В этой статье мы хотим дать вам обзор множества различных советов по передовой практике, более коротких глубоких погружений с точки зрения отладки, анализа и других интересных замечаний относительно наших продуктов Firewall, чтобы извлечь из них максимальную пользу.
Интерфейс командной строки
Если вы не знаете, наши устройства имеют интерфейс командной строки, к которому вы можете получить доступ через SSH или консольный кабель: доступ к интерфейсу командной строки вашего устройства Zyxel (SSH через puTTY и консоль через TeraTerm)
Но знаете ли вы, что вы даже можете получить доступ к интерфейсу командной строки из веб-браузера? Щелкните значок веб-консоли в правом углу меню USG FLEX:
Нет трафика VPN? (Подсети и протоколы)
Это быстрый совет по проблеме, которая часто возникает в VPN: многие из наших клиентов сообщают нам, что туннель VPN, будь то Site-to-Site или Client-to-Site, прекрасно подключается, но нет трафика. проходит - почему так? Часто для этого есть две разные причины.
- Подсети настроены неправильно
- Интернет-провайдер блокирует протоколы
# 1 - подсети настроены неправильно
Представьте, что у вас есть два сайта, которые вы хотите соединить, и оба сайта имеют одинаковый диапазон IP-адресов, давайте просто предположим 192.168.1.X, как показано ниже:
Часто клиенты сообщают, что VPN на самом деле подключается и наращивается, но они не получают трафик через VPN, поэтому не могут подключиться с ПК к серверу - что здесь происходит?
Дело в том, что при создании интерфейса на USG мы создаем Прямой Маршрут . Прямой маршрут независимо от источника помещает трафик, желающий перейти на IP-адрес, который соответствует одной из подсетей интерфейса межсетевого экрана, на соответствующий интерфейс. Другими словами: имея LAN1 на USG # 1 с 192.168.1.1, всякий раз, когда мы хотим достичь 192.168.1.200 (IP-адрес сервера), мы всегда, достигнув нашего шлюза, будем отправлены обратно в подсеть LAN1 USG # 1 через прямой маршрут. Вот как это выглядит:
Вы можете прочитать правило следующим образом: «Не глядя на источник, если пункт назначения совпадает с интерфейсом LAN1, просто отправьте его в LAN1», поэтому соединение с ПК с сервером никогда не достигнет четвертого блока маршрутизации «Site-2. -Site VPN "и, следовательно, никогда не может быть обработан алгоритмом маршрутизации для передачи в VPN. Очевидный вывод: убедитесь, что подсети никогда не пересекаются!
И если да, то ознакомьтесь с этим руководством: Как настроить SNAT в туннеле VPN.
2 # - интернет-провайдер блокирует протоколы
Возможно, причина того, что ваше соединение VPN, но не проходит трафик, заключается просто в том, что ваш интернет-провайдер блокирует не порты, а протоколы. Таким образом, VPN может устанавливаться через порт 500 UDP, 4500 UDP и / или 1701 UDP, которые отвечают за обмен квитированием для подключения туннеля друг к другу, но протокол, используемый для инкапсуляции данных туннеля VPN, ESP, также известный как протокол 50 - блокируется. Если вас это не коснулось, вы можете узнать это через командную строку: введите
dyn_repppppp_ @и инициируйте VPN-соединение (Совет: убедитесь, что не открыт дополнительный туннель и нет трафика, проходящего через туннель, ожидаемый от вашего клиента. Затем запустите эхо-запрос на IP-адрес удаленного шлюза локальной сети. Если вы видите, что пакеты исходят, но Если вы не вернетесь к своему WAN-интерфейсу, это довольно надежный индикатор того, что ваш интернет-провайдер делает что-то не так - в этом случае вступите в контакт с ним.
Именование имеет значение! Организуйте свои объекты хорошо!
Наша серия USG FLEX / ATP / VPN в автономном режиме предлагает отличную структуру и макет меню. Одним из ключевых преимуществ наших устройств является невероятная гибкость, позволяющая изменять настройки в соответствии с вашими потребностями. Однако за это приходится платить - вам нужно организовывать свое именование!
Теперь, когда существует множество индивидуальных подходов к тому, как это сделать, мы просто покажем, как это делают некоторые наши коллеги. Чтобы дать вам небольшой пример, сначала перейдите к
Configuration > Object > Service
и нажмите кнопку «Добавить», чтобы создать новую запись:
Поскольку имя службы должно начинаться с буквы, но в основном мы определяем службы вне спектра, мы могли бы начать имя с чего-то общего, например, «Port», за которым следует номер Port. В конце концов, мы могли бы также добавить протокол, так как могло случиться так, что в другой момент времени соответствующий UDP Port мог быть использован другим приложением.
Если вы хотите, вы также можете улучшить эту систему, добавив короткое ключевое слово о том, о чем эта услуга:
Аналогичный подход рекомендуется для всех других объектов, особенно адресов - убедитесь, что вы организовали и понимаете созданную вами систему, и поддерживайте ее в целях согласованности.
Обновления прошивки - никогда не меняйте работающую систему!
То, что на первый взгляд может показаться рекомендацией остаться с вашей текущей прошивкой (это не так!), Является игрой слов, но позвольте нам объяснить дальше. Наши межсетевые экраны безопасности имеют два раздела загрузки / прошивки:
Каждый раздел имеет свою собственную базу данных, также состоящую из двух баз данных конфигурации, индивидуальных друг для друга - это важно знать, потому что, если вы хотите применить новую прошивку, вы, возможно, захотите установить прошивку в резервном разделе, «на всякий случай что-то случается, я могу вернуться к работе и снова буду в порядке »- многие наши клиенты действительно думают именно так. Но здесь есть заблуждение: каждый раз, когда вы меняете раздел, ваша текущая конфигурация действительно будет пытаться перенести и применить к другому разделу. В большинстве случаев это может пойти хорошо. Однако, если каким-то образом обнаруживается проблема с текущей конфигурацией - что может произойти, если вы обновляете очень старую прошивку до последней без каких-либо промежуточных шагов - может случиться так, что USG выдает ошибку, перезагружается и пытается снова выполнить процесс. . Однако, чтобы не попасть в вечную загрузочную петлю, после 3 попыток устройство вернется к системной конфигурации по умолчанию!
Если вы сейчас находитесь в ситуации, когда вы подключены к USG удаленно на расстоянии нескольких 100 километров, и устройство вышло из строя таким образом, вам лучше иметь кого-нибудь на месте, который может помочь или подготовиться к длительной поездке на месте.
Намного лучше перезаписать текущий раздел , потому что, только если произойдет что-то непредвиденное (например, ошибка развертывания или подобное), может возникнуть проблема - в большинстве случаев он будет просто отлично работать, обновив прошивку с уже довольно последняя прошивка на рабочий раздел.
Сделайте резервную копию вашей конфигурации - прямо сейчас! Нет, не копировать на роутер, а сохранить на ПК!
Еще один ироничный заголовок с серьезной рекомендацией: регулярно создавайте резервные копии файла конфигурации. Кроме того, делайте резервную копию не только на самом устройстве (что уже является хорошим шагом в правильном направлении, но и загружайте ее на компьютер через
Maintenance > File Manager > Configuration File
и выбрав startup-config.conf и нажав кнопку Download :
Теперь вы можете найти загруженный файл .conf, который можно открыть с помощью Блокнота или Notepad ++:
Регулярная синхронизация такого рода помогает значительно сократить время простоя, когда это действительно необходимо - в проблемной ситуации.
Есть много других советов и приемов, которые в конечном итоге будут добавлены в будущем, но это дает вам хорошее начало для некоторой, надеюсь, полезной информации.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности в точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия