In questo articolo, vogliamo darti una panoramica su una pletora di diversi suggerimenti sulle migliori pratiche, approfondimenti più brevi in termini di debug, analisi e altre osservazioni interessanti sui nostri prodotti Firewall per ottenere il massimo da essi.
L'interfaccia della riga di comando
Nel caso non lo sapessi, i nostri dispositivi dispongono di un'interfaccia a riga di comando a cui puoi accedere tramite SSH o cavo della console: Accedi all'interfaccia della riga di comando del tuo dispositivo Zyxel (SSH tramite puTTY e Console tramite TeraTerm)
Ma lo sapevi che puoi persino accedere alla CLI dal tuo browser web? Fare clic sull'icona della console web nell'angolo destro del menu di USG FLEX':
Nessun traffico VPN in transito? (Sottoreti e protocolli)
Questo è un suggerimento rapido per un problema che si verifica spesso su VPN: molti dei nostri clienti ci segnalano che il tunnel VPN, che sia Site-To-Site o Client-To-Site, si connette perfettamente, ma non c'è traffico sta arrivando - perché è così? Spesso ci sono due ragioni diverse per questo
- Le sottoreti sono impostate in modo errato
- L'ISP sta bloccando i protocolli
#1 - Le sottoreti sono impostate in modo errato
Immagina di avere due siti che vuoi interconnettere ed entrambi i siti hanno lo stesso IP-Range, supponiamo solo 192.168.1.X, come mostrato di seguito:
Spesso i clienti segnalano che la VPN in effetti si connette e si accumula, ma non ricevono traffico sulla VPN, quindi non sono in grado di connettersi dal PC al server: cosa sta succedendo qui?
Il fatto è che creando un'interfaccia sull'USG, stiamo creando un percorso diretto . Un percorso diretto indipendentemente dall'origine posiziona un traffico che desidera andare a un IP che corrisponda a una delle sottoreti dell'interfaccia del firewall sulla rispettiva interfaccia. In parole diverse: avendo LAN1 su USG #1 con 192.168.1.1, ogni volta che vogliamo raggiungere 192.168.1.200 (l'IP dei server), saremo sempre al raggiungimento del nostro gateway essere rimandati nella sottorete LAN1 di USG #1 tramite il itinerario diretto. Ecco come appare:
Potresti leggere la regola come segue: "Senza guardare la sorgente, se la destinazione corrisponde all'interfaccia di LAN1, basta spingerla su LAN1", quindi la connessione dal PC al Server non raggiungerà mai il quarto blocco di routing "Sito-2 -Site VPN" e quindi non può mai essere elaborato dall'algoritmo di routing per essere inserito nella VPN. L'apprendimento chiaro è: assicurati di non avere mai sottoreti sovrapposte!
E se lo fai, dai un'occhiata a questo tutorial: Come configurare SNAT in un tunnel VPN
2# - L'ISP sta bloccando i protocolli
Potrebbe essere che il motivo per cui la tua VPN si connette, ma nessun traffico che passa, è semplicemente perché il tuo ISP non sta bloccando porte, ma protocolli. Quindi la VPN può stabilire tramite la porta 500 UDP, 4500 UDP e/o 1701 UDP, che sono responsabili dello scambio dell'handshake per connettere il tunnel tra loro, ma il protocollo utilizzato per incapsulare i dati del tunnel VPN, ESP - noto anche come protocollo 50 - viene bloccato. Se sei interessato non lo sei, puoi scoprirlo tramite la riga di comando: invio
packet-trace interface wan1 ip-proto esp
e attivare una connessione VPN (Suggerimento: assicurati di non avere alcun tunnel aggiuntivo aperto e che non ci sia traffico in esecuzione attraverso il tunnel previsto dal tuo client. Quindi attiva un ping all'IP del gateway LAN remoto. Se vedi pacchetti in uscita, ma non tornare alla tua interfaccia WAN, è un indicatore abbastanza solido che il tuo ISP sta facendo qualcosa di sbagliato, in tal caso, entra in contatto con loro.
Il nome conta! Organizza bene i tuoi oggetti!
La nostra serie USG FLEX/ATP/VPN in modalità standalone offre una struttura e un layout di menu eccezionali. Uno dei vantaggi principali dei nostri dispositivi è l'incredibile flessibilità di modificare e modificare le impostazioni in base alle tue esigenze. Tuttavia, questo ha un prezzo da pagare: devi mantenere la tua denominazione organizzata!
Ora, poiché ci sono molti approcci individuali su come farlo, mostreremo semplicemente come lo fanno alcuni dei nostri colleghi. Per darti un piccolo esempio, prima vai a
Configuration > Object > Service
e premere il pulsante "Aggiungi" per creare una nuova voce:
Poiché il nome di un servizio deve iniziare con una lettera, ma per lo più stiamo definendo Servizi al di fuori dello spettro, potremmo iniziare il nome con qualcosa di generico come "Port", seguito dal numero Port. Alla fine, potremmo aggiungere anche il protocollo, poiché potrebbe essere che in un momento diverso l'UDP Port corrispondente possa essere utilizzato da un'applicazione diversa.
Se lo desideri, puoi anche migliorare questo sistema aggiungendo una breve parola chiave su cosa tratta il servizio:
Un approccio simile è consigliato per tutti gli altri oggetti, in particolare gli indirizzi: assicurati di organizzare e comprendere il sistema che hai creato e di mantenerlo per motivi di coerenza.
Aggiornamenti del firmware: non cambiare mai un sistema in esecuzione!
Quello che a prima vista potrebbe sembrare una raccomandazione per rimanere con il firmware attuale (non lo è!) È un gioco di parole ironico, ma cerchiamo di spiegare ulteriormente. I nostri firewall di sicurezza hanno due partizioni di avvio/firmware:
Ogni partizione ha il proprio database, anch'esso costituito da due database di configurazione l'uno per l'altro - è importante saperlo, perché se si desidera applicare un nuovo firmware, si potrebbe voler impostare il firmware sulla partizione di standby, "nel caso in cui succede qualcosa, posso tornare alla corsa e stare di nuovo bene." - molti dei nostri clienti la pensano esattamente in questo modo. Ma c'è un errore in questo: ogni volta che cambi la partizione, la tua configurazione attuale verrà effettivamente portata e applicata all'altra partizione. Potrebbe andare bene nella maggior parte dei casi. Tuttavia, se in qualche modo è stato individuato un problema con la configurazione corrente, che può verificarsi se si esegue l'aggiornamento da un firmware molto vecchio a quello più recente senza passaggi intermedi, è possibile che l'USG si interrompa e si riavvii e riprova il processo . Tuttavia, per non cadere in un eterno bootloop, dopo 3 tentativi il dispositivo tornerà alla configurazione di default del sistema!
Se ora ti trovi in una situazione in cui sei connesso in remoto all'USG per più di 100 chilometri e il dispositivo si è schiantato in questo modo, è meglio avere qualcuno sul posto che possa aiutarti o essere preparato per un lungo viaggio sul posto.
È molto meglio sovrascrivere la partizione in esecuzione , poiché solo se accade qualcosa di non previsto (come un bug di implementazione o simili), potrebbe esserci un problema - nella maggior parte dei casi, funzionerà perfettamente aggiornando il firmware da un già abbastanza firmware recente sulla partizione in esecuzione.
Esegui il backup della tua configurazione - adesso! No, non copiandolo sul router, salvalo sul tuo PC!
Un altro titolo ironico per una raccomandazione seria: eseguire regolarmente il backup del file di configurazione. Inoltre, esegui il backup non solo sul dispositivo stesso (che è già un buon passo nella giusta direzione, ma in realtà scaricalo sul computer tramite
Maintenance > File Manager > Configuration File
e selezionando startup-config.conf e premendo il pulsante Download :
Ora potresti trovare il file .conf scaricato, che può essere aperto tramite Blocco note o Notepad ++:
Avere una sincronizzazione regolare di questo tipo ti aiuta a ridurre drasticamente i tempi di inattività quando è veramente necessario, in una situazione problematica.
Ci sono molti altri suggerimenti e trucchi da aggiungere eventualmente in futuro, ma questo ti dà un buon inizio su alcune informazioni che si spera utili.
DISCLAIMER:
Gentile cliente, tieni presente che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, rivedere l'articolo originale qui: Versione originale