Ebben a cikkben szeretnénk áttekintést nyújtani számtalan különféle bevált gyakorlati tippről, rövidebb mélyebb merülésekről a hibakeresés, elemzés és egyéb érdekes megjegyzésekről a Firewall termékeinkkel kapcsolatban, hogy a legtöbbet hozhassa ki belőlük.
A parancssori felület
Ha esetleg nem tudná, eszközeink rendelkeznek egy parancssori interfésszel, amelyet SSH-n vagy konzolkábellel érhet el: Hozzáférés a Zyxel eszköz parancssori interfészéhez (SSH a puTTY-n keresztül és a konzol a TeraTerm-en keresztül)
De tudta, hogy a CLI-t a webböngészőből is elérheti? Kattintson a webkonzol ikonra az USG FLEX menü jobb sarkában:
Nem megy át VPN-forgalom? (Alhálózatok és protokollok)
Ez egy gyors tipp a VPN-en gyakran előforduló problémára: Sok ügyfelünk arról számol be nekünk, hogy a VPN-alagút, legyen az Site-To-Site vagy Client-To-Site, tökéletesen csatlakozik, de nincs forgalom átjönni – miért van ez így? Ennek gyakran két különböző oka van
- Az alhálózatok rosszul vannak beállítva
- Az internetszolgáltató blokkolja a protokollokat
#1 - Az alhálózatok rosszul vannak beállítva
Képzelje el, hogy van két webhelye, amelyeket szeretne összekapcsolni, és mindkét webhelynek ugyanaz az IP-tartománya, tegyük fel, hogy a 192.168.1.X, az alábbiak szerint:
Az ügyfelek gyakran arról számolnak be, hogy a VPN valóban csatlakozik és felépül, de nem kapnak forgalmat a VPN-en keresztül, így nem tudnak csatlakozni a számítógépről a szerverre – mi történik itt?
A helyzet az, hogy amikor létrehozunk egy felületet az USG-n, létrehozunk egy közvetlen útvonalat . A közvetlen útvonal forrásfüggetlenül a megfelelő interfészre helyezi a forgalmat, amely egy olyan IP-címre akar menni, amely megfelel az egyik tűzfal-interfész-alhálózatnak. Más szavakkal: ha a LAN1 az USG #1-en van 192.168.1.1-gyel, amikor el akarjuk érni a 192.168.1.200-at (a kiszolgáló IP-címe), akkor az átjárónk elérésekor mindig visszaküldjük az USG #1 LAN1 alhálózatába a közvetlen útvonal. Így néz ki:
A szabályt a következőképpen olvashatod: "A forrás megtekintése nélkül, ha a cél egyezik a LAN1 interfészével, csak tolja ki a LAN1-re", így a PC és a szerver közötti kapcsolat soha nem éri el a negyedik útválasztási blokkot "Site-2 -Site VPN", és így soha nem dolgozhatja fel az útválasztási algoritmus, hogy bekerüljön a VPN-be. Ennek világos tanulsága a következő: ügyeljen arra, hogy soha ne legyenek átfedő alhálózatok!
És ha igen, akkor nézze meg ezt az oktatóanyagot: A SNAT beállítása VPN-alagútban
2# - Az internetszolgáltató blokkolja a protokollokat
Lehetséges, hogy a VPN-csatlakozás, de a forgalom hiányának oka egyszerűen az, hogy az internetszolgáltató nem portokat, hanem protokollokat blokkol. Így a VPN létre tud hozni az 500-as UDP, 4500 UDP és/vagy 1701 UDP porton keresztül, amelyek felelősek a kézfogás cseréjéért, hogy összekapcsolják az alagutat egymással, de a VPN alagút adatainak beágyazására használt protokoll, az ESP - más néven protokoll. 50 - blokkolva van. Ha nem érintett, akkor a parancssorból megtudhatja: enter
packet-trace interface wan1 ip-proto esp
és indítsa el a VPN-kapcsolatot (Tipp: ügyeljen arra, hogy ne legyen megnyitva további alagút, és ne futhasson forgalom az alagúton keresztül, amit a klienstől elvár. Ezután indítson ping-et a távoli LAN-átjáró IP-címére. Ha azt látja, hogy kimennek a csomagok, de Ha nem tér vissza a WAN interfészhez, ez elég szilárd jele annak, hogy az internetszolgáltató valami rosszat csinál – ebben az esetben lépjen kapcsolatba velük.
A névadás számít! Rendezze jól tárgyait!
Az önálló USG FLEX/ATP/VPN sorozatunk nagyszerű menüstruktúrát és elrendezést kínál. Eszközeink egyik legfontosabb előnye a hihetetlen rugalmasság, amellyel a beállításokat az Ön igényei szerint módosíthatja. Ennek azonban meg kell fizetni az árat – meg kell szervezni a névadást!
Most, mivel számos egyéni megközelítés létezik a megvalósításra, egyszerűen megmutatjuk, hogyan csinálják ezt néhány kollégánk. Egy kis példa bemutatásához először navigáljon ide
Configuration > Object > Service
és nyomja meg a "Hozzáadás" gombot új bejegyzés létrehozásához:
Mivel egy szolgáltatás nevének betűvel kell kezdődnie, de többnyire a spektrumon kívüli szolgáltatásokat definiáljuk, kezdhetjük valami általános névvel: "Port", majd a Port számmal. Végül hozzáadhatjuk a protokollt is, mivel előfordulhat, hogy egy másik időpontban a megfelelő UDP Port-et egy másik alkalmazás használja.
Ha szeretné, a rendszert úgy is bővítheti, hogy egy rövid kulcsszót ad hozzá a szolgáltatás lényegéhez:
Hasonló megközelítést javasolunk minden más objektumhoz, különösen a címekhez – ügyeljen arra, hogy rendszerezze és megértse a felépített rendszert, és karbantartsa azt a következetesség érdekében.
Firmware frissítések – soha ne változtasson futó rendszeren!
Ami első olvasásra úgy tűnhet, mint az ajánlás, hogy maradjon a jelenlegi firmware-nél (nem az!), az egy szójáték, de hadd magyarázzuk tovább. Biztonsági tűzfalaink két rendszerindítási/firmware partícióval rendelkeznek:
Minden partíciónak megvan a saját adatbázisa, amely szintén két konfigurációs adatbázisból áll – ezt fontos tudni, mert ha új firmware-t szeretne alkalmazni, érdemes lehet a készenléti partíción beállítani a firmware-t. történik valami, visszagurulhatok a Futáshoz, és újra rendben leszek." - sok ügyfelünk pontosan így gondolja. De van benne egy tévedés: minden alkalommal, amikor módosítja a partíciót, az aktuális konfigurációt valóban megpróbálják áthozni és alkalmazni a másik partícióra. Ez a legtöbb esetben jól jöhet. Ha azonban valamilyen probléma észlelhető a jelenlegi konfigurációval – ami akkor fordulhat elő, ha egy nagyon régi firmware-ről a legújabbra frissít anélkül, hogy közben bármiféle lépést tenne –, akkor előfordulhat, hogy az USG hibaüzenetet okoz, újraindítja magát, és újra megpróbálja a folyamatot. . Azonban, hogy ne essen egy örök bootloop-ba, 3 próbálkozás után az eszköz visszaáll a rendszer-alapértelmezett konfigurációra!
Ha most olyan helyzetben van, hogy több 100 kilométeren keresztül távolról csatlakozik az USG-hez, és a készülék ilyen módon összeomlott, jobb, ha valaki a helyszínen tud segíteni, vagy felkészült egy hosszú útra a helyszínen.
Sokkal jobban jársz, ha felülírod a futó partíciót , mivel csak akkor lehet probléma, ha valami nem várt (például kihelyezési hiba vagy hasonló) történik – a legtöbb esetben a firmware frissítése a már eléggé jól működik. friss firmware a futó partíción.
Készítsen biztonsági másolatot konfigurációjáról – azonnal! Nem, nem másolja át az útválasztóra, hanem mentse el a számítógépére!
Egy másik komoly ajánlás: Készítsen rendszeresen biztonsági másolatot a konfigurációs fájlról. Ezenkívül ne csak magán az eszközön készítsen biztonsági másolatot (ami már jó lépés a helyes irányba), hanem töltse le a számítógépre
Maintenance > File Manager > Configuration File
és válassza ki a startup-config.conf fájlt, és nyomja meg a Letöltés gombot:
Most megtalálhatja a letöltött .conf fájlt, amely a Notepad vagy a Notepad++ segítségével nyitható meg:
Az ilyen jellegű rendszeres szinkronizálás segít drasztikusan csökkenteni az állásidőt, amikor valóban szükség van rá – egy problémahelyzetben.
Sok más tippet és trükköt kell hozzáadni a jövőben, de ez jó kiindulópontot ad néhány remélhetőleg hasznos információhoz.
NYILATKOZAT:
Tisztelt Ügyfelünk! Kérjük, vegye figyelembe, hogy gépi fordítást használunk a cikkek az Ön nyelvén való biztosításához. Nem minden szöveg fordítható le pontosan. Ha kérdései vagy eltérései vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti verzió
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.