W tym artykule chcemy przedstawić przegląd wielu różnych wskazówek dotyczących najlepszych praktyk, krótszych głębokich nurkowań w zakresie debugowania, analizowania i innych interesujących uwag dotyczących naszych produktów Firewall, aby jak najlepiej je wykorzystać.
Interfejs wiersza poleceń
Jeśli nie wiesz, nasze urządzenia mają interfejs wiersza poleceń, do którego można uzyskać dostęp za pośrednictwem SSH lub kabla konsoli: Uzyskaj dostęp do interfejsu wiersza poleceń urządzenia Zyxel (SSH przez puTTY i konsolę przez TeraTerm)
Ale czy wiesz, że możesz nawet uzyskać dostęp do CLI z przeglądarki internetowej? Kliknij ikonę konsoli internetowej w prawym rogu menu USG FLEX:
Brak ruchu VPN? (Podsieci i protokoły)
To jest szybka wskazówka dotycząca problemu, który często występuje w VPN: Wielu naszych klientów zgłasza nam, że tunel VPN, może to być Site-to-Site lub Client-To-Site, łączy się idealnie, ale nie ma ruchu przechodząc - dlaczego tak jest? Często są ku temu dwa różne powody
- Podsieci są źle skonfigurowane
- ISP blokuje protokoły
#1 — Podsieci są źle skonfigurowane
Wyobraź sobie, że masz dwie witryny, które chcesz połączyć, a obie witryny mają ten sam zakres adresów IP, załóżmy po prostu 192.168.1.X, jak pokazano poniżej:
Często klienci zgłaszają, że VPN faktycznie łączy się i narasta, ale nie otrzymują ruchu przez VPN, przez co nie mogą połączyć się z komputera PC z serwerem — co się tutaj dzieje?
Chodzi o to, że tworząc interfejs na USG, tworzymy trasę bezpośrednią . Trasa bezpośrednia niezależnie od źródła umieszcza ruch, który chce przejść do adresu IP, który pasuje do jednej z podsieci interfejsu zapory na odpowiednim interfejsie. Innymi słowy: mając LAN1 na USG #1 z 192.168.1.1, za każdym razem, gdy chcemy osiągnąć 192.168.1.200 (IP serwera), zawsze po dotarciu do naszej bramy zostaniemy odesłani z powrotem do podsieci LAN1 USG #1 przez droga bezpośrednia. Oto jak to wygląda:
Możesz przeczytać regułę w następujący sposób: „Bez patrzenia na źródło, jeśli miejsce docelowe pasuje do interfejsu LAN1, po prostu wepchnij go do LAN1”, aby połączenie z komputera PC do serwera nigdy nie dotarło do czwartego bloku routingu „Site-2 -Site VPN”, a zatem nigdy nie może zostać przetworzony przez algorytm routingu, który ma zostać wepchnięty do VPN. Oczywistym wnioskiem jest to: upewnij się, że podsieci nigdy się nie nakładają!
A jeśli tak, zapoznaj się z tym samouczkiem: Jak skonfigurować SNAT w tunelu VPN
2# - ISP blokuje protokoły
Możliwe, że przyczyną połączenia VPN, ale żadnego ruchu, jest to, że Twój dostawca usług internetowych nie blokuje żadnych portów, ale protokoły. Tak więc VPN może nawiązać połączenie przez port 500 UDP, 4500 UDP i/lub 1701 UDP, które są odpowiedzialne za wymianę uzgadniania w celu połączenia tunelu ze sobą, ale protokół używany do enkapsulacji danych tunelu VPN, ESP - znany również jako protokół 50 - jest blokowany. Jeśli nie jesteś dotknięty, możesz dowiedzieć się za pomocą wiersza poleceń: enter
packet-trace interface wan1 ip-proto esp
i uruchom połączenie VPN (Wskazówka: upewnij się, że nie masz otwartego żadnego dodatkowego tunelu i nie ma żadnego ruchu przechodzącego przez tunel, którego oczekuje od klienta. Następnie uruchom polecenie ping do adresu IP zdalnej bramy LAN. Jeśli widzisz wychodzące pakiety, ale nie wracając do interfejsu WAN, to całkiem solidny wskaźnik, że Twój dostawca usług internetowych robi coś nie tak - w takim przypadku skontaktuj się z nimi.
Nazewnictwo ma znaczenie! Dobrze zorganizuj swoje obiekty!
Nasza samodzielna seria USG FLEX/ATP/VPN zapewnia świetną strukturę menu i układ. Jedną z kluczowych zalet naszych urządzeń jest niesamowita elastyczność w dostosowywaniu ustawień do własnych potrzeb. Ma to jednak swoją cenę – musisz zadbać o porządek w nazewnictwie!
Teraz, ponieważ istnieje wiele indywidualnych podejść do tego, jak to zrobić, po prostu pokażemy, jak robią to niektórzy nasi koledzy. Aby dać ci mały przykład, najpierw przejdź do
Configuration > Object > Service
i naciśnij przycisk „Dodaj”, aby utworzyć nowy wpis:
Ponieważ nazwa usługi musi zaczynać się od litery, ale najczęściej definiujemy usługi spoza spektrum, możemy zacząć nazwę od czegoś ogólnego, jak „Port”, po którym następuje numer Port. Na koniec możemy również dodać protokół, ponieważ może się zdarzyć, że w innym momencie pasujący UDP Port może zostać wykorzystany przez inną aplikację.
Jeśli chcesz, możesz również ulepszyć ten system, dodając krótkie słowo kluczowe na temat tego, czego dotyczy usługa:
Podobne podejście jest zalecane dla wszystkich innych obiektów, zwłaszcza adresów - upewnij się, że organizujesz i rozumiesz system, który zbudowałeś i utrzymujesz go ze względu na spójność.
Aktualizacje oprogramowania układowego — nigdy nie zmieniaj działającego systemu!
To, co na pierwszy rzut oka może brzmieć jako zalecenie, aby pozostać przy obecnym oprogramowaniu (nie jest!), to żartobliwa gra słów, ale wyjaśnijmy to dalej. Nasze zapory sieciowe mają dwie partycje rozruchowe/oprogramowanie układowe:
Każda partycja ma swoją własną bazę danych, składającą się również z dwóch indywidualnych baz danych konfiguracyjnych - to ważne, aby wiedzieć, ponieważ jeśli chcesz zastosować nowe oprogramowanie układowe, możesz chcieć ustawić oprogramowanie układowe na partycji oczekującej "na wszelki wypadek coś się dzieje, mogę wrócić do Biegania i znów być w porządku.” – wielu naszych klientów myśli właśnie w ten sposób. Ale jest w tym błąd: za każdym razem, gdy zmienisz partycję, twoja bieżąca konfiguracja rzeczywiście zostanie przeniesiona i zastosowana do innej partycji. W większości przypadków może się to udać. Jeśli jednak w jakiś sposób zostanie wykryty problem z obecną konfiguracją – co może się zdarzyć, jeśli uaktualnisz bardzo stare oprogramowanie układowe do najnowszego bez żadnych kroków między nimi – może się zdarzyć, że USG wykryje błędy i uruchomi się ponownie, a następnie spróbuje ponownie przeprowadzić proces . Aby jednak nie wpaść w wieczny bootloop, po 3 próbach urządzenie powróci do domyślnej konfiguracji systemowej!
Jeśli jesteś teraz w sytuacji, w której jesteś zdalnie połączony z USG na przestrzeni wielu 100 kilometrów i urządzenie w ten sposób uległo awarii, lepiej mieć na miejscu kogoś, kto może pomóc lub przygotować się na długą podróż na miejscu.
O wiele lepiej jest nadpisać działającą partycję , ponieważ tylko wtedy, gdy wydarzy się coś, czego nie można się spodziewać (na przykład błąd rolloutu itp.), może wystąpić problem - w większości przypadków po prostu będzie działać idealnie, aktualizując oprogramowanie układowe z już całkiem najnowsze oprogramowanie układowe na uruchomionej partycji.
Wykonaj kopię zapasową swojej konfiguracji - już teraz! Nie, nie kopiuj go do routera, właściwie zapisz go na swoim komputerze!
Kolejny nagłówek z przymrużeniem oka dla poważnej rekomendacji: Regularnie twórz kopie zapasowe plików konfiguracyjnych. Ponadto wykonaj kopię zapasową nie tylko na samym urządzeniu (co już jest dobrym krokiem we właściwym kierunku, ale faktycznie pobierz ją na komputer przez
Maintenance > File Manager > Configuration File
i wybierając plik startup-config.conf i naciskając przycisk Pobierz:
Teraz możesz znaleźć pobrany plik .conf, który można otworzyć za pomocą Notatnika lub Notepad ++:
Regularna synchronizacja tego rodzaju pomaga drastycznie skrócić czas przestoju, gdy jest to naprawdę potrzebne – w sytuacji problemowej.
Istnieje wiele innych wskazówek i sztuczek, które w przyszłości zostaną dodane, ale to dobry początek, jeśli chodzi o przydatne informacje.
ZASTRZEŻENIE:
Drogi Kliencie, pamiętaj, że używamy tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie każdy tekst może zostać przetłumaczony dokładnie. W przypadku pytań lub rozbieżności co do dokładności informacji w przetłumaczonej wersji zapoznaj się z oryginalnym artykułem tutaj: Wersja oryginalna