I denne artikkelen ønsker vi å gi deg en oversikt over en mengde forskjellige beste praksis-tips, kortere dypdykk når det gjelder feilsøking, analysering og andre interessante kommentarer angående Firewall-produktene våre for å få mest mulig ut av dem.
Kommandolinjegrensesnittet
I tilfelle du kanskje ikke vet det, har enhetene våre et kommandolinjegrensesnitt som du enten kan få tilgang til via SSH eller konsollkabel: Få tilgang til kommandolinjegrensesnittet til Zyxel-enheten din (SSH via puTTY & Console via TeraTerm)
Men visste du at du til og med kan få tilgang til CLI fra nettleseren din? Klikk på webkonsollikonet i høyre hjørne av USG FLEX-menyen:
Ingen VPN-trafikk som passerer gjennom? (Subnetting og protokoller)
Dette er et raskt tips for et problem som ofte oppstår på VPN: Mange av våre kunder rapporterer til oss at VPN-tunnelen, kan det være Site-To-Site eller Client-To-Site, kobler seg helt fint, men det er ingen trafikk kommer gjennom - hvorfor er det slik? Ofte er det to forskjellige årsaker til dette
- Subnett er satt opp feil
- ISP blokkerer protokoller
#1 - Undernett er satt opp feil
Tenk deg at du har to nettsteder som du vil koble sammen, og begge nettstedene har samme IP-område, la oss bare anta 192.168.1.X, som vist nedenfor:
Ofte vil kunder rapportere at VPN-en faktisk kobler til og bygger seg opp, men de får ikke trafikk over VPN-en, og kan dermed ikke koble seg fra PC-en til Serveren - hva skjer her?
Saken er at når vi oppretter et grensesnitt på USG, lager vi en Direct Route . En direkte rutekilde-uavhengig plasserer en trafikk som ønsker å gå til en IP som matcher en av brannmurens grensesnittundernett på det respektive grensesnittet. Med andre ord: ved å ha LAN1 på USG #1 med 192.168.1.1, når vi ønsker å nå 192.168.1.200 (serverens IP), vil vi alltid når vi når gatewayen vår sendes tilbake til LAN1-undernettet til USG #1 via direkte rute. Slik ser det ut:
Du kan lese regelen som følger: "Uten å se på kilden, hvis destinasjonen samsvarer med grensesnittet til LAN1, bare skyv den ut til LAN1", så tilkobling fra PC til Server vil aldri nå den fjerde rutingblokken "Site-2 -Site VPN" og kan derfor aldri behandles av rutingalgoritmen for å bli presset inn i VPN. Den klare læringen dette er: sørg for å aldri ha overlappende undernett!
Og hvis du gjør det, så sjekk ut denne opplæringen: Hvordan sette opp SNAT i en VPN-tunnel
2# - ISP blokkerer protokoller
Det kan være at årsaken til at VPN-en din kobler til, men ingen trafikk som går gjennom, ganske enkelt er fordi Internett-leverandøren din blokkerer ingen porter, men protokoller. Så VPN kan etablere gjennom port 500 UDP, 4500 UDP og/eller 1701 UDP, som er ansvarlige for å utveksle håndtrykk for å koble tunnelen til hverandre, men protokollen som brukes til å kapsle inn VPN-tunneldata, ESP - også kjent som protokoll 50 - blir blokkert. Hvis du ikke er berørt, kan du finne ut av det via kommandolinjen: enter
packet-trace interface wan1 ip-proto esp
og utløs en VPN-tilkobling (Tips: sørg for å ikke ha noen ekstra tunnel åpen og ikke ha noen trafikk som kjører gjennom tunnelen, forvent av klienten din. Utløs deretter et ping til den eksterne LAN-gatewayen IP. Hvis du ser at pakker går ut, men ikke kommer tilbake til WAN-grensesnittet ditt, det er en ganske solid indikator på at Internett-leverandøren din gjør noe galt – i så fall ta kontakt med dem.
Navngivning betyr noe! Organiser objektene dine godt!
Vår USG FLEX/ATP/VPN-serie i frittstående gir en flott menystruktur og layout med seg. En av hovedfordelene enhetene våre har, er den utrolige fleksibiliteten til å vri og tilpasse innstillingene til dine behov. Dette kommer imidlertid med en pris å betale - du må holde orden på navnene dine!
Nå, siden det er mange individuelle tilnærminger til hvordan man gjør det, vil vi ganske enkelt vise hvordan noen av våre kolleger gjør det. For å gi deg et lite eksempel, naviger først til
Configuration > Object > Service
og trykk på "Legg til"-knappen for å opprette en ny oppføring:
Siden navnet på en tjeneste må starte med en bokstav, men for det meste definerer vi tjenester utenfor spekteret, kan vi starte navnet med noe generisk som "Port", etterfulgt av Port-nummeret. Til slutt kan vi legge til protokollen også, siden det kan være at den matchende UDP Port på et annet tidspunkt kan bli brukt av en annen applikasjon.
Hvis du vil, kan du også forbedre dette systemet ved å legge til et kort nøkkelord om hva tjenesten handler om:
En lignende tilnærming anbefales for alle andre objekter, spesielt adresser - sørg for at du organiserer og forstår systemet du har bygget opp og vedlikeholder det av hensyn til konsistensen.
Fastvareoppdateringer - bytt aldri et system som kjører!
Det som umiddelbart kan høres ut som en anbefaling om å holde deg til den nåværende firmwaren (det er det ikke!) er en tungen på vektskålen, men la oss forklare nærmere. Sikkerhetsbrannmurene våre har to Boot-Up/Firmware-partisjoner:
Hver partisjon har sin egen database, som også består av to konfigurasjonsdatabaser som er individuelle for hverandre - det er viktig å vite, for hvis du vil bruke en ny fastvare, kan det være lurt å sette fastvaren på Standby-partisjonen, "i tilfelle noe skjer, jeg kan rulle tilbake til løpingen og bli bra igjen." - Mange av kundene våre tenker faktisk akkurat slik. Men det er en feilslutning ved det: hver gang du endrer partisjonen, vil din nåværende konfigurasjon faktisk bli forsøkt hentet over og brukt på den andre partisjonen. Det kan gå bra i de fleste tilfeller. Men hvis det på en eller annen måte er oppdaget et problem med den nåværende konfigurasjonen - som kan skje hvis du oppgraderer fra en veldig gammel firmware til den nyeste uten noen trinn i mellom - kan det være at USG feiler og starter seg selv på nytt og prøver prosessen på nytt . For ikke å falle inn i en evig oppstartssløyfe, vil enheten etter 3 forsøk gå tilbake til system-standard-konfigurasjon!
Hvis du nå er i en situasjon der du er eksternt koblet til USG over flere 100 kilometer og enheten har krasjet på denne måten, bør du ha noen på stedet som kan hjelpe eller være forberedt på en lang tur på stedet.
Du er mye bedre av å overskrive den kjørende partisjonen , for bare hvis noe ikke forventet skjer (for eksempel en utrullingsfeil eller lignende), kan det være et problem - i de fleste tilfeller vil det bare gå helt fint ved å oppgradere fastvaren fra en allerede ganske nylig fastvare på den kjørende partisjonen.
Sikkerhetskopier konfigurasjonen din - akkurat nå! Nei, ikke kopier den til ruteren, lagre den faktisk på PC-en din!
En annen overskrift for en seriøs anbefaling: Sikkerhetskopier konfigurasjonsfilen regelmessig. Gjør også sikkerhetskopieringen ikke bare på selve enheten (som allerede er et godt skritt i riktig retning, men last den faktisk ned til datamaskinen via
Maintenance > File Manager > Configuration File
og velg startup-config.conf og trykk på Last ned- knappen:
Du kan nå finne den nedlastede .conf-filen, som kan åpnes via Notepad eller Notepad++:
Å ha en regelmessig synkronisering av denne typen hjelper deg drastisk å redusere nedetiden når det virkelig er nødvendig - i en problemsituasjon.
Det er mange andre tips og triks som etter hvert kan legges til i fremtiden, men dette gir deg en god start på litt forhåpentligvis nyttig informasjon.
ANSVARSFRASKRIVELSE:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Ikke all tekst kan oversettes nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, vennligst les den originale artikkelen her: Originalversjon