V tomto článku vám chceme poskytnúť prehľad množstva rôznych tipov na osvedčené postupy, kratších hlbokých ponorov z hľadiska ladenia, analýzy a ďalších zaujímavých poznámok týkajúcich sa našich produktov Firewall, aby ste z nich vyťažili maximum.
Rozhranie príkazového riadku
V prípade, že neviete, naše zariadenia majú rozhranie príkazového riadku, ku ktorému máte prístup buď cez SSH alebo konzolový kábel: Prístup k rozhraniu príkazového riadku vášho zariadenia Zyxel (SSH cez putTTY & Console cez TeraTerm)
Vedeli ste však, že k CLI môžete pristupovať aj z vášho webového prehliadača? Kliknite na ikonu webovej konzoly v pravom rohu ponuky USG FLEX':
Neprechádza cez vás žiadna prevádzka VPN? (Podsiete a protokoly)
Toto je rýchly tip na problém, ktorý sa často vyskytuje na VPN: Mnohí naši zákazníci nám hlásia, že tunel VPN, môže byť medzi stránkami alebo klientmi, je úplne v poriadku, ale nedochádza k žiadnej prevádzke. prechádza - prečo je to tak? Často sú na to dva rôzne dôvody
- Podsiete sú nesprávne nastavené
- ISP blokuje protokoly
#1 – Podsiete sú nastavené nesprávne
Predstavte si, že máte dve lokality, ktoré chcete prepojiť, a obe lokality majú rovnaký rozsah IP adries, predpokladajme len 192.168.1.X, ako je uvedené nižšie:
Zákazníci často hlásia, že VPN sa v skutočnosti pripája a buduje, ale cez VPN nedostáva prenos, takže sa nedokážu pripojiť z počítača k serveru – čo sa tu deje?
Ide o to, že pri vytváraní rozhrania na USG vytvárame priamu cestu . Priama trasa nezávisle od zdroja umiestňuje prevádzku, ktorá chce ísť na IP, ktorá zodpovedá jednej z podsietí rozhrania firewallu, do príslušného rozhrania. Inými slovami: ak máme LAN1 na USG #1 s 192.168.1.1, kedykoľvek chceme dosiahnuť 192.168.1.200 (IP servera), vždy po dosiahnutí našej brány budeme poslaní späť do LAN1 podsiete USG #1 cez priama cesta. Vyzerá to takto:
Pravidlo by ste si mohli prečítať takto: „Bez pohľadu na zdroj, ak sa cieľ zhoduje s rozhraním LAN1, jednoducho ho vytlačte do LAN1“, takže pripojenie z počítača k serveru nikdy nedosiahne štvrtý blok smerovania „Site-2 -Site VPN" a preto ho nikdy nemôže spracovať smerovací algoritmus, ktorý sa má vložiť do VPN. Jasné poučenie z toho je: uistite sa, že nikdy nemáte prekrývajúce sa podsiete!
A ak áno, pozrite si tento návod: Ako nastaviť SNAT v tuneli VPN
2# - ISP blokuje protokoly
Je možné, že dôvodom vášho pripojenia k sieti VPN, no neprechádza žiadna prevádzka, je jednoducho to, že váš poskytovateľ internetových služieb neblokuje žiadne porty, ale protokoly. Takže VPN sa môže vytvoriť cez port 500 UDP, 4500 UDP a/alebo 1701 UDP, ktoré sú zodpovedné za výmenu handshake na prepojenie tunela medzi sebou, ale protokol používaný na zapuzdrenie údajov tunela VPN, ESP - známy aj ako protokol 50 - je blokovaný. Ak sa vás to netýka, môžete to zistiť cez príkazový riadok: enter
packet-trace interface wan1 ip-proto esp
a spustite pripojenie VPN (Tip: Uistite sa, že nemáte otvorený žiadny ďalší tunel a že cez tunel neprebieha žiadna prevádzka, ktorú váš klient očakáva. Potom spustite ping na IP vzdialenú bránu LAN. Ak uvidíte, že pakety odchádzajú, ale keď sa nevrátite k vášmu WAN rozhraniu, je to celkom solídny indikátor toho, že váš ISP robí niečo zle – v takom prípade sa s ním spojte.
Na pomenovaní záleží! Dobre si usporiadajte svoje predmety!
Naša séria USG FLEX/ATP/VPN v samostatnom vyhotovení prináša skvelú štruktúru a rozloženie menu. Jednou z kľúčových výhod, ktoré majú naše zariadenia, je neuveriteľná flexibilita pri otáčaní a vylepšovaní nastavení podľa vašich potrieb. Za to však treba zaplatiť – musíte si svoje pomenovanie usporiadať!
Teraz, keďže existuje veľa individuálnych prístupov, ako to urobiť, jednoducho ukážeme, ako to robia niektorí naši kolegovia. Ak chcete uviesť malý príklad, najprv prejdite na
Configuration > Object > Service
a stlačením tlačidla "Pridať" vytvorte nový záznam:
Keďže názov služby musí začínať písmenom, ale väčšinou definujeme služby mimo spektra, názov by sme mohli začať niečím všeobecným ako „Port“, za ktorým nasleduje číslo Port. Nakoniec by sme mohli pridať aj Protokol, pretože sa môže stať, že v inom časovom bode môže byť zodpovedajúci UDP Port využívaný inou aplikáciou.
Ak chcete, môžete tento systém vylepšiť aj pridaním krátkeho kľúčového slova o tom, o čom služba je:
Podobný prístup sa odporúča pre všetky ostatné objekty, najmä adresy – uistite sa, že systém, ktorý ste vytvorili, organizujete, rozumiete mu a udržiavate ho z dôvodu konzistentnosti.
Aktualizácie firmvéru – nikdy nemeňte spustený systém!
To, čo môže na prvý pohľad znieť ako odporúčanie, aby ste zostali pri svojom aktuálnom firmvéri (nie je!), je slovná hračka, ale dovoľte nám to vysvetliť ďalej. Naše bezpečnostné brány firewall majú dve bootovacie/firmvérové oddiely:
Každý oddiel má svoju vlastnú databázu, ktorá sa skladá aj z dvoch navzájom individuálnych konfiguračných databáz – to je dôležité vedieť, pretože ak by ste chceli použiť nový firmvér, možno budete chcieť nastaviť firmvér na pohotovostnom oddiele, „pre každý prípad niečo sa stane, môžem sa vrátiť späť do Runningu a byť opäť v poriadku.“ – veľa našich zákazníkov si skutočne myslí presne to isté. Ale je v tom klam: zakaždým, keď zmeníte oddiel, vaša aktuálna konfigurácia sa skutočne pokúsi preniesť a aplikovať na druhý oddiel. To by mohlo vo väčšine prípadov dopadnúť dobre. Ak sa však nejakým spôsobom vyskytne problém s aktuálnou konfiguráciou - čo sa môže stať, ak aktualizujete z veľmi starého firmvéru na najnovší bez akýchkoľvek krokov medzi tým - môže to byť tak, že sa USG pokazí, reštartuje sa a skúsi proces znova . Aby ste sa však nedostali do večného bootloopu, po 3 pokusoch sa zariadenie samo vráti do predvolenej konfigurácie systému!
Ak ste teraz v situácii, že ste na diaľku pripojený k USG na viac ako 100 kilometrov a zariadenie sa takto samo zrútilo, radšej majte na mieste niekoho, kto vám môže pomôcť alebo byť pripravený na dlhú cestu na mieste.
Oveľa lepšie je prepísať bežiaci oddiel , pretože iba ak sa stane niečo, čo sa nepredpokladá (napríklad chyba pri zavádzaní alebo podobne), môže nastať problém – vo väčšine prípadov jednoducho prebehne úplne v poriadku aktualizácia firmvéru z už celkom dosť najnovší firmvér na spustenom oddiele.
Zálohujte si konfiguráciu – práve teraz! Nie, nekopírovať ho do smerovača, v skutočnosti ho uložiť do počítača!
Ďalší titulok pre seriózne odporúčanie: Pravidelne zálohujte konfiguračný súbor. Zálohujte tiež nielen na samotnom zariadení (čo je už dobrý krok správnym smerom, ale v skutočnosti si to stiahnite do počítača cez
Maintenance > File Manager > Configuration File
a výberom súboru startup-config.conf a stlačením tlačidla Stiahnuť :
Teraz môžete nájsť stiahnutý súbor .conf, ktorý je možné otvoriť pomocou programu Poznámkový blok alebo Notepad++:
Pravidelná synchronizácia tohto druhu vám pomôže výrazne skrátiť prestoje, keď je to skutočne potrebné – v problémovej situácii.
Existuje mnoho ďalších tipov a trikov, ktoré budú nakoniec pridané v budúcnosti, ale toto vám dáva dobrý začiatok pri niektorých, dúfajme, užitočných informáciách.
ZRIEKNUTIE SA ZODPOVEDNOSTI:
Vážený zákazník, uvedomte si, že na poskytovanie článkov vo vašom miestnom jazyku používame strojový preklad. Nie všetky texty môžu byť preložené presne. Ak existujú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si pôvodný článok tu: Pôvodná verzia