Маргус
отсортируйте логи по приоритету Alert в доп. фильтрах
Руслан Стерлитамак (1) увеличил репутацию Маргус Пенинг (3)
master
Добрый день! Подскажите пожалуйста, как заблокировать\забанить устройство на ZyWall USG 110
Есть две сетки и два дхцп – вижу в списке устройство с адресом, например 192,168,1,50
Нойм с маком хх:хх:хх:хх:хх и т.п. или телефон «леново» с маком ххххххххх
Надо его забанить. Забанить в сегменте 192,168,1,1/24
Но что бы к гостевому дхцп он мог подключатся – как это сделать? Возможно ли это сделать и если таких девайсом время от времени появляется много
Или вообще забанить на всегда
Не могу найти в базе знаний инфу.
(две сетки вифи – одна для корпоративного пользователя одна для гостей и гости иногда узнают пас от корпоративной и лезут туда) Или подскажите где почитать
Спасибо.
Маргус
Маргус
добрый день. Можно отфильтровывать такие устройства по MAC-фильтру. Сделать белый и чёрный список
master
А если не на точке доступа а в самом шлюзе - тоесть точки есть разные, не зукселевские
master
+ например девайсы по проводу
Маргус
Это сработает, если точки доступа под контроллером Zywall. Если нет, то посмотрите, какие опции предлагают ваши точки. Как дополнительный вариант можно заблокировать доступ в корпоративной сети неизвестным устройствам (сделать белый список и только ему разрешить доступ в сеть и интернет)
master
Вопрос где сделать белый и черный список на самом шлюзе
Маргус
создайте группу из адресов-объектов и только этой группе разрешите выход в интернет в политиках безопасности
master
Да, это я знаю - думал может есть более нормальное решение - что бы кидать устрйства в бан. Просто создавая групу и т.п. - то много мороки в плане пришел сотрудник с другим телефоном или девайсом - руками надо добавлять, старый удалять или дали новенькому ноут - опять добавляей его и т.п. - это немного гемор, так как текучка кадров, и было сделано так
лан1 - корпоративная 192 168 1 1 /24 дхцп и пас 123456
лан2 - гостевая 10 10 10 1 /24 дхцп зарезана по максимум только интернет и все, и то на урезаной скорости - фаерволами все заблочено и все
Старшый отдела знает пас - новеньким вводит и т.п. - все ок
Остальные девайсы в гостевую но некоторые узнают пас (не самое сложное задание) и вводят свои телефоны и т.п. не в гостевую а в корпоративную потому что там больше скорость и
Мне надо банить их
Если сделать список только доступных - то я замордуюсь каждый раз их добавлять в разрешенные
Я думал есть способ - увидел леново или еще что - нажал "галочку" или добавил в групу - бан и все - и дальше тыкай пас не тыкай а в лан1 не подключишься - как то так
Я еще делал на фаерволе групу обектов в бан и туда добавлял но - там список огромен уже + жрет адреса + есть проблема с подключение в гостевую
Вот такая проблема
master
Разве что такое решение - но оно не агонь, через IP/MAC Binding...
Маргус
IP/MAC binding, мне кажется, в вашем случае не подойдёт. Если вы используете точку доступа не под контроллером Zywall, то ограничить доступ можно только через правила файрвола на Zywall. Можно создать правило и привязать к нему группу из устройств (чёрный список). Эту группу можно дополнять не создавая лишних правил, а просто добавляя новые устройства
master
Так и делаю но там ряд минусов, по этому и задал вопрос. Група растет, заберает адреса, есть проблемы с подключением в гостевой режим после блокировки в основном
master
Замеченно такое - находим клиента который подключился в лан1 корпоратив и получил 192 168 1 70 - идем в адреса, добавляем его по маку и адрес 192 168 1 70 - дале в фаерволе делаем правило бан и туда добавляем его. Результат
-1 адрес, он в бане вообще, и не может подключится вообще даже к гостевой сети - соответсвенно это плохо
Если же сделать адрес ему не тот что он получил 192 168 1 70 а например 10 11 25 47 и с этим адресом его кинуть в бан то тут ряд моментов - или правило на него не работает ибо он дальше получает 1 70 с дхцп лан 1 или еще какие глюки
Сейчас решение сложное -
Сождан влан в некуда, правила фаервола дополнительно его блочат по максимум и методом добавления устройства в "мертвый влан" его блочу... но он не попадает в гостевой режим - тоесть забанен вообще.
В гостевой сетки не могу делать привязку ибо клиентов много, время оренды 20 минут и всегда +/- 220 активны - то есть брать клиента "заблудившегося" и принудительно пихать в гостевую и там его "привязывать" немогу
Вот поэтому был вопрос или можно как то банить проще, банить именно на сегмент а не вообще на шлюз...
И банить без бубна и гемароя...
Видемо нет....
Shuhrat
От кого можно купить zyxel 24 port 2 оптическими портами
Artyom
какое количество?
Artyom
напишите в личку контакты
Shuhrat
1 шт
Null
Хамза
Добрый вечер, поделитесь пожалуйста инструкцией когда на usg два ipsec gateway , клиент цепляется к неправильному
Dmitry
dot
Добрый вечер, поделитесь пожалуйста инструкцией когда на usg два ipsec gateway , клиент цепляется к неправильному
У вас тип подключения сеть-сеть или клиент-сервер?
Хамза
У вас тип подключения сеть-сеть или клиент-сервер?
В гатвей две записи обе в типом сервер роль
Хамза
При подключении по l2tp клиент стучится на первый гатвей а там соответственно неправильный key, я думал он перебирать должен
dot
В гатвей две записи обе в типом сервер роль
Для двух серверов (IKEv2 и L2TP/IPSec) нужно ставить разные алгоритмы шифрования и/или DH-группу. Например, 3DES-SHA1-DH2 для L2TP/IPSec и AES128-SHA1-DH5 для IKEv2.
Хамза
Хамза
И dh и алгоритмы
dot
Какие?
dot
У клиентов в предложении могут быть оба комплекта.
dot
Как-то на досуге анализирлвал дефаултные преддожения разных клиентов.
iPhone IPSec proposal:
1. AES256-SHA256-DH14
2. AES256-SHA1-DH14
3. AES256-MD5-DH14
4. AES256-SHA512-DH14
5. AES256-SHA256-DH5
6. AES256-SHA1-DH5
7. AES256-MD5-DH5
8. AES256-SHA256-DH2
9. AES256-SHA1-DH2
10. AES256-MD5-DH2
11. AES128-SHA1-DH2
12. AES128-MD5-DH2
13. 3DES-SHA1-DH2
14. 3DES-MD5-DH2
Android 10 IPSec proposal:
1. AES256-SHA384-DH2
2. AES256-SHA256-DH2
3. AES256-SHA512-DH2
4. AES256-SHA1-DH2
5. AES256-MD5-DH2
6. AES128-SHA512-DH2
7. AES128-SHA384-DH2
8. AES128-SHA256-DH2
9. AES128-SHA1-DH2
10. AES128-MD5-DH2
11. 3DES-SHA256-DH2
12. 3DES-SHA1-DH2
13. 3DES-MD5-DH2
14. DES-SHA256-DH2
15. DES-SHA1-DH2
16. DES-MD5-DH2
Android 7 IPSec proposal:
1. AES256-SHA256-DH2
2. AES256-SHA1-DH2
3. AES128-SHA256-DH2
4. AES128-SHA1-DH2
5. 3DES-SHA256-DH2
6. 3DES-SHA1-DH2
Windows 10 IPSec proposal:
1. AES256-SHA1-DH20
2. AES128-SHA1-DH19
3. AES256-SHA1-DH14
4. 3DES-SHA1-DH14
5. 3DES-SHA1-DH2
Windows XP IPSec proposal:
1. 3DES-SHA1-DH14
2. 3DES-SHA1-DH2
3. 3DES-MD5-DH2
4. DES-SHA1-DH1
5. DES-SHA1-DH1
Хамза
Хамза
Хамза
Может надо с local remote id поиграться
dot
Local id, remote id годится для сеть-сеть.
dot
Не на всех L2TP клиентах можно указать ID сервера.
Хамза
Самое интересное то что скрины которые я скинул это usg110 там все работает, переношу конфиг точь в точь на atp500 и происходит описанная мной ерунда
dot
А PSK разные?
Хамза
А PSK разные?
Да, это и пишет в лог, типа ключ неправильный, а в дебаг вижу что он выбрал не тот gw
dot
Этому нн всегда можнл верить.
Если предложение клиента не совпадает ни с одной политикой, в логе всё равно указывается какой-то gw.
Хамза
Этому нн всегда можнл верить.
Если предложение клиента не совпадает ни с одной политикой, в логе всё равно указывается какой-то gw.
Так если отрубить гетвей который я для l2l сделал он работает, т.е предложение от клиента корректно
dot
По телефону трудно поставить диагноз. Не желаете показать пациента доктору? Т.е., конфиг показать техподдержке?
Хамза
Завтра свяжусь с ними
Хамза
Спасибо
Eugene
Всем привет. Кто то может подсказать, на какое расстояние можно передать 1Гбит с POE по кабелю UTP cat.5e?
Neorusespod
до 100 метров
Aleksey
Ребят, а как раздать через телефон инет с usg 110?
Aleksey
Подключил по кабелю, активировал на телефоне USB модем. Включил профиль в роутере. Но не активируется
Artyom
Это точно? У меня на 40 метрах, только 100 Мбит подымается.
кабель не качественный скорее всего
Artyom
биметал какой нибудь
Anonymous
Добрый день
Anonymous
Простите я хочу войти в конфигуратор zyxel
Denis
Это точно? У меня на 40 метрах, только 100 Мбит подымается.
это стандарт Ethernet, проблема в кабеле
Anonymous
Ввожу юзер и пароль выдает неверно
Eugene Matskin (0) увеличил репутацию Artyom (7)
Denis
Ребят, а как раздать через телефон инет с usg 110?
не уверен, что получиться с телефона... поддерживаются именно USB модемы
Denis
https://support.zyxel.eu/hc/ru/articles/360001743233-%D0%A0%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%BD%D0%BE%D0%B3%D0%BE-%D0%BA%D0%B0%D0%BD%D0%B0%D0%BB%D0%B0-%D1%81-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC-3G-4G-LTE-%D0%BC%D0%BE%D0%B4%D0%B5%D0%BC%D0%B0-%D0%B2-%D1%88%D0%BB%D1%8E%D0%B7%D0%B0%D1%85-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D1%81%D0%B5%D1%80%D0%B8%D0%B8-ATP-VPN-Zywall-USG
Denis
если нужен нормальный резерв 4G - то нужно ставить уличный модем LTE7480
Константин
👍
Anonymous
Aleksey
если нужен нормальный резерв 4G - то нужно ставить уличный модем LTE7480
Да не нужен. Просто именно сейчас 2 разных провайдера отвалились. А инет нужен
Denis
Dmitry
Null
Null
через 25 минут!
Null
Artyom
у меня приглашалка не пришла на почту
Artyom
ок
Magic Falcon