Notre pare-feu USG FLEX peut être géré et configuré via Nebula Control Center (NCC) à partir du firmware ZLD5.00 et versions ultérieures. La série ATP peut être gérée dans NCC à partir du firmware ZLD5.10. Ce guide montre comment ajouter l’appareil sur Nebula en utilisant le processus ZTP et préconfigurer les paramètres du pare-feu sur Nebula, avant de livrer l’appareil pour l’installation sur site. Cet article explique comment enregistrer votre pare-feu dans Nebula. Il est divisé en différentes sections, veuillez donc naviguer vers la section pertinente dans la table des matières.
 Note : Le mode ZTP n’est plus disponible à partir de la version 5.37 patch 1, vous devez donc déployer l’appareil sur Nebula en mode natif. Voici les modèles concernés. Série ATP : ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800 Série USG FLEX : USG FLEX 50, USG FLEX 50W, USG FLEX 100, USG FLEX 100W, USG FLEX 200, USG FLEX 500, USG FLEX 700, USG20-VPN, USG20W-VPN

Pourquoi ne puis-je pas utiliser le mode ZTP ou natif pour déployer mon pare-feu sur Nebula ?

Si vous avez des difficultés à ajouter votre appareil à Nebula, cela peut indiquer que votre appareil a été fabriqué avant la fin de 2023 et nécessite l’achèvement du processus de Zero Touch Provisioning (ZTP). Pour continuer, suivez ces étapes :

• Rétrogradez le firmware de votre appareil
• Suivez le processus ZTP comme requis
• Une fois ajouté avec succès, mettez à jour l’appareil vers la dernière version du firmware

Comment enregistrer votre pare-feu dans Nebula (Vidéos)

Note : Votre appareil doit être réinitialisé aux paramètres d’usine pour pouvoir le connecter à Nebula, ce qui entraînera la perte de toutes les configurations précédentes. Une fois connecté à Nebula, l’appareil sera automatiquement configuré avec les paramètres par défaut de Nebula. Veuillez également noter qu’il existe certaines limitations et que les fonctionnalités suivantes ne sont pas encore disponibles en mode cloud pour l’USG FLEX :

• HA de l’appareil
• Sécurité Email (Anti-Spam)
• Inspection SSL
• Routage dynamique (RIP, OSPF, BGP)
• Fonctionnalités IPv6 associées
• Contrôleur AP (Nebula Control Center doit être utilisé comme contrôleur AP à la place)
• Service Hotspot (Nebula Control Center prend déjà en charge les services hotspot tels que Voucher, Walled garden)

Licences

• Licences de votre USG FLEX dans Nebula Control Center

Si votre USG Flex était livré avec une licence groupée, vous bénéficierez automatiquement d’un pack professionnel Nebula d’une durée d’un an pour votre appareil. La licence de service UTM sera automatiquement transférée vers Nebula, quelle que soit sa durée restante.

Si votre USG n’était pas livré avec une licence groupée, vous bénéficierez tout de même d’un essai de 30 jours pour vos services UTM. Les services du pack Nebula PRO incluent également automatiquement un essai de 30 jours lors de la création de votre organisation.

La période de licence d’essai s’applique également à votre appareil avec une licence groupée.

• Migration de ma licence NSG existante (NSS) vers USG FLEX (UTM)

Pour migrer la licence de votre NSG vers l’USG FLEX sur le cloud, le tableau de correspondance suivant s’applique. Par exemple, le NSG 100 ne peut migrer sa licence que vers USG FLEX 200 et ne peut pas migrer vers d’autres modèles USG FLEX.

Si votre USG FLEX 100 dispose déjà d’une licence d’un an, après migration de la licence restante du NSG50 (ex. : 6 mois) vers l’USG FLEX 100, ce dernier disposera d’une licence d’un an et demi à utiliser.

Veuillez soumettre une demande de support, et notre équipe vous aidera volontiers à résoudre votre problème de migration de licence en priorité.

Choisir le mode Nebula via l’interface Web

Une fois que votre appareil fonctionne sous version 5.10 avec les paramètres d’usine, lorsque vous vous connectez pour la première fois à l’interface Web Configurator, une mise à jour du mot de passe administrateur par défaut ("1234") sera requise.

• Mode Nebula

Sélectionnez le mode Nebula pour gérer votre appareil Zyxel via Nebula Control Center (NCC). NCC est un système de gestion réseau basé sur le cloud qui vous permet de gérer et surveiller votre appareil Zyxel à distance.

Suivez l’assistant du mode Nebula pour configurer les paramètres WAN afin de transférer la gestion de votre appareil Zyxel vers NCC.

Une fois le mode de gestion et le WAN configurés pour permettre l’accès Internet, vous pouvez passer à Nebula pour la configuration ultérieure. Plus d’informations dans la section "mode natif Nebula"

• Migration à distance du mode sur site vers le mode Nebula

Même si vous avez des paramètres IP statiques ou des paramètres d’usine, vous pouvez basculer votre solution de gestion sur site vers le mode cloud Nebula à distance via l’interface Web. Notez que l’appareil sera réinitialisé aux paramètres d’usine et les configurations seront perdues. Avec Nebula Phase 13, vous n’avez plus besoin d’aller sur site pour réinitialiser l’appareil avant la migration vers Nebula. Vous pouvez désormais le faire à distance.

Les conditions pour migrer à distance vers Nebula sont que le pare-feu :

• Doit être en mode natif Nebula, ce qui signifie qu’il doit contenir le certificat ZTP
• L’appareil doit être en ligne (accès WAN internet nécessaire)

Note : Si vous avez l’appareil en mode sur site, vous pouvez passer l’étape "mode natif Nebula

• Créer une organisation et un site

Si vous n’avez pas encore créé d’organisation et de site dans Nebula, veuillez suivre l’article lié. Une fois cette étape terminée, nous pourrons poursuivre le processus d’enregistrement.
Nebula [Site/Organisation] - Comment créer/supprimer une organisation et un site dans Nebula Control Center ?

Configurer le pare-feu dans le portail Nebula

Avant ces étapes, veuillez disposer de la topologie réseau, des paramètres du pare-feu et de la configuration WAN à l’avance. Ces informations vous permettront de préconfigurer les paramètres du pare-feu avant sa mise sous tension dans Nebula. Le pare-feu synchronisera automatiquement cette configuration lorsqu’il se connectera à Nebula. Lors de la création du site, vous pouvez spécifier le modèle de votre pare-feu sans l’ajouter. Cela permet de préconfigurer certains paramètres avant d’ajouter l’appareil lui-même.

• Paramètres du groupe de ports

Site-wide -> Configure -> Firewall -> Port

• Pour configurer les groupes de ports WAN/LAN ou ajouter des groupes WAN/LAN selon votre scénario.

• Configurer les paramètres WAN si vous avez une IP statique

Site-wide -> Configure -> Firewall - interfaces

•  pour modifier les adresses IP des interfaces WAN/LAN selon votre scénario.

Enregistrer le pare-feu et choisir la méthode de déploiement

Mode manuel

Allez dans Site-wide -> License & Inventory

Entrez dans la page de l’appareil et cliquez sur "Ajouter" pour enregistrer le pare-feu. Vous pouvez enregistrer plusieurs appareils en entrant l’adresse MAC et le numéro de série

Ensuite, vous pouvez assigner l’appareil au site correct. Vous pouvez avoir plusieurs appareils dans une organisation, ici vous pouvez sélectionner un appareil spécifique et l’assigner au site correspondant :

Une fenêtre contextuelle apparaîtra où vous pourrez sélectionner la méthode de déploiement de l’appareil.

Mode Zero Touch Provision

Pour la première fois que l’appareil est inscrit sur Nebula, le mode Zero Touch Provision doit être utilisé car l’appareil a besoin du processus ZTP pour devenir compatible Cloud. Allez à Exécuter le processus ZTP

Le mode natif Nebula

Lorsque vous enregistrez votre appareil pour la première fois dans Nebula, assurez-vous que vous avez le certificat ZTP sur votre appareil. Sur tous les appareils, le pare-feu doit d’abord passer par le processus ZTP une fois. Sur les appareils plus récents, le certificat ZTP peut déjà être présent dans le pare-feu (veuillez vérifier si vous avez le certificat ZTP ici - si vous ne possédez pas le certificat ZTP, vous devez effectuer le processus ZTP et vous ne pouvez pas utiliser le mode natif pour mettre le pare-feu en ligne).

• Réinitialiser l’appareil à la configuration par défaut

Lorsque vous souhaitez migrer du mode autonome vers Nebula, vous devez d’abord réinitialiser l’appareil en utilisant le bouton RESET situé à l’avant de l’appareil (maintenez-le enfoncé pendant 15 secondes). Si vous modifiez ne serait-ce qu’un paramètre pendant le processus (par exemple le mot de passe admin), la migration échouera.

• Vérifiez si vous avez DHCP ou IP statique sur WAN

Si vous avez une IP statique sur votre WAN, vous devez vous connecter à l’appareil via l’interface Web, choisir le mode Nebula et saisir les informations IP nécessaires pour établir la connexion :

Si vous avez une IP statique sur WAN, suivez l’assistant ci-dessous puis, une fois terminé, passez à l’étape 2 - enregistrer l’appareil :

• Choisir le mode natif

Connectez votre port WAN au port indiqué sur l’image (dans cet exemple P2) et le LAN au port indiqué (dans cet exemple P4) - Note : Rien d’autre ne doit être connecté

• Vous devriez voir qu’il attend que l’appareil se connecte à Nebula (sous Devices -> Firewall) :

Le pare-feu devrait maintenant redémarrer rapidement et, après le redémarrage, l’appareil devrait être en ligne dans les 20 minutes.

Dépannage - "En attente de connexion de l’appareil" [Vérification du certificat ZTP]

Si votre appareil est bloqué en mode natif "En attente de connexion de l’appareil", vous devez vérifier que vous avez le certificat ZTP :

Connectez-vous via SSH à l’appareil (en utilisant le programme Putty ou Teraterm) et tapez show native mode cert file status :

Si vous obtenez une erreur ou que le certificat n’est pas présent, vous n’avez pas encore effectué le processus ZTP sur ce pare-feu et devez utiliser le processus ZTP cette fois. Il se peut aussi que vous n’ayez pas la version firmware 5.10 et devez mettre à jour le pare-feu avant d’utiliser le mode natif.

• Migration du mode sur site vers le mode Nebula dans l’interface Web

Allez dans Configuration -> Mgmt. & Analytics -> Nebula, puis cliquez sur Appliquer et Aller à Nebula

Une fenêtre contextuelle apparaîtra, cliquez sur oui :

Ensuite, attendez que l’appareil soit en ligne dans Nebula.

Exécuter le processus ZTP

Les vidéos présentées au début de l’article montrent tout le processus avec seulement la dernière partie qui diffère. Cette dernière partie correspond au processus ZTP pour lequel deux méthodes sont disponibles comme montré dans la vidéo. Cette méthode est détaillée dans les deux sous-sections suivantes.

Pour le processus ZTP, il est nécessaire de spécifier comment la connexion WAN sera configurée (DHCP/PPPoE/IP statique) et d’indiquer une adresse email à laquelle le mail contenant le lien et le fichier JSON sera envoyé. "Je vais installer le pare-feu moi-même" envoie le mail au compte qui ajoute l’appareil au site à ce moment-là. Il est aussi possible de spécifier un autre compte email pour qu’un installateur puisse exécuter le processus ZTP.

• Activer la capacité cloud du pare-feu via URL

Avec l’appareil fonctionnant sous le dernier firmware, connectez le port d’alimentation à une source d’alimentation appropriée et allumez le pare-feu. Attendez que le voyant SYS devienne vert fixe. Ensuite, connectez l’interface WAN (P2) à Internet.

Connectez l’interface LAN (P4) à l’ordinateur.

Ouvrez le mail reçu de Nebula et cliquez sur "Autoriser Nebula à gérer mon appareil".
 

Attendez que le Zero Touch Provisioning de Nebula soit réussi. Cliquez sur "Aller à Nebula Control Center" pour accéder à Nebula.

L’appareil prendra quelques minutes pour se connecter à Nebula et devenir en ligne.

Note : Si vous avez un appareil tel qu’un AP déjà connecté au port 4 de l’USG FLEX, et que l’AP fournit déjà un réseau Wi-Fi dans le sous-réseau 192.168.1.1/24, vous pouvez exécuter le ZTP via URL depuis n’importe quel appareil connecté au réseau Wi-Fi, ce qui permet de le faire depuis un appareil mobile.

• Activer la capacité cloud du pare-feu via USB

Vous pouvez également activer le pare-feu en utilisant une clé USB. Copiez le fichier joint dans le mail envoyé par Nebula sur une clé USB neuve/propre (FAT32), et connectez-la au port USB du pare-feu. Allumez le pare-feu, le voyant SYS clignote en rouge pendant la connexion à Nebula et devient vert fixe une fois connecté.

Allez sur le tableau de bord Nebula pour vérifier l’état de la passerelle.

L’appareil prendra quelques minutes pour se connecter à Nebula et devenir en ligne.

Dépannage

• Connexion Internet interrompue - Vérifiez la connexion Internet

Le navigateur Web indique que la connexion Internet est interrompue lorsque l’URL dans le mail a été accédée.

Vérifiez votre connexion Internet et assurez-vous de connecter l’interface WAN (P2). Puis cliquez sur "Réessayer" pour relancer le ZTP.

Vous pouvez également cliquer sur "Outils de test réseau" pour vous connecter à l’interface Web de l’appareil pour un dépannage plus approfondi. L’utilisateur est "support" et le mot de passe est le numéro de série du pare-feu.

Si vous avez une connexion IP statique / PPPoE, vérifiez que vous avez bien saisi les informations IP statiques localement sur l’appareil :

Allez dans Configuration -> Paramètres WAN et vérifiez que tout est correctement rempli

• Le Zero Touch Provisioning (ZTP) échoue car cet appareil n’est pas dans l’état d’usine par défaut

Veuillez maintenir le bouton de réinitialisation pendant 5 secondes pour réinitialiser l’appareil aux paramètres d’usine. Puis cliquez sur l’URL pour relancer le ZTP.

• ZTP par USB : le voyant SYS ne cesse de clignoter en rouge

Nebula Dashboard indique que le pare-feu est hors ligne.
Si le ZTP par USB échoue, vérifiez la connexion Internet. Ouvrez le fichier ztpresult.log sur la clé USB pour vérifier le statut.

Voici un exemple :

Le ZTP échoue car il n’y a pas de fichier ZTP correspondant sur la clé USB pour cet appareil. Veuillez vous assurer de copier le bon fichier ZTP.

• Le mode Nebula ne s’affiche pas lors de l’accès à l’interface Web

Vous pouvez mettre à jour votre appareil via l’interface Web Configurator de l’appareil ou en utilisant l’utilitaire ZON. Cet article montre comment le faire via l’utilitaire ZON.

Assurez-vous d’avoir installé ZON sur votre ordinateur. Sinon, vous pouvez le télécharger ici :

Zyxel One Network Utility (ZON)

Connectez le port d’alimentation à la source d’alimentation et allumez le pare-feu. Attendez que le voyant SYS devienne vert fixe. Connectez votre ordinateur au port 4 (P4) du pare-feu.

Ouvrez ZON sur votre ordinateur pour scanner le pare-feu. Sélectionnez le pare-feu, puis cliquez sur "Mise à jour du firmware" :

Sélectionnez la dernière version du firmware depuis le cloud et saisissez le mot de passe par défaut “1234” pour effectuer la mise à jour. Le processus de mise à jour dure environ 5 minutes.

Licences pour la série USG FLEX

• Licences Nebula groupées pour votre USG FLEX dans Nebula Control Center

Si votre USG Flex était livré avec une licence groupée, vous bénéficierez automatiquement d’un pack professionnel Nebula d’une durée d’un an pour votre appareil. La licence de service UTM sera automatiquement transférée vers Nebula, quelle que soit sa durée restante.

Si votre USG n’était pas livré avec une licence groupée, vous bénéficierez tout de même d’un essai de 30 jours pour vos services UTM. Les services du pack Nebula Pro Pack incluent également automatiquement un essai de 30 jours lors de la création de votre organisation.

La période de licence d’essai s’applique également à votre appareil avec une licence groupée.

• Migration de ma licence NSG existante (NSS) vers USG FLEX (UTM)

Pour migrer la licence de votre NSG précédent vers l’USG FLEX sur le cloud, le tableau de correspondance suivant s’applique. Par exemple, le NSG 100 ne peut migrer sa licence que vers USG FLEX 200 et ne peut pas migrer vers d’autres modèles USG FLEX.

Si votre USG FLEX 100 dispose déjà d’une licence d’un an, après migration de la licence restante du NSG50 (ex. : 6 mois) vers l’USG FLEX 100, ce dernier disposera d’une licence d’un an et demi à utiliser.

• Limitations lors du passage au mode Nebula

Il existe certaines limitations et les fonctionnalités suivantes ne sont pas encore disponibles en mode cloud pour l’USG FLEX :

- HA de l’appareil
- Sécurité Email (Anti-Spam)
- Inspection SSL
- Routage dynamique (RIP, OSPF, BGP)
- Fonctionnalités IPv6 associées
- Contrôleur AP (Nebula Control Center doit être utilisé comme contrôleur AP à la place)
- Service Hotspot (Nebula Control Center prend déjà en charge les services hotspot tels que Voucher et Walled garden)

Si vous rencontrez d’autres problèmes, n’hésitez pas à prendre contact avec notre équipe Support.