédez à
Configuration > Object > Service
et appuyez sur le bouton "Ajouter" pour créer une nouvelle entrée :
Étant donné que le nom d'un service doit commencer par une lettre, mais que nous définissons principalement des services en dehors du spectre, nous pourrions commencer le nom par quelque chose de générique comme "Port", suivi du numéro Port. En fin de compte, nous pourrions également ajouter le protocole, car il se peut qu'à un moment différent, l'UDP correspondant Port puisse être utilisé par une application différente.
Si vous le souhaitez, vous pouvez également améliorer ce système en ajoutant un mot-clé court sur l'objet du service :
Une approche similaire est recommandée pour tous les autres objets, en particulier les adresses - assurez-vous d'organiser et de comprendre le système que vous avez construit et de le maintenir pour des raisons de cohérence.
Mises à jour du micrologiciel - ne changez jamais un système en cours d'exécution !
Ce qui peut sembler à première vue une recommandation de rester avec votre firmware actuel (ce n'est pas le cas !) Nos pare-feux de sécurité ont deux partitions Boot-Up/Firmware :
Chaque partition a sa propre base de données, composée également de deux bases de données de configuration individuelles l'une à l'autre - c'est important à savoir, car si vous souhaitez appliquer un nouveau micrologiciel, vous voudrez peut-être avoir tendance à définir le micrologiciel sur la partition de secours, "juste au cas où quelque chose se passe, je peux revenir à la course à pied et tout ira bien à nouveau. " - beaucoup de nos clients pensent exactement de cette façon. Mais il y a une erreur : à chaque fois que vous changez de partition, votre configuration actuelle sera en effet tentée d'être transférée et appliquée à l'autre partition. Cela pourrait bien se passer dans la plupart des cas. Cependant, s'il y a d'une manière ou d'une autre un problème avec la configuration actuelle - ce qui peut arriver si vous passez d'un très ancien micrologiciel au dernier sans aucune étape entre les deux - il se peut que l'USG se déclenche et se redémarre et réessaye le processus . Cependant, pour ne pas tomber dans une boucle de démarrage éternelle, après 3 tentatives, l'appareil reviendra à la configuration par défaut du système !
Si vous êtes maintenant dans une situation où vous êtes connecté à distance à l'USG sur plusieurs kilomètres 100 et que l'appareil s'est écrasé de cette manière, il vaut mieux avoir quelqu'un sur place qui peut vous aider ou être préparé pour un long voyage sur place.
Vous feriez bien mieux d'écraser la partition en cours d'exécution , car ce n'est que si quelque chose d'inattendu se produit (comme un bogue de déploiement ou similaire), il pourrait y avoir un problème - dans la plupart des cas, il fonctionnera parfaitement en mettant à niveau le micrologiciel à partir d'un déjà assez firmware récent sur la partition en cours d'exécution.
Sauvegardez votre configuration - dès maintenant ! Non, ne le copiez pas sur le routeur, enregistrez-le sur votre PC !
Un autre titre ironique pour une recommandation sérieuse : Sauvegardez régulièrement votre fichier de configuration. En outre, effectuez la sauvegarde non seulement sur l'appareil lui-même (ce qui est déjà un bon pas dans la bonne direction, mais téléchargez-le en fait sur l'ordinateur via
Maintenance > File Manager > Configuration File
et en sélectionnant le fichier startup-config.conf et en appuyant sur le bouton Télécharger :
Vous pouvez maintenant trouver le fichier .conf téléchargé, qui peut être ouvert via Notepad ou Notepad++ :
Avoir une synchronisation régulière de ce type vous aide à réduire considérablement les temps d'arrêt lorsqu'ils sont vraiment nécessaires - dans une situation problématique.
Il existe de nombreux autres trucs et astuces qui seront éventuellement ajoutés à l'avenir, mais cela vous donne un bon départ pour des informations, espérons-le, utiles.
AVERTISSEMENT:
Cher client, sachez que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Tous les textes peuvent ne pas être traduits avec précision. S'il y a des questions ou des divergences sur l'exactitude des informations dans la version traduite, veuillez consulter l'article original ici : Version originale