În acest articol, dorim să vă oferim o privire de ansamblu asupra unei multitudini de sfaturi de cele mai bune practici, scufundări mai scurte în termeni de depanare, analiză și alte remarci interesante cu privire la produsele noastre Firewall pentru a profita la maximum de ele.
Interfața liniei de comandă
În cazul în care nu știți, dispozitivele noastre au o interfață de linie de comandă pe care o puteți accesa fie prin SSH, fie prin cablu de consolă: Accesați interfața de linie de comandă a dispozitivului dvs. Zyxel (SSH prin puTTY și Consolă prin TeraTerm)
Dar știați că puteți accesa chiar și CLI din browserul dvs. web? Faceți clic pe pictograma webconsole din colțul din dreapta al meniului dvs. USG FLEX:
Nu trece trafic VPN? (Subrețele și protocoale)
Acesta este un sfat rapid pentru o problemă care apare adesea pe VPN: mulți dintre clienții noștri ne raportează că tunelul VPN, poate fi Site-To-Site sau Client-To-Site, se conectează perfect, dar nu există trafic. trecând prin - de ce este așa? Adesea, există două motive diferite pentru aceasta
- Subrețelele sunt configurate greșit
- ISP-ul blochează protocoalele
#1 - Subrețelele sunt configurate greșit
Imaginați-vă că aveți două site-uri pe care doriți să le interconectați și ambele site-uri au același interval IP, să presupunem doar 192.168.1.X, așa cum se arată mai jos:
Adesea, clienții vor raporta că VPN-ul de fapt se conectează și se acumulează, dar nu primesc trafic prin VPN, astfel încât nu se pot conecta de la PC la Server - ce se întâmplă aici?
Chestia este că, la crearea unei interfețe pe USG, creăm o rută directă . O rută directă plasează independent de sursa un trafic care dorește să meargă la un IP care se potrivește cu una dintre subrețelele interfeței firewall-ului pe interfața respectivă. Cu alte cuvinte: având LAN1 pe USG #1 cu 192.168.1.1, ori de câte ori dorim să ajungem la 192.168.1.200 (IP-ul serverelor), vom fi întotdeauna trimise înapoi în subrețeaua LAN1 a USG #1, când ajungem la gateway-ul nostru, prin intermediul ruta directa. Iată cum arată:
Puteți citi regula după cum urmează: „Fără să priviți sursa, dacă destinația se potrivește cu interfața LAN1, doar împingeți-o către LAN1”, astfel încât conexiunea de la PC la Server nu va ajunge niciodată la al patrulea bloc de rutare „Site-2 -Site VPN” și, prin urmare, nu poate fi niciodată procesat de algoritmul de rutare pentru a fi împins în VPN. Învățarea clară este: asigurați-vă că nu aveți niciodată subrețele care se suprapun!
Și dacă o faceți, consultați acest tutorial: Cum să configurați SNAT într-un tunel VPN
2# - ISP-ul blochează protocoalele
Este posibil ca motivul pentru care vă conectați VPN, dar pentru care nu trece traficul, să fie pur și simplu pentru că ISP-ul dvs. nu blochează porturi, ci protocoale. Deci, VPN-ul poate stabili prin portul 500 UDP, 4500 UDP și/sau 1701 UDP, care sunt responsabili pentru schimbul de strângere de mână pentru a conecta tunelul unul la celălalt, dar protocolul folosit pentru a încapsula datele tunelului VPN, ESP - cunoscut și sub numele de protocol 50 - este blocat. Dacă nu sunteți afectat, puteți afla prin linia de comandă: enter
packet-trace interface wan1 ip-proto esp
și declanșați o conexiune VPN (Sfat: asigurați-vă că nu aveți niciun tunel suplimentar deschis și că nu aveți trafic care rulează prin tunel așteptat de clientul dvs. Apoi declanșați un ping către IP-ul gateway-ului LAN la distanță. Dacă vedeți că pachetele ies, dar Nu reveniți la interfața dvs. WAN, acesta este un indicator destul de solid că ISP-ul dvs. face ceva greșit - în acest caz, intrați în contact cu ei.
Numirea contează! Organizează-ți bine obiectele!
Seria noastră USG FLEX/ATP/VPN de sine stătătoare aduc o structură de meniu și un aspect grozav cu ele. Unul dintre avantajele cheie pe care le au dispozitivele noastre este flexibilitatea incredibilă de a răsuci și ajusta setările în funcție de nevoile dvs. Cu toate acestea, acest lucru vine cu un preț de plătit - trebuie să vă mențineți organizat denumirea!
Acum, deoarece există multe abordări individuale cu privire la modul de a face acest lucru, vom arăta pur și simplu cum o fac unii dintre colegii noștri. Pentru a vă oferi un mic exemplu, mai întâi, navigați la
Configuration > Object > Service
și apăsați butonul „Adăugați” pentru a crea o nouă intrare:
Deoarece numele unui serviciu trebuie să înceapă cu o literă, dar în general definim Servicii în afara spectrului, am putea începe numele cu ceva generic ca „Port”, urmat de numărul Port. În cele din urmă, am putea adăuga și Protocolul, deoarece s-ar putea ca, la un moment diferit, UDP-ul Port compatibil să fie utilizat de o altă aplicație.
Dacă doriți, puteți îmbunătăți acest sistem și adăugând un scurt cuvânt cheie despre ce este serviciul:
O abordare similară este recomandată pentru toate celelalte obiecte, în special pentru adrese - asigurați-vă că organizați și înțelegeți sistemul pe care l-ați construit și îl mențineți din motive de consecvență.
Actualizări de firmware - nu schimbați niciodată un sistem care rulează!
Ceea ce ar putea suna la prima citire ca o recomandare de a rămâne cu firmware-ul actual (nu este!) Este un joc de cuvinte lingvistic, dar haideți să explicăm în continuare. Firewall-urile noastre de securitate au două partiții de boot-up/firmware:
Fiecare partiție are propria bază de date, constând, de asemenea, din două baze de date de configurare individuale una față de cealaltă - acest lucru este important de știut, deoarece dacă ați aplica un firmware nou, s-ar putea să doriți să setați firmware-ul pe partiția de așteptare, „doar în caz că se întâmplă ceva, pot reveni la Running și pot fi din nou bine.” - Mulți dintre clienții noștri chiar cred așa. Dar există o eroare: de fiecare dată când schimbați partiția, configurația dvs. curentă va încerca într-adevăr să fie adusă și aplicată celeilalte partiții. Ar putea merge bine în majoritatea cazurilor. Cu toate acestea, dacă există într-un fel o problemă cu configurația actuală - care se poate întâmpla dacă faceți upgrade de la un firmware foarte vechi la cel mai recent fără pași între ele - poate fi ca USG să se defecteze și să repornească singur și să încerce din nou procesul . Totuși, pentru a nu cădea într-o buclă de pornire eternă, după 3 încercări dispozitivul va reveni la configurația implicită a sistemului!
Dacă acum vă aflați într-o situație în care sunteți conectat de la distanță la USG pe mai mulți 100 de kilometri și dispozitivul s-a prăbușit în acest fel, mai bine aveți pe cineva la fața locului care vă poate ajuta sau să fie pregătit pentru o călătorie lungă la fața locului.
Este mult mai bine să suprascrieți partiția care rulează , deoarece numai dacă se întâmplă ceva neprevăzut (cum ar fi o eroare de lansare sau similar), ar putea exista o problemă - în cele mai multe cazuri, va funcționa perfect, actualizarea firmware-ului de la o versiune deja destul de firmware recent pe partiția care rulează.
Faceți backup pentru configurație - chiar acum! Nu, nu îl copiați pe router, de fapt îl salvați pe computer!
Un alt titlu ironic pentru o recomandare serioasă: faceți o copie de rezervă a fișierului de configurare în mod regulat. De asemenea, faceți backup nu numai pe dispozitivul în sine (care este deja un pas bun în direcția corectă, ci descarcă-l pe computer prin intermediul
Maintenance > File Manager > Configuration File
și selectând startup-config.conf și apăsând butonul Download - :
Acum puteți găsi fișierul .conf descărcat, care poate fi deschis prin Notepad sau Notepad++:
Având o sincronizare regulată de acest fel, vă ajută să reduceți drastic timpul de nefuncționare atunci când este cu adevărat necesar - într-o situație problematică.
Există multe alte sfaturi și trucuri care vor fi adăugate în cele din urmă în viitor, dar acest lucru vă oferă un început bun cu câteva informații utile, sperăm.
DECLINAREA RESPONSABILITĂȚII:
Stimate client, vă rugăm să rețineți că folosim traducerea automată pentru a furniza articole în limba dvs. locală. Nu tot textul poate fi tradus cu acuratețe. Dacă există întrebări sau discrepanțe cu privire la acuratețea informațiilor din versiunea tradusă, consultați articolul original aici: Versiunea originală