In dit artikel willen we u een overzicht geven van een overvloed aan verschillende best practice-tips, kortere diepe duiken in termen van foutopsporing, analyse en andere interessante opmerkingen over onze Firewall-producten om er het maximale uit te halen.
De opdrachtregelinterface
Voor het geval je het misschien niet weet, onze apparaten hebben een opdrachtregelinterface die je kunt openen via SSH of consolekabel: Toegang tot de opdrachtregelinterface van je Zyxel-apparaat (SSH via puTTY & Console via TeraTerm)
Maar wist je dat je zelfs vanuit je webbrowser toegang hebt tot de CLI? Klik op het webconsole icoon in de rechterhoek van je USG FLEX' menu:
Geen VPN-verkeer door? (Subnetten & Protocollen)
Dit is een snelle tip voor een probleem dat vaak voorkomt op VPN: Veel van onze klanten melden ons dat de VPN-tunnel, of het nu Site-To-Site of Client-To-Site is, prima verbinding maakt, maar er is geen verkeer doorkomen - waarom is dat zo? Vaak zijn hier twee verschillende redenen voor:
- Subnetten zijn verkeerd ingesteld
- ISP blokkeert protocollen
#1 - Subnetten zijn verkeerd ingesteld
Stel je voor dat je twee sites hebt die je met elkaar wilt verbinden, en beide sites hebben hetzelfde IP-bereik, laten we aannemen dat 192.168.1.X is, zoals hieronder weergegeven:
Vaak zullen klanten melden dat de VPN inderdaad verbinding maakt en opbouwt, maar dat ze geen verkeer ontvangen via de VPN, waardoor ze geen verbinding kunnen maken van de pc naar de server - wat gebeurt hier?
Het punt is dat we bij het maken van een interface op de USG een directe route maken . Een directe bron-onafhankelijke route plaatst verkeer dat naar een IP wil gaan dat overeenkomt met een van de subnetten van de firewall-interface op de respectieve interface. Met andere woorden: door LAN1 op USG #1 te hebben met 192.168.1.1, wanneer we 192.168.1.200 (de servers IP) willen bereiken, zullen we altijd bij het bereiken van onze gateway teruggestuurd worden naar het LAN1 Subnet van USG #1 via de directe route. Hier is hoe het eruit ziet:
Je zou de regel als volgt kunnen lezen: "Zonder naar de bron te kijken, als de bestemming overeenkomt met de interface van LAN1, push het gewoon naar LAN1", zodat de verbinding van pc naar de server nooit het vierde routeringsblok "Site-2" zal bereiken -Site VPN" en kan dus nooit worden verwerkt door het routeringsalgoritme om in de VPN te worden gepusht. De duidelijke les hieruit is: zorg ervoor dat u nooit overlappende subnetten heeft!
En als je dat doet, bekijk dan deze tutorial: SNAT instellen in een VPN-tunnel
2# - ISP blokkeert protocollen
Het kan zijn dat de reden dat uw VPN verbinding maakt, maar geen verkeer passeert, simpelweg is omdat uw ISP geen poorten blokkeert, maar protocollen. Dus de VPN kan tot stand brengen via poort 500 UDP, 4500 UDP en/of 1701 UDP, die verantwoordelijk zijn voor het uitwisselen van de handshake om de tunnel met elkaar te verbinden, maar het protocol dat wordt gebruikt om de VPN-tunnelgegevens in te kapselen, ESP - ook wel bekend als protocol 50 - wordt geblokkeerd. Als u geen last heeft, kunt u erachter komen via de opdrachtregel: enter
packet-trace interface wan1 ip-proto esp
en activeer een VPN-verbinding (Tip: zorg ervoor dat er geen extra tunnel open is en dat er geen verkeer door de tunnel loopt dat van uw client wordt verwacht. Activeer vervolgens een ping naar de externe LAN-gateway IP. Als u ziet dat pakketten uitgaan, maar niet terugkomend op uw WAN-interface, dat is een behoorlijk solide indicator dat uw ISP iets verkeerd doet - neem in dat geval contact met hen op.
Naamgeving is belangrijk! Organiseer uw objecten goed!
Onze USG FLEX/ATP/VPN-serie in standalone brengt een geweldige menustructuur en lay-out met zich mee. Een van de belangrijkste voordelen van onze apparaten is de ongelooflijke flexibiliteit om instellingen aan uw behoeften aan te passen en aan te passen. Dit komt echter met een prijs - u moet uw naamgeving georganiseerd houden!
Omdat er veel individuele benaderingen zijn om het te doen, zullen we gewoon laten zien hoe sommige van onze collega's het doen. Om u een klein voorbeeld te geven, navigeert u eerst naar
Configuration > Object > Service
en druk op de knop "Toevoegen" om een nieuw item aan te maken:
Aangezien de naam van een Service met een letter moet beginnen, maar we meestal Services buiten het spectrum definiëren, kunnen we de naam beginnen met iets generieks als "Port", gevolgd door het Port-nummer. Uiteindelijk kunnen we het protocol ook toevoegen, omdat het mogelijk is dat op een ander tijdstip de overeenkomende UDP Port door een andere toepassing wordt gebruikt.
Als je wilt, kun je dit systeem ook verbeteren door een kort trefwoord toe te voegen over waar de service over gaat:
Een vergelijkbare aanpak wordt aanbevolen voor alle andere objecten, vooral adressen - zorg ervoor dat u het systeem dat u hebt opgebouwd ordent en begrijpt en onderhoud het om redenen van consistentie.
Firmware-updates - verander nooit een draaiend systeem!
Wat op het eerste gezicht klinkt als een aanbeveling om bij je huidige firmware te blijven (dat is het niet!) is een woordspeling, maar laten we het verder uitleggen. Onze beveiligingsfirewalls hebben twee opstart-/firmware-partities:
Elke partitie heeft zijn eigen database, ook bestaande uit twee configuratiedatabases die afzonderlijk van elkaar zijn - dat is belangrijk om te weten, want als je een nieuwe firmware zou toepassen, zou je de neiging kunnen hebben om de firmware op de stand-bypartitie in te stellen, "voor het geval dat gebeurt er iets, dan kan ik terug naar het hardlopen en weer in orde zijn." - veel van onze klanten denken precies zo. Maar er zit een drogreden in: elke keer dat je de partitie verandert, zal je huidige configuratie inderdaad worden overgezet en toegepast op de andere partitie. Dat kan in de meeste gevallen goed gaan. Als er echter op de een of andere manier een probleem wordt opgemerkt met de huidige configuratie - wat kan gebeuren als u een upgrade uitvoert van een zeer oude firmware naar de nieuwste zonder tussenliggende stappen - kan het zijn dat de USG een fout maakt en zichzelf opnieuw opstart en het proces opnieuw probeert . Om echter niet in een eeuwige bootloop te vervallen, keert het apparaat na 3 pogingen terug naar de systeemstandaardconfiguratie!
Mocht je nu in de situatie zitten dat je over meerdere 100 kilometer op afstand verbonden bent met de USG en het toestel is op deze manier zelf gecrasht, dan kun je maar beter iemand ter plaatse hebben die kan helpen of voorbereid is op een lange reis ter plaatse.
Het is veel beter af de actieve partitie te overschrijven, want alleen als er iets gebeurt dat niet wordt verwacht (zoals een uitrolfout of iets dergelijks), kan er een probleem zijn - in de meeste gevallen zal het prima werken door de firmware te upgraden van een al behoorlijk recente firmware op de actieve partitie.
Maak een back-up van uw configuratie - nu meteen! Nee, niet kopiëren naar de router, maar opslaan op uw pc!
Nog een ironische kop voor een serieuze aanbeveling: maak regelmatig een back-up van uw configuratiebestand. Maak de back-up ook niet alleen op het apparaat zelf (wat al een goede stap in de goede richting is, maar download deze ook daadwerkelijk naar de computer via
Maintenance > File Manager > Configuration File
en selecteer de startup-config.conf en druk op de Download -knop:
Mogelijk vindt u nu het gedownloade .conf-bestand, dat kan worden geopend via Kladblok of Kladblok++:
Het hebben van een regelmatige synchronisatie van deze soort helpt u de uitvaltijd drastisch te verminderen wanneer dit echt nodig is - in een probleemsituatie.
Er zijn nog vele andere tips en trucs die uiteindelijk in de toekomst kunnen worden toegevoegd, maar dit geeft je een goed begin met hopelijk wat nuttige informatie.
VRIJWARING:
Geachte klant, houd er rekening mee dat we machinevertaling gebruiken om artikelen in uw lokale taal aan te bieden. Niet alle tekst is mogelijk nauwkeurig vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, lees dan het originele artikel hier: Originele versie