Dit artikel laat zien hoe je problemen oplost bij configuratieconversie wanneer je een configuratiebestand handmatig wilt converteren. Dit laat zien hoe je problemen oplost als het configuratiebestand niet kan worden toegepast en wat de beste manier is om je configuratie van een oud apparaat naar een nieuw apparaat te converteren via de converteertool of handmatig.

Disclaimer! Dit artikel biedt een algemeen overzicht van de serie en is mogelijk niet uniform van toepassing op elk model, software/firmwareversie. Raadpleeg voor aankoop of gebruik van het apparaat de model-/versiespecifieke documentatie of neem contact op met de technische ondersteuning voor nauwkeurige informatie.

Opmerking! De nieuwe conversieconfiguratie heeft beperkte ondersteuning van het ondersteuningsteam, omdat we alleen officiële ondersteuning bieden voor conversie met de convert tool. Er zijn echter manieren om de configuratie zelf handmatig te converteren, maar hierbij kunnen we je niet ondersteunen.

Inhoudsopgave

1) Hoe de configuratie werkt

1.1 Configuratietoepassing

1.2 Commandoscheiding

1.3 Overschrijven van configuratie

2) De configuratieconversie voorbereiden

2.1 Configuratiebestanden downloaden

2.2 De conversietool gebruiken

2.3 Het nieuwe geconverteerde configuratiebestand uploaden

3) Paden naar configuratieconversie

Pad 1: Converteren naar een andere firewallreeks, maar de gelijkwaardige firewall

Pad 2: Converteren naar een andere firewall

Pad 3: De configuratie handmatig kopiëren/plakken

Pad 3.1: Notepad++ downloaden

Path 3.2: De "Compare" plugin installeren

Path 3.3: Open beide config-bestanden en start de vergelijkingstool

4.1 Voorbeelden om te kopiëren/plakken

4.2 Dingen om niet te kopiëren/plakken

5) Problemen oplossen

5.1 WAARSCHUWING vs. FOUT

5.2 Encryptiefout

5.3 Voorbeeld van fouten

1) Hoe de configuratie werkt

1.1 Configuratietoepassing

Wanneer het configuratiebestand wordt toegepast, worden alle commando's in het configuratiebestand ingevoerd, bijv.

of;

interface-name ge3 LAN

of;

secure-policy 1

name xyz

action allow

from LAN

to Zywall

sourceip Server_1

Op deze manier kan de firewall de configuratie compileren en toepassen op het nieuwe apparaat

1.2 Commandoscheiding

De commando's worden gescheiden met "!" om de configuratie te onderscheiden.

Zorg ervoor dat je de configuratie gescheiden hebt met "!" en dat er geen spaties voor of na de "!" symbolen staan. Anders zal het configureren mislukken.

1.3 De configuratie kopiëren

Wanneer je handmatig een configuratiebestand kopieert en plakt, probeer dan overeenkomsten te vinden van waar sommige configuratiesecties beginnen en eindigen. Je kunt ook de groene velden in Notepad++ zien van welke nieuwe configuratie niet in het huidige configuratiebestand staat.

Bijvoorbeeld, in de oude configuratie van de USG310 kunnen we zien dat de VPN-configuratie eindigt met

vpn-configuration-provision authentication default

Daarom kunnen we de VPN-configuratie kopiëren totdat we deze opdrachtregel zien

Kopieer deze vervolgens naar de nieuwe configuratie waar we deze opdracht zien

2) De configuratieconversie voorbereiden

2.1 Configuratiebestanden downloaden

Navigeer naar

Maintenance -> File Manager -> Configuration File > Configuration 

Download het laatste "startup-config.conf" bestand door het bestand te selecteren en dan op "download" te drukken, of kijk naar de "last modified" om te zien welk het laatste configuratiebestand is.

2.2 Gebruik de Convert Tool

a) Voer https://convert.cloud.zyxel.com/ in.

b) Kies het apparaat dat het meest lijkt op uw nieuwe apparaat

Bekijk dit artikel voor meer informatie: Configuratie-converter

Als u een USG FLEX 500 of een ATP700 hebt, kunt u ervoor kiezen om te converteren naar de ATP500 (voor de USG FLEX 500) en USG FLEX 700 (voor de ATP700) omdat het aantal fysieke poorten hetzelfde is voor USG FLEX 500 & ATP500, evenals USG FLEX 700 en ATP700.

2.3 Het nieuwe geconverteerde configuratiebestand uploaden

Navigeer eerst naar:

Maintenance -> File Manager -> Configuration File -> Configuration

Upload vervolgens uw configuratiebestand door te klikken op "Bladeren...".

Selecteer vervolgens het nieuw geüploade configuratiebestand door er met de linkermuisknop op te klikken en klik vervolgens op "Apply" (toepassen).

Kies ervoor omonmiddellijk te stoppen met het toepassen van het configuratiebestand en terug te gaan naar de vorige configuratie

3) Paden naar configuratieconversie

Dus als je de configuratie handmatig wilt converteren, kun je op verschillende manieren te werk gaan, afhankelijk van welk firewallmodel je hebt en welk model je hebt gekocht als je nieuwe apparaat.

Voor USG310 (Zywall310), kunt u ervoor kiezen om te converteren naar een VPN300, USG FLEX 700.

Maar u kunt ook kiezen voor USG310 die u de optie geeft om uw configuratiebestand te converteren naar een ATP500:

Pad 1: Converteren naar een andere firewall serie maar de gelijkwaardige firewall

Als u een Zywall310 heeft en dit bestand wilt converteren naar een USG FLEX 500, zou u uw Zywall310 configuratiebestand kunnen converteren van een

USG310 -> ATP500

Omdat de USG FLEX 500 en ATP500 dezelfde configuratiestructuur hebben (fysieke poorten / config-bestandsstructuur), zal de conversie eenvoudig zijn.

Om de converter te misleiden om uw Zywall310 van een USG310 te converteren, verwijdert u deze twee rijen in het configuratiebestand:

Als u vervolgens het nieuwe ATP500-configuratiebestand wilt uploaden naar uw nieuwe USG FLEX 500, moet u een paar dingen wijzigen:

Ten eerste moet het model worden gewijzigd van ATP500 in USG FLEX 500, en de firmwareversie is waarschijnlijk niet 4.60, dus u kunt proberen deze beide rijen te verwijderen of het model wijzigen in "USG FLEX 500" en de rij met firmwareversie verwijderen.

Upload vervolgens de nieuwe geconverteerde en opgeslagen (zonder model & firmwareversie) naar het nieuwe apparaat.

Pad 2: Converteren naar een andere firewall

Stel we hebben de configuratie van de Zywall310 en we willen onze configuratie converteren naar een USG FLEX 100.

Stap 1) Converteer naar de dichtstbijzijnde firewall serie

Zywall310(USG310)/ATP500 heeft een andere interfacestructuur dan USG FLEX 100 omdat je poorten hebt (ge1, ge2, ge3 enz.) in plaats van ofwel lan1 te kiezen en dit toe te wijzen aan één poort of een aantal poorten. Hier moeten we dus wat handmatig werk doen.

Dus omdat de USG FLEX 100 6 poorten heeft en de Zywall310 8 poorten. We moeten ge7 en ge8 verwijderen evenals alle verwijzingen naar ge7 en ge8 door in het configuratiebestand te zoeken naar "ge7" en dan "ge8".

Voorbeelden van waar de ge7 en ge8 mapping configuratie te verwijderen:

Nadat u alle verwijzingen hebt verwijderd van de poorten die niet bestaan op de USG FLEX 100, gaat u verder met het uploaden van het nieuwe configuratiebestand dat u hebt gemaakt en past u de configuratie toe.

Pad 3: de configuratie handmatig kopiëren/plakken

Pad 3.1: Notepad++ downloaden

Navigeer naar https://notepad-plus-plus.org/downloads/ en download en installeer de nieuwste versie van Notepad++.

Pad 3.2: Installeer de "Compare" plugin

Navigeer naar

Plugins -> Plugins Admin 

Zoek dan naar compare en klik op "install" om de Compare tool te installeren.

Pad 3.3: Open beide config-bestanden en start de compare tool

Open beide configuratiebestanden (van de oude USG310 en de nieuwe USG FLEX 700)

Witte velden = dezelfde configuratie op beide

Rode velden = bestaat niet in het andere configuratiebestand

Groene velden = nieuwe dingen die gekopieerd moeten worden naar het andere config-bestand

4.1 Voorbeelden van kopiëren/plakken

1. Ethernet-interface + VLAN

2. Gebruiker / admin configureren

3. VPN-instellingen

4. Zones

5. DNS en domeinzone-forwarder

6. NAT (virtuele server & NAT)

7. Secure-policy (firewallregels)

8. Beleidsroutes

4.2 Dingen die je niet moet kopiëren/plakken

UTM-functies

Toepassingspatrouille zoals je hieronder kunt zien, is verschillende syntaxis voor de oude firewalls en de nieuwe firewalls

Certificaten

Certificaten zijn uniek voor de firewalls en kunnen niet gevonden worden in het configuratiebestand. Er wordt echter wel naar verwezen in het configuratiebestand. Dus je wilt je misschien bewust zijn van de verwijzingen hier. Zoek in het configuratiebestand om de "cert" verwijzingen te vinden.

Als je klaar bent met kopiëren, voer dan de vergelijkingsfunctie opnieuw uit en je zult duidelijker zien wat er is gekopieerd en wat niet.

5) Problemen oplossen

In deze sectie wordt uitgelegd hoe je problemen oplost en worden voorbeelden gegeven van fouten die kunnen optreden en hoe je die kunt oplossen.

Wanneer je een nieuw configuratiebestand uploadt naar de nieuwe firewall, zul je waarschijnlijk problemen moeten oplossen omdat het uploaden mislukt. Wanneer je dit scherm tegenkomt:

Navigeer naar

Onder Filter zou je de logs kunnen filteren op "Bestandsbeheer" om alle records te zien die gerelateerd zijn aan de configuratie-upload.

5.1 WAARSCHUWING vs. FOUT

Waar je naar wilt kijken, zijn de ERROR-berichten die in rood worden weergegeven. WAARSCHUWING is niets om je zorgen over te maken en is volkomen normaal.

Als het mislukt - repareer de fout en verwijder de configuratie die je zojuist hebt geüpload en upload de nieuwe configuratie opnieuw.

5.2 Encryptiefout

Als je de foutmelding "Data is versleuteld" krijgt, kan het zijn dat je alle gebruikersaccounts (+ wachtwoorden) moet verwijderen omdat de versleuteling van de wachtwoorden niet kan worden omgezet door het nieuwe apparaat.

5.3 Voorbeeld van fouten

Fout #1

Deze foutmelding zegt dat het "Associated AAA object doesn't exist" (Gekoppeld AAA object bestaat niet), wat betekent dat er iets in de AD configuratie niet overeenkomt met deze verwijzing.

Oplossing #1

We konden zien dat de SSL VPN gebruikers verwezen naar de AD configuratie, waar de AD configuratie was verwijderd voor de conversie, omdat deze niet meer werd gebruikt. Dus de oplossing was om de SSL VPN gebruikers te verwijderen uit de configuratie en het configuratiebestand opnieuw te uploaden.

Fout #2

Hier kon de configure terminal account PPPoE GE14 niet worden geconfigureerd. Dus wat we moeten doen is zoeken (ctrl+f) in het config bestand naar het GE14 commando dat de firewall probeert uit te voeren.

Oplossing #2

Hier mislukte het omdat we vergaten te scheiden tussen de "account pppoe" en "ip dhcp pool". Dus wat we moeten doen is een "!" toevoegen tussen de commando's.

Fout #3

We zagen een foutmelding "configure terminal interface_ether ge \x09\x09\x09[...]", en bij het zoeken naar "interface_ether" kunnen we niets vinden in het configuratiebestand. Dus zijn we gaan zoeken naar de interfaces in het configuratiebestand.

Oplossing #3

Na de interfaceconfiguratie dubbel gecontroleerd te hebben, konden we zien dat het een duplicaat adresobject was op de ge-interfaces die we verwijderd hebben. Dus het dubbele adresobject kan niet werken omdat de naam LAN_SUBNET_GE4 al in gebruik is.

Fout #4

We konden zien dat het adresobject RFC1918_2 niet kon worden gemaakt en uitgevoerd.

Oplossing #4

Na wat heen en weer gesteggel kwamen we erachter dat het adresobject hier op de verkeerde plaats stond in het config bestand, en was veranderd naar tussen het adres-object en object-groep adres in

Fout #5

We hadden een probleem met het serviceobject dat niet kon worden gemaakt.

Oplossing #5

Dus toen we deze twee Any_UDP en Any_TCP service-objecten verwijderden, konden we zien dat het derde service-object niet kon worden gemaakt, wat aangeeft dat geen van de service-objecten kon worden gemaakt.

De oplossing was om te controleren of er een "spatie" voor of na de "!" kon staan tussen het address6-object en het service-object.