Notre pare-feu USG FLEX peut être géré et approvisionné par Nebula Control Center (NCC) à partir du firmware ZLD5.00. La série ATP peut être gérée dans le NCC à partir du firmware ZLD5.10. Ce guide montre comment ajouter le dispositif sur Nebula à l'aide du processus ZTP et préconfigurer les paramètres du pare-feu sur Nebula, avant de livrer le dispositif pour l'installation sur site. Cet article montre comment enregistrer votre pare-feu dans Nebula. Il est divisé en différentes sections, veuillez donc naviguer vers la section qui vous convient dans la table des matières.
Remarque : le mode ZTP n'est pas disponible à partir de la version 5.37 patch 1, vous devez donc déployer le dispositif dans Nebula en utilisant le mode natif. Voici les modèles concernés. Série ATP : ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Série USG FLEX : USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Pourquoi ne puis-je pas utiliser ZTP ou le mode natif pour déployer mon pare-feu sur Nebula ?

Si vous rencontrez des difficultés pour ajouter votre dispositif au Nebula, cela peut indiquer que votre dispositif a été fabriqué avant la fin de l'année 2023 et qu'il doit être soumis au processus Zero Touch Provisioning (ZTP). Pour continuer, suivez les étapes suivantes:

• Mettez à niveau le micrologiciel de votre appareil
• Suivez la procédure ZTP comme il se doit.
• Une fois l'ajout réussi, mettez à jour l'appareil avec la dernière version du micrologiciel.

Comment enregistrer votre pare-feu dans Nebula (Vidéos)

Note : Votre appareil doit être réinitialisé à sa valeur par défaut afin de le connecter à Nebula, perdant ainsi tous les paramètres précédents qui auraient pu être configurés. Une fois connecté à Nebula, l'appareil sera configuré automatiquement avec les paramètres par défaut de Nebula. Veuillez également noter qu'il existe certaines limitations et que les fonctionnalités suivantes ne sont pas encore disponibles en mode cloud pour l'USG FLEX :

• Device HA
• Sécurité du courrier électronique (anti-spam)
• Inspection SSL
• Routage dynamique (RIP, OSPF, BGP)
• Fonctionnalités IPv6 associées
• Contrôleur AP (le centre de contrôle Nebula devrait être utilisé comme contrôleur AP)
• Service Hotspot (Nebula Control Center supporte déjà les services Hotspot tels que Voucher, Walled garden)

Licence d'utilisation

• Licence de votre USG FLEX dans le centre de contrôle Nebula

Si votre USG Flex est livré avec une licence groupée, vous bénéficierez automatiquement d'un pack professionnel Nebula d'une durée d'un an pour votre appareil. La licence de service UTM sera reportée de manière transparente sur Nebula, quelle que soit sa durée restante.

Si votre USG n'est pas livré avec une licence groupée, vous bénéficierez toujours de la période d'essai de 30 jours pour vos services UTM. Les services Nebula PRO Pack incluent également une période d'essai de 30 jours automatiquement lors de la création de votre organisation.

La période d'essai de la licence s'applique également à votre appareil avec une licence groupée.

• Migrer ma licence NSG existante (NSS) vers USG FLEX (UTM)

Afin de migrer la licence de votre NSG vers l'USG FLEX sur le cloud, le tableau de correspondance suivant s'applique. Par exemple, le NSG 100 ne peut migrer sa licence que vers l'USG FLEX 200 et ne peut pas migrer sa licence vers d'autres modèles USG FLEX.

Dans le cas où votre USG FLEX 100 possède déjà une licence d'un an, après avoir migré la licence restante du NSG50 (Ex. : 6 mois) vers l'USG FLEX 100, ce dernier se retrouve avec une licence d'un an et demi à utiliser.

Veuillez faire une demande de support, et notre équipe se fera un plaisir de vous aider à résoudre votre problème de migration de licence en priorité.

Choisir le mode Nebula via l'interface web

Une fois que votre appareil fonctionne sous la version 5.10 et qu'il utilise les paramètres d'usine par défaut, lorsque vous essayez de vous connecter au configurateur Web pour la première fois, une mise à jour du mot de passe par défaut de l'administrateur ("1234") sera nécessaire.

• Mode Nebula

Sélectionnez le mode Nebula pour gérer votre appareil Zyxel à l'aide du centre de contrôle Nebula (NCC). Le NCC est un système de gestion de réseau basé sur le cloud qui vous permet de gérer et de surveiller votre appareil Zyxel à distance.

Suivez l'assistant du mode Nebula pour configurer les paramètres WAN afin de transmettre la gestion de votre appareil Zyxel au NCC.

Une fois que le mode de gestion et le WAN de l'appareil sont configurés pour permettre l'accès à Internet, vous pouvez passer à Nebula pour la suite de la configuration. Vous trouverez plus d'informations dans la section "Nebula mode natif".

• Migrer à distance du mode sur site vers le mode Nebula

Même si vous avez des paramètres IP statiques ou des paramètres d'usine par défaut, vous pouvez basculer votre solution de gestion sur site en mode Nebula Cloud à distance à l'aide de l'interface graphique Web. Notez que l'appareil sera réinitialisé en usine et que les configurations seront perdues. Pour la phase 13 de Nebula, il n'est plus nécessaire de se rendre sur site pour réinitialiser l'appareil avant de migrer vers Nebula. Vous pouvez désormais le faire à distance.

Les conditions requises pour migrer à distance vers Nebula sont les suivantes : le pare-feu doit être dans Nebula :

• Doit être en mode natif Nebula, ce qui signifie qu'il doit contenir le certificat ZTP.
• L'appareil doit être en ligne (accès WAN (internet) nécessaire).

Note : Si vous avez l'appareil en mode sur site, vous pouvez sauter l'étape "Nebula mode natif".

• Créer une organisation et un site

Si vous n'avez pas encore créé une organisation et un site Nebula, veuillez suivre le lien de l'article. Une fois cette étape franchie, nous pourrons procéder à l'enregistrement.
Nebula [Site/Organisation] - Comment créer/supprimer une organisation et un site dans le Centre de Contrôle Nebula ?

Configurer le Firewall dans le portail Nebula

Avant de procéder à ces étapes, veuillez vous munir de la topologie du réseau, des paramètres du pare-feu et de la configuration du réseau étendu (WAN). Ces informations vous permettront de préconfigurer les paramètres du pare-feu avant qu'il ne soit activé dans Nebula. Le pare-feu synchronisera automatiquement cette configuration lorsqu'il se connectera à Nebula. Lors de la création du site, vous pouvez spécifier le modèle de votre firewall sans l'ajouter. Cela permet de préconfigurer certains paramètres avant d'ajouter le dispositif lui-même.

• Paramètres du groupe de ports

Site-wide -> Configure -> Firewall -> Port

• Pour configurer les groupes de ports WAN/LAN ou ajouter des groupes WAN/LAN en fonction de votre scénario.

• Сonfigurer les paramètres WAN si vous avez une IP statique

Site-wide -> Configure -> Firewall - interfaces

• pour modifier les adresses IP de l'interface WAN/LAN en fonction de votre scénario.

Enregistrez le pare-feu et choisissez la méthode de déploiement

Mode manuel

Go to Site-wide -> License & Inventory

Entrez dans la page du dispositif et cliquez sur "Ajouter" pour enregistrer le pare-feu. Vous pouvez enregistrer plusieurs dispositifs en saisissant l'adresse MAC et le numéro de série

Ensuite, vous pouvez assigner l'appareil au site approprié. Vous pouvez avoir plusieurs dispositifs dans une organisation, à partir d'ici vous pouvez sélectionner un dispositif spécifique et l'assigner au site correspondant :

Une fenêtre contextuelle s'affiche pour vous permettre de sélectionner la méthode de déploiement de l'appareil.

Mode de mise à disposition sans contact

Pour la première fois que l'appareil est enrôlé sur Nebula, le mode Zero Touch Provision doit être utilisé car l'appareil a besoin du processus ZTP pour devenir compatible avec le cloud. Aller à Exécuter le processus ZTP

Le mode natif Nebula

Lorsque vous enregistrez pour la première fois votre appareil dans Nebula, vous devez vous assurer que vous disposez du certificat ZTP sur votre appareil. Sur tous les appareils, le pare-feu doit d'abord passer par le processus ZTP une fois. Sur les appareils plus récents, le certificat ZTP peut déjà se trouver dans le pare-feu (veuillez vérifier si vous avez le certificat ZTP ici - si vous n'avez pas le certificat ZTP, vous devez passer par le processus ZTP et vous ne pouvez pas utiliser le mode natif pour mettre le pare-feu en ligne).

• Réinitialiser le dispositif à la configuration par défaut

Lorsque vous souhaitez migrer du mode autonome vers Nebula, vous devez d'abord réinitialiser l'appareil à l'aide du bouton RESET situé à l'avant de l'appareil (en le maintenant enfoncé pendant 15 secondes). Si, au cours du processus, vous modifiez le moindre paramètre (par exemple, le mot de passe administrateur), la migration ne réussira pas.

• Vérifiez si vous disposez d'un DHCP ou d'une IP statique sur le réseau WAN

Si vous disposez d'une IP statique sur votre WAN, vous devez vous connecter à l'appareil via l'interface Web, choisir le mode Nebula et saisir les informations IP nécessaires à l'établissement d'une connexion :

Si vous disposez d'une IP statique sur le WAN, suivez l'assistant ci-dessous et, une fois que vous avez terminé, passez à l'étape 2 - enregistrer l'appareil :

• Choisissez le mode natif

Connectez votre port WAN au port indiqué sur l'image (dans cet exemple P2) et le LAN au port indiqué (dans cet exemple P4) - Note : Rien d'autre ne doit être connecté.

• Vous devriez voir qu'il attend que le périphérique se connecte à Nebula (sous Périphériques -> Pare-feu):

Le pare-feu devrait maintenant redémarrer rapidement et après le redémarrage, l'appareil devrait être en ligne dans les 20 minutes.

Résolution des problèmes - "Waiting device connected" [Vérification du certificat ZTP].

Si votre appareil est bloqué en mode natif "Waiting for a device connected" - vous devez vérifier que vous avez le certificat ZTP :

Connectez-vous via SSH sur l'appareil (en utilisant le programme Putty ou Teraterm) et tapez show native mode cert file status:

Si vous obtenez une erreur ou si le certificat n'est pas présent, vous n'avez pas encore effectué le processus ZTP sur ce pare-feu et vous devez utiliser le processus ZTP cette fois-ci. Il se peut également que vous ne disposiez pas de la version 5.10 du firmware et que vous deviez mettre à jour le pare-feu avant d'utiliser le mode natif.

• Migrer du mode sur site vers le mode Nebula dans l'interface graphique Web

Go to Configuration -> Mgmt. & Analytics -> Nebula, then click on Apply and Go To Nebula

Vous obtiendrez alors une fenêtre contextuelle et vous devrez cliquer sur oui :

Attendez ensuite que le dispositif soit mis en ligne en mode Nebula.

Exécuter le processus ZTP

Les vidéos présentées au début de l'article montrent l'ensemble du processus, seule la dernière partie étant différente. Cette dernière partie correspond au processus ZTP pour lequel deux méthodes sont disponibles comme le montre la vidéo. Cette méthode est traitée dans les deux sous-sections suivantes.

Pour le processus ZTP, il est nécessaire de spécifier comment la connexion WAN sera configurée (DCHP/PPPoE/Static IP) et de spécifier une adresse e-mail à laquelle l'e-mail contenant le lien et le fichier JSON sera envoyé. L'option "J'installerai moi-même le pare-feu" envoie l'e-mail au compte qui ajoute actuellement le dispositif au site. Il est également possible de spécifier un autre compte de messagerie afin qu'un installateur puisse exécuter le processus ZTP.

• Activer la capacité cloud du pare-feu via l'URL

Une fois le dispositif doté du dernier micrologiciel, connectez le port d'alimentation à une source d'alimentation appropriée et mettez le pare-feu sous tension. Attendez que le voyant SYS devienne vert fixe. Ensuite, connectez l'interface WAN (P2) à Internet.

Connectez l'interface LAN (P4) à l'ordinateur.

Ouvrez l'e-mail reçu de Nebula et cliquez sur "Allow Nebula to Manage My Device" (Autoriser Nebula à gérer mon appareil).

Attendez que Nebula Zero Touch Provisioning ait réussi. Cliquez sur "Go to Nebula Control Center" pour accéder à Nebula.

L'appareil prendra quelques minutes pour se connecter à Nebula et devenir en ligne.

Note : Si vous avez un appareil tel qu'un AP déjà connecté sur le port 4 de l'USG FLEX, et que l'AP fournit déjà un réseau Wi-Fi dans le sous-réseau 192.168.1.1/24, vous pouvez exécuter le ZTP via URL à partir de n'importe quel appareil connecté au réseau Wi-Fi, ce qui permet de le faire à partir d'un appareil mobile.

• Activer la fonction "cloud" du pare-feu via USB

Vous pouvez également activer le pare-feu à l'aide d'une clé USB. Copiez le fichier joint à l'e-mail envoyé par Nebula sur une clé USB neuve/nettoyée (FAT32) et connectez-la au port USB du pare-feu. Allumez le Firewall, la LED SYS clignote en rouge lorsqu'il se connecte à Nebula et en vert lorsqu'il est connecté.

Allez sur le tableau de bord de Nebula pour vérifier l'état de la passerelle.

L'appareil mettra quelques minutes à se connecter à Nebula et à se mettre en ligne.

Résolution des problèmes

• La connexion Internet est coupée - Vérifier la connexion Internet

Le navigateur Web indique que la connexion Internet est coupée lorsque l'URL du courriel a été consultée.

Vérifiez votre connexion Internet et assurez-vous que vous vous connectez à l'interface WAN (P2). Ensuite, cliquez sur "Retry" pour refaire le ZTP.

Vous pouvez également cliquer sur "Network Test Tools" (Outils de test du réseau) pour vous connecter à l'interface graphique Web de l'appareil afin de procéder à un dépannage plus approfondi. L'utilisateur est "support" et le mot de passe est le numéro de série du pare-feu.

Si vous disposez d'une connexion IP statique / PPPoE, vérifiez que vous avez saisi localement les informations IP statiques sur l'appareil :

Go to Configuration -> WAN Settings and double-check that everything is filled in correctly

• Zero Touch Provisioning (ZTP) échoue parce que ce dispositif n'est pas dans son état d'usine par défaut.

Maintenez le bouton de réinitialisation enfoncé pendant 5 secondes pour rétablir les paramètres d'usine de l'appareil. Cliquez ensuite sur l'URL pour refaire le ZTP.

• ZTP par USB : La LED SYS ne s'arrête pas de clignoter en rouge

Nebula Le tableau de bord indique que le pare-feu est hors ligne.
Si le ZTP par USB échoue, vérifiez la connexion internet. Ouvrez le fichier ztpresult.log dans l'interface USB pour vérifier l'état de la connexion.

Voici un exemple :

Le ZTP échoue car il n'y a pas de fichier ZTP correspondant dans l'USB pour ce périphérique. Veillez à copier le bon fichier ZTP.

• Le mode Nebula ne s'affiche pas lors de l'accès à l'interface graphique Web.

Vous pouvez mettre à jour votre appareil via l'interface du configurateur Web de l'appareil (voir ici) ou en utilisant l'utilitaire ZON. Cet article explique comment procéder avec l'utilitaire ZON.

Assurez-vous d'avoir installé ZON sur votre ordinateur. Si ce n'est pas le cas, vous pouvez le télécharger ici :

Utilitaire Zyxel One Network (ZON)

Connectez le port d'alimentation à la source d'alimentation et activez le pare-feu. Attendez que le voyant SYS devienne vert fixe. Connectez votre ordinateur au port 4 (P4) du pare-feu.

Ouvrez ZON sur votre ordinateur pour analyser le pare-feu. Sélectionnez le pare-feu, puis cliquez sur " Firmware Upgrade " :

Sélectionnez la dernière version du micrologiciel à partir du nuage et entrez le mot de passe par défaut " 1234 " pour effectuer la mise à niveau. Le processus de mise à niveau du micrologiciel prend environ 5 minutes.

Licences pour la série USG FLEX

• Licence Nebula pour votre USG FLEX dans Nebula Control Center

Si votre USG Flex est livré avec une licence groupée, vous bénéficierez automatiquement d'un pack professionnel Nebula d'un an pour votre appareil. La licence de service UTM sera reportée de manière transparente sur Nebula, quelle que soit sa durée restante.

Si votre USG n'est pas livré avec une licence groupée, vous bénéficierez toujours de la période d'essai de 30 jours pour vos services UTM. Les services Nebula Pro Pack incluent également une période d'essai de 30 jours automatiquement lors de la création de votre organisation.

La période d'essai de la licence s'applique également à votre appareil avec une licence groupée.

• Migrer ma licence NSG existante (NSS) vers USG FLEX (UTM)

Afin de migrer la licence de votre NSG précédent vers l'USG FLEX sur le cloud, le tableau de correspondance suivant s'applique. Par exemple, le NSG 100 ne peut migrer sa licence que vers l'USG FLEX 200 et ne peut pas migrer sa licence vers d'autres modèles USG FLEX.

Dans le cas où votre USG FLEX 100 possède déjà une licence d'un an, après avoir migré la licence restante du NSG50 (Ex. : 6 mois) vers l'USG FLEX 100, ce dernier se retrouve avec une licence d'un an et demi à utiliser.

• Limites du passage au mode Nebula

Il y a quelques limitations et les fonctionnalités suivantes ne sont pas encore disponibles sur le modèle cloud pour l'USG FLEX :

- Device HA
- Sécurité du courrier électronique (anti-spam)
- Inspection SSL
- Routage dynamique (RIP, OSPF, BGP)
- Fonctionnalités IPv6 associées
- Contrôleur AP (le centre de contrôle Nebula devrait être utilisé comme contrôleur AP)
- Service Hotspot (Nebula Control Center supporte déjà les services Hotspot tels que Voucher, et Walled garden)

Si vous rencontrez d'autres problèmes, n'hésitez pas à contacter notre équipe de support.