I den här artikeln vill vi ge dig en översikt över en uppsjö av olika bästa praxis-tips, kortare djupdykning när det gäller felsökning, analysering och andra intressanta kommentarer angående våra Firewall-produkter för att få ut det mesta av dem.
Kommandoradsgränssnittet
Om du kanske inte vet så har våra enheter ett kommandoradsgränssnitt som du antingen kan komma åt via SSH eller konsolkabel: Få åtkomst till kommandoradsgränssnittet på din Zyxel-enhet (SSH via puTTY & Console via TeraTerm)
Men visste du att du till och med kan komma åt CLI från din webbläsare? Klicka på webbkonsolikonen i det högra hörnet av din USG FLEX meny:
Ingen VPN-trafik som passerar? (Subnät och protokoll)
Detta är ett snabbt tips för ett problem som ofta uppstår på VPN: Många av våra kunder rapporterar till oss att VPN-tunneln, kan det vara Site-To-Site eller Client-To-Site, ansluter perfekt, men det finns ingen trafik kommer igenom - varför är det så? Ofta finns det två olika anledningar till detta
- Undernäten är fel inställda
- ISP blockerar protokoll
#1 - Subnät är fel inställda
Föreställ dig att du har två sajter som du vill koppla ihop, och båda sajterna har samma IP-intervall, låt oss bara anta 192.168.1.X, som visas nedan:
Ofta kommer kunder att rapportera att VPN i själva verket ansluter och bygger upp, men de får inte trafik över VPN, vilket gör att de inte kan ansluta från datorn till servern - vad händer här?
Saken är den att när vi skapar ett gränssnitt på USG skapar vi en Direct Route . En direkt rutt källa-oberoende placerar en trafik som vill gå till en IP som matchar ett av brandväggarnas gränssnittsundernät på respektive gränssnitt. Med andra ord: genom att ha LAN1 på USG #1 med 192.168.1.1, när vi vill nå 192.168.1.200 (servrarnas IP), kommer vi alltid när vi når vår gateway att skickas tillbaka till LAN1-undernätet för USG #1 via direkt väg. Så här ser det ut:
Du kan läsa regeln som följer: "Utan att titta på källan, om destinationen matchar gränssnittet för LAN1, tryck bara ut den till LAN1", så anslutningen från PC till servern kommer aldrig att nå det fjärde routingblocket "Site-2" -Site VPN" och kan därför aldrig bearbetas av routingalgoritmen för att skjutas in i VPN. Den tydliga lärdomen detta är: se till att aldrig ha överlappande undernät!
Och om du gör det, kolla in den här handledningen: Hur man ställer in SNAT i en VPN-tunnel
2# - ISP blockerar protokoll
Det kan vara så att orsaken till att din VPN ansluter, men ingen trafik passerar igenom, helt enkelt beror på att din internetleverantör inte blockerar några portar utan protokoll. Så VPN kan etablera via port 500 UDP, 4500 UDP och/eller 1701 UDP, som är ansvariga för att utbyta handskakning för att ansluta tunneln till varandra, men protokollet som används för att kapsla in VPN-tunneldata, ESP - även känt som protokoll 50 - blockeras. Om du inte påverkas kan du ta reda på det via kommandoraden: enter
packet-trace interface wan1 ip-proto esp
och utlösa en VPN-anslutning (Tips: se till att inte ha någon ytterligare tunnel öppen och att ingen trafik kör genom tunneln förvänta dig av din klient. Utlös sedan en ping till den fjärranslutna LAN-gatewayens IP. Om du ser att paket går ut, men inte kommer tillbaka till ditt WAN-gränssnitt, det är en ganska solid indikator på att din internetleverantör gör något fel - i så fall ta kontakt med dem.
Namngivning spelar roll! Organisera dina objekt väl!
Vår USG FLEX/ATP/VPN-serie i fristående ger en fantastisk menystruktur och layout med sig. En av de viktigaste fördelarna med våra enheter är den otroliga flexibiliteten att vrida och justera inställningar efter dina behov. Men detta kommer med ett pris att betala - du måste hålla ditt namn organiserat!
Nu, eftersom det finns många individuella tillvägagångssätt för hur man gör det, kommer vi helt enkelt att visa hur några av våra kollegor gör det. För att ge dig ett litet exempel, navigera först till
Configuration > Object > Service
och tryck på knappen "Lägg till" för att skapa en ny post:
Eftersom namnet på en tjänst måste börja med en bokstav, men oftast definierar vi tjänster utanför spektrumet, kan vi börja namnet med något generiskt som "Port", följt av Port-numret. I slutändan kan vi lägga till protokollet också, eftersom det kan vara så att den matchande UDP Port vid en annan tidpunkt kan användas av en annan applikation.
Om du vill kan du också förbättra detta system genom att lägga till ett kort nyckelord om vad tjänsten handlar om:
Ett liknande tillvägagångssätt rekommenderas för alla andra objekt, särskilt adresser - se till att du organiserar och förstår systemet du byggt upp och underhåller det för konsekvensens skull.
Firmware-uppdateringar - ändra aldrig ett system som körs!
Det som vid första läsningen kan låta som en rekommendation om att stanna kvar med din nuvarande firmware (det är det inte!) är ett ordspel på vågorna, men låt oss förklara ytterligare. Våra säkerhetsbrandväggar har två Boot-Up/Firmware-partitioner:
Varje partition har sin egen databas, som också består av två individuella konfigurationsdatabaser för varandra - det är viktigt att veta, för om du vill använda en ny firmware, kanske du vill ställa in firmware på standby-partitionen, "i fall något händer, jag kan rulla tillbaka till löpningen och må bra igen." - Många av våra kunder tänker faktiskt precis så. Men det finns en felaktighet i det: varje gång du ändrar partitionen kommer din nuvarande konfiguration verkligen att försökas överföras och tillämpas på den andra partitionen. Det kan gå bra i de flesta fall. Men om det på något sätt upptäcks ett problem med den aktuella konfigurationen - vilket kan hända om du uppgraderar från en mycket gammal firmware till den senaste utan några steg emellan - kan det vara så att USG buggar och startar om sig själv och försöker igen. . Men för att inte hamna i en evig bootloop kommer enheten efter 3 försök att återgå till system-standardkonfiguration!
Om du nu är i en situation där du är fjärransluten till USG över flera 100 kilometer och enheten har kraschat på detta sätt, är det bättre att ha någon på plats som kan hjälpa till eller vara förberedd på en lång resa på plats.
Du är mycket bättre att skriva över den körande partitionen , eftersom bara om något oväntat händer (som en utrullningsbugg eller liknande), kan det finnas ett problem - i de flesta fall kommer det bara att fungera perfekt när du uppgraderar firmware från en redan ganska senaste firmware på den aktiva partitionen.
Säkerhetskopiera din konfiguration - just nu! Nej, kopiera det inte till routern, spara det faktiskt på din PC!
En annan tunga på vågen rubrik för en seriös rekommendation: Säkerhetskopiera din konfigurationsfil regelbundet. Gör också säkerhetskopieringen inte bara på själva enheten (vilket redan är ett bra steg i rätt riktning, utan faktiskt ladda ner den till datorn via
Maintenance > File Manager > Configuration File
och välj startup-config.conf och tryck på knappen Ladda ner:
Du kan nu hitta den nedladdade .conf-filen, som kan öppnas via Notepad eller Notepad++:
Att ha en regelbunden synkronisering av detta slag hjälper dig att drastiskt minska stilleståndstiden när det verkligen behövs - i en problemsituation.
Det finns många andra tips och tricks som så småningom kommer att läggas till i framtiden, men detta ger dig en bra start på lite förhoppningsvis användbar information.
VARNING:
Kära kund, tänk på att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. All text kanske inte översätts korrekt. Om det finns frågor eller avvikelser om riktigheten av informationen i den översatta versionen, läs originalartikeln här: Originalversion