Иногда может быть полезно иметь доступ к вашей NSG извне через программное обеспечение SSH-терминала. Это может быть полезно, если вы хотите проверить некоторые конкретные настройки или убедиться, что настройки, установленные в Центре управления Nebula (NCC), правильно реализованы в устройстве.

Обратите внимание: мы не рекомендуем выполнять какие-либо конфигурационные команды на ваших устройствах Nebula! Мы также не можем поддержать случаи, в которых это произошло!

Однако для целей отладки это может быть чрезвычайно полезно.

1) Доступ к устройству через SSH

1a) О ГЯП

1. Разрешить устройству отвечать на службы HTTPS и SSH со стороны WAN (в этом случае мы выбираем «любой»).
2. Вы можете найти это меню через
   dyn_repppppp_ @
3. Затем получите доступ к NSG через его общедоступный IP-адрес через WAN:
   
   
   
4. Перейдите в соответствующее меню и активируйте «Разрешить WAN для устройства» и добавьте исходные IP-адреса, которым вы хотите разрешить доступ через SSH:

   Configuration > SSH

    

5. Теперь у вас должна быть возможность получить доступ к своему NSG через SSH - Поздравляем!
   

1b) На USG FLEX / ATP

1. Сначала получите доступ к устройству через веб-интерфейс.

Перейдите локально на https://192.168.1.1 или на IP-адрес, заданный в интерфейсах Ethernet Nebula

Войдите в систему, используя пароль учетной записи поддержки, указанный в Nebula CC в разделе (На уровне сайта -> Общие настройки):

2) захват пакета

2a) Из веб-интерфейса

1) Захватите пакеты, перейдя в Обслуживание -> Захват пакетов:

2) Выберите интерфейс - для внутреннего трафика выберите интерфейс LAN или vlan, а для внешнего трафика выберите соответствующий интерфейс WAN.

Выберите, какой тип фильтра вы хотите для трафика VPN (он зашифрован), поэтому выберите Тип протокола: ESP. Для просмотра трафика, идущего на / с внутреннего сервера. выберите Host IP -> User-defined, а затем запишите IP-адрес сервера (например, 192.168.1.3).

3) Затем нажмите на захват и отправьте тестовые пакеты на выбранный интерфейс (например, на сервер - 192.168.1.3).

4) Загрузите захват пакета в разделе Captured Packet Files.

5) Откройте файл с помощью WireShark ( Как диагностировать VoIP-трафик с помощью Wireshark )

2b) Из SSH

Примечание! На NSG - сначала выполните шаги 1a, чтобы разрешить SSH.

1) Разрешите доступ из WAN к устройству с вашего устройства через правила брандмауэра (находятся в разделе брандмауэр -> Политика безопасности), где вы ограничиваете исходный IP-адрес своим общедоступным IP-адресом из соображений безопасности:

2) авторизуйтесь через Putty или TeraTerm

3) введите отслеживание пакетов, а затем выберите трассировку пакетов, которую вы хотите выполнить.

интерфейс : интерфейсы Ethernet (например, wan1, lan1 и т. д.)
порт : сервис, который вы хотите захватить (443 (HTTPS), 80 (HTTP) и т. д.)
ip-proto : протокол, который вы хотите фильтровать (например, ping)
src-host : источник, откуда приходят пакеты (например, от сервера (192.168.1.3) к месту назначения: любой)

dst-host : место назначения, куда идут пакеты (например, на сервер (192.168.1.3) от источника: любой)

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:

Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности в точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия