Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Правильная настройка zywall usg 50

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

altezzo4ka

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго всем дня......
Купили данный девайс зувалл усг 50
Настроили под нашего провайдера, но у нас появилось пару проблем,организация большая доменная сеть сервер дц1(контроллер домена)
 
После минут 20 работы нового роутера,интернет как бы все классно работает,но диси начинает жестко тупит, не понятно почему,может кто есть профи по данному роутеру кто сможет подсказать как правильно его надо настроить
 
Проблема номер два, есть почтовый сервер который работает на программе Мдаемон, и надо пробросить порты 110 и 25 на зувалле, как тоже это правильно сделать, просто первый раз взяли такое серьезное оборудование и только учимся настривать!!!!
 
Прощу ващей помощи!

Всего записей: 3 | Зарегистр. 07-04-2013 | Отправлено: 09:43 23-04-2013
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
altezzo4ka
Цитата:
организация большая доменная сеть сервер  
Милая фрау (судя по нику и полной беспомощности вопросов), а где же ваш сисадмин? Сэкономили?
Открою вам страшную тайну (только тсссс... никому!): на сайте Зухеля есть прекрасная база знаний!
Заходите туда, ищете свой девайс, и вам сразу вываливается куча ответов на вопросы, которые вы хотели, но боялись у них спросить.
В частности, Пример настройки проброса порта в аппаратном шлюзе серии ZyWALL USG

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 12:49 23-04-2013
wwladimir



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И еще у них есть "Service Desk ZyXEL"  ( http://zyxel.ru/user/register ) , где, после регистрации, на "сложные" вопросы по такому оборудованию отвечают "специально обученные люди". Сам пользовался...

Всего записей: 526 | Зарегистр. 08-11-2006 | Отправлено: 14:19 23-04-2013
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
У них официальное время ответа на вопрос 5 дней. Задал им вопрос по выбору оборудования 7 мая и получил статус обращения "Обращение в работе. Мы планируем ответить Вам до 13.05.2016"
Может кто подскажет по вопросам:
1.В межсетевом экране не обозначены WAN порты. Это значит что любой порт можно настроить как WAN?
2. Возможно ли в межсетевом экране задать несколько IP для внутренней сети. Например, для браузера задать один шлюз и направить трафик на провайдера через USB порт, а для SIP телефонии задать другой шлюз и направить соединения на другого провайдера?
3. Есть ли устройства поддерживающие интеграцию с Active Directory, чтобы создавать правила доступа как на ISA сервере?

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 09:04 11-05-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JekaRus
Цитата:
В межсетевом экране не обозначены WAN порты.
Имя, сестра, назови имя! (с)
Скажем, в usg 50 или 100 они не только обозначены, но выделены в отдельную группу.

Цитата:
. Есть ли устройства поддерживающие интеграцию с Active Directory
Мой ответ милой фрау актуален и для тебя: Настройка ZyWALL USG для аутентификации пользователя в Active Directory
Настройка ZyWALL USG для размещения IP PBX в зоне DMZ


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 10:47 11-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vlary
Спасибо за ответ.
Рассматриваем модели ZyWALL USG 300 и ZyWALL 310. У них не обозначены WAN порты.
Почему в первом есть в названии USG а во втором нет?
 
Если настроить интеграцию с AD, то можно ли будет разным группам задавать разные правила доступа?

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 12:13 11-05-2016
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JekaRus Про фичи моделей узнавай тщательнее, у моделей ZyWALL USG 300 и ZyWALL 310 фичи фильтрации контента, спама, обновления баз антивируса - платные с лицензиями на 1-2 года.  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 13:14 11-05-2016
k3NGuru



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
JekaRus
https://zyxel.ru/compare/zywall-usg/?products=zywall-310,zywall-usg-300
 

Цитата:
Рассматриваем модели ZyWALL USG 300 и ZyWALL 310. У них не обозначены WAN порты.  

Zywall 1100 https://yadi.sk/i/CtAdUyszrdDdX
Zywall 300 https://yadi.sk/i/6c3zfphmrdE73
 
Вообще явные интерфейсы у малых серий Zywall 20, 50 и 100. На старщих сериях уже можно самому назначать какой порт будет WAN, какой LAN, DMZ
Настраиваются аналогично, единственное в новых Zywall X10, они слегка поменяли пункты и убрали полезную штуку как Port Grouping, там теперь надо настраивать бриджи.
 
По поводу SD.ZYXEL там когда как, когда отвечают через час-два, когда через пару дней. Мне обычно они отвечают в течении дня.
 
Вообще Zywall не плохие железки. В моём распоряжении Zywall USG 20, 100, 300, 1000 и Zywall 1100.
Новые серии у них отличаются более мощной начинкой и поддержкой. Так как на обычные Zywall прошивки теперь не выходят.
 
Касаемо
Цитата:
фичи фильтрации контента, спама, обновления баз антивируса - платные с лицензиями на 1-2 года.  

Даа, тут много чего есть. Из всего комплекта пробовал только фильтрацию контента, которая фильтрует только HTTP траффик, HTTPS пропускает на раз-два. Проще и дешевле поднять Squid и через него фильтровать траффик.
 

Цитата:
2. Возможно ли в межсетевом экране задать несколько IP для внутренней сети. Например, для браузера задать один шлюз и направить трафик на провайдера через USB порт, а для SIP телефонии задать другой шлюз и направить соединения на другого провайдера?  

Можно. Настроив тот же VLAN или просто другую локальную сеть.  
 

Цитата:
3. Есть ли устройства поддерживающие интеграцию с Active Directory, чтобы создавать правила доступа как на ISA сервере?

Можно, но учтите, что Active Directory должен быть на английском. Если AD с русскими группами и пользователями, то забудьте.
Да есть еще SSO у Zyxel (http://www4.zyxel.com/products_services/sso_agent.shtml?t=p), но он только для новых Zywall 110, 310 и 1100.
 

Всего записей: 166 | Зарегистр. 07-02-2008 | Отправлено: 13:54 11-05-2016 | Исправлено: k3NGuru, 14:00 11-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
k3NGuru
Спасибо за ответ.
А вообще, мы правильно смотрим с сторону Zyxel в плане цена/качество/надежность/функциональность ?
Есть ли у других производителей (Mikrotik, Cisco и др.) аналоги ZyXEL ZyWALL 310 за ту же цену?

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 00:00 12-05-2016
k3NGuru



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
JekaRus
А тут смотря что надо.
У меня на Zywall USG 100 около 50 пользователей, также 15 активных IPSec VPN туннелей. 2 провайдера с балансировкой.
Работаем по RDP в 1С, также у сотрудников Lotus Notes.
Нагрузка на ЦП в среднем 20-25%.
 
Просто мы используем Zywall, потому что они просты в настройке (WebGUI). И стараемся придерживаться данных железок, чтоб не было мультивендорности.
Вообще Zywall не сильно популярны в сети, но как сказал vlary
Цитата:
на сайте Зухеля есть прекрасная база знаний!  

с чем я согласен на все 100%.  Ответы на большую часть вопросов можно там найти

Всего записей: 166 | Зарегистр. 07-02-2008 | Отправлено: 05:51 12-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
k3NGuru
Спасибо за совет.
Приобрели для организации Zywall 310
Очень мощный аппарат. Много возможностей и настроек. Вот бы теперь разобраться во всем.
Получилось настроить проброс портов, а вот VPN никак настроить не получается.
Настраивал VPN сервер по этой статье https://zyxel.ru/kb/2270/
Клиентов настраивал как написано тут https://zyxel.ru/kb/4576/ и тут https://zyxel.ru/kb/2085/
Уже много раз все перепроверил, но не получается соединиться.
Пишет ошибку 809 Как будто фаервол блокирует подключение.
Можно ли как то в логах Zywall посмотреть по какой причине происходит обрыв?

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 20:27 24-05-2016
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JekaRus Если в фаере зайвола правило создал, то возможно это поможет на клиенте
https://evgesha.net/oshibka-809-vpn/


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 06:46 25-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ipmanyak
Я так пробовал. И вот так тоже пробовал
http://www.po-prostomu.ru/2013/07/09/oshibka-789-pri-popytke-soedineniya-vpn-po-pro/
Похоже дело в фаерволе. Но нигде не могу найти его лог. Можно ли как то посмотреть на устройстве, что с такого то IP была попытка подключения и по какой причине в нем отказано?

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 10:34 25-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Нашел где в логах посмотреть.
Отключил все правила по пробросу портов чтоб не мешали.
Теперь при подключении извне на zywall выходит ошибка 788
а в логах такая информация
Recv:[SA][VID][VID][VID][VID][VID][VID][VID][VID]    IKE_LOG
The cookie pair is : 111 / 222    IKE_LOG
Recv Main Mode request from [111.111.111.111]    IKE_LOG
The cookie pair is : 222 / 0x0000000000000000    IKE_LOG
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT    ACCESS FORWARD
При чем в источнике пишет порт подключения 17485 а в приемнике 500
111.111.111.111:17485 222.222.222.222:500
Почему не подключается? Что еще можно сделать?

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 17:48 25-05-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JekaRus
Цитата:
При чем в источнике пишет порт подключения 17485 а в приемнике 500  
Это нормально. Порт источника не обязан быть 500.
Цитата:
Почему не подключается? Что еще можно сделать?  
Возможно, надо использовать еще порт 4500 (NAT-T)
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:43 25-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vlary

Цитата:
Возможно, надо использовать еще порт 4500 (NAT-T)  

А куда это прописать?
Делал все по этой инструкции https://zyxel.ru/kb/2270/

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 20:59 25-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вот что сделано:
1. Перепрошил на последнюю версию прошивки с сайта zyxel.com (обратил внимание что последняя прошивка с сайта zyxel.ru обозначена как beta).
2. Включил метод шифрования 3DES через консоль SSH (по умолчанию для России доступна только версия DES).
 
Но все равно подключиться по VPN ни из под 7ки, ни из под 8ки, ни из под андроида, ни из под Zyxel Keenetic 4G не получается. Продолжаю копать дальше.

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 23:38 27-05-2016
JekaRus

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Обратился в техподдержку. Оказалось неправильно задавал VPN подсеть. Она должна была быть другой и не пересекаться с существующей.
 
Теперь другая проблема. Не могу подключиться к Zywall-310 с Zyxel Keenetic 4G
Долго настраивал, перепробовал все что можно, но ничего не заработало и пришлось опять писать в техподдержку. Оказалось то, что совсем не ожидал - их невозможно настроить друг на друга.
 
В Keenetic есть только L2TP-клиент, но в ZyWALL не предусмотрен L2TP-сервер
В Zywall-310 только L2TPoverIPSec
Keenetic не поддерживает протокол L2TPoverIPSec, как и IPSec.

 
Новое устройство покупать совсем не хочется. Можно ли перепрошить Keenetic чтобы появилась поддержка L2TPoverIPSec пусть даже и не родной прошивкой. Есть еще DIR-632 можно ли его перепрошить и подключать по L2TPoverIPSec ?

Всего записей: 1046 | Зарегистр. 10-08-2005 | Отправлено: 14:09 04-06-2016
vitgan

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JekaRus
Скажите, Вам так и не удалось подружить Zywall с Keenetic 4G?
Заказал ZyWALL 110 и теперь не знаю как быть...

Всего записей: 1 | Зарегистр. 02-09-2016 | Отправлено: 20:15 02-09-2016
spartakd

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В офисе несколько подсеток. Приобрели аналогичный (USG 60) девайз.
Вроде настроил маршрутизацию и он все подсети видит прекрасно.
Но никак не могу добиться, чтобы из подсетей он был виден.  
Куда копать?

Всего записей: 17 | Зарегистр. 18-04-2007 | Отправлено: 08:41 27-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Правильная настройка zywall usg 50


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru