Ask
Здравствуйте коллеги подскажите есть 2 шт zywall 310
Ask
Настроил между ними ipsec vpn но получается связать 2сети между собой 2филиала
Ask
Не получается
Ask
Думаю настраивать в политике безопасности zywall или в маршрутизации ?
Vitaliy
я бы посмотрел на маршщрутизацию
правила есть?
Ask
Я сбросил на заводские настройки . С помощью 2 белых ip адреса завязал ipsec .в одном филиале 10.10.1.0 сеть а 2 филиале 10.10.2.0 друг друга не видят
Ask
Что ещё надо настроить кроме ipsec vpn чтобы завязать эти сети через vpn
Vitaliy
Vitaliy
такие политики есть?
Vitaliy
Vitaliy
если на ваш вариант переложить
Ask
Ask
Я ничего не настраивал по default
Vitaliy
надо настроить :)
Ask
Спасибо попробую это в маршрутизации я понял надо настраивать ? С двух сторон?
Dmitry
Нужно указать роутами маршруты и в firewall
Vitaliy
Dmitry
Dmitry
только на свой туннель поменяйте
Vitaliy
Александр
не нужны блин роуты
Александр
только в файерволле разрешения
Александр
если разговор только о сетях за статическим ВПН
Ask
2 сети (2 филиала )связать с помощью ipsec vpn
Александр
Только в файерволе нужно указывать зоны : из зоны IpSec в зону Lan - any - any
Александр
как вариант
Александр
самое простое - запустить пинг с любого компа из одной сети и смотреть в логе где он режеться
Ask
Спасибо попробую
Александр
Александр
вот отработка именно такого варианта
Александр
именно на 310 )
Vitaliy
выключил роут с одной стороны, доступ остался)
Александр
роуты во 2-й фазе указаны
Александр
Александр
как примеръ
Vitaliy
ага, смотрю
действительно
Anonymous
Коллеги, подскажите на usg60 как оставить доступ к вебморде на wan только по ssh?
Anonymous
ну или что бы хоть двухфакторную запрашивал? ее я настроил а она не запрашивается при входе админом
Александр
Anonymous
тогда ssh отвалится (( пробовал так уже
Anonymous
в смысле порт менял.
Anonymous
на www
Александр
вот такое правило в файерволле
Александр
Александр
и ничего не отвалится
Александр
можно дополнительно ограничить с каких внешних адресов\сетей доступ
dot
можно дополнительно ограничить с каких внешних адресов\сетей доступ
Не можно, а нужно! Иначе в порт 24/7 стучат боты с брутфорсом.
Zek
Alexander
доброе утро. Может ли кто-нибудь подсказать по ugs20-vpn, а именно может ли он с выключенными политиками и adl, настроенном nat 1:1 блокировать подключения к креио впн?
Андрей🌐
доброе утро. Может ли кто-нибудь подсказать по ugs20-vpn, а именно может ли он с выключенными политиками и adl, настроенном nat 1:1 блокировать подключения к креио впн?
С подключением впн пробросом чезер юсг не пробовал, но по аналогии проброса портов не блокирует, если настроен проброс нормально
Alexander
а где именно задается проброс портов? Я думал в "Безопасность-Политики", но данную возможность я отключил
Alexander
а нат работает в режиме один к одному и перенаправляет все запросы с wan порта на lan порт
Андрей🌐
Пример настройки проброса порта в аппаратном шлюзе серии ZyWALL USG – Zyxel Support Campus EMEA
https://support.zyxel.eu/hc/ru/articles/360005205719-%D0%9F%D1%80%D0%B8%D0%BC%D0%B5%D1%80-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B8-%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81%D0%B0-%D0%BF%D0%BE%D1%80%D1%82%D0%B0-%D0%B2-%D0%B0%D0%BF%D0%BF%D0%B0%D1%80%D0%B0%D1%82%D0%BD%D0%BE%D0%BC-%D1%88%D0%BB%D1%8E%D0%B7%D0%B5-%D1%81%D0%B5%D1%80%D0%B8%D0%B8-ZyWALL-USG
Alexander
спасибо
Андрей🌐
Примерно так
Андрей🌐
Андрей🌐
Про маршрутизацию чтото не сказано в статье, вот пример динамической маршрутизации ещё
Alexander
nat и маршрутизация работают независимо друг от друга?
Alexander
меня несколько смущает что переадресация http явно работает, у нас за usg20vpn стоит керио, за керио - сервер с вебслужбой и на него спокойно заходит
Андрей🌐
меня несколько смущает что переадресация http явно работает, у нас за usg20vpn стоит керио, за керио - сервер с вебслужбой и на него спокойно заходит
А случаем в правиле Нат явно не указан http?
Alexander
нет, nat 1:1, интерфейс - wan, ip источника - any, внешний ip - наш внешний ip, внутренний ip - адрес выданный на ван порт керио, протокол, внешний порт и внутренний порты - any
Alexander
по логике вещей вроде как...хм... а может попробовать many to 1 nat, веб вроде бы на три или четыре порта поругивался
dot
как будто это что-то плохое
Брутфорс истощает накопленную энтропию и нормальный пользователь на SSH не может зайти - отваливается по таймауту.
Alexander
есть ли какая-либо система логирования, чтобы смотреть по какому порту было обращение на ван порт и почему ему было отказано?
Андрей🌐
В логах можно смотреть, но для этого безопасность надо включить
Alexander
может ли usg20vpn с выключенной безопасностью сам по себе блокировать подключения по tcp/udp портам?
Anonymous
Александр
может ли usg20vpn с выключенной безопасностью сам по себе блокировать подключения по tcp/udp портам?
По количеству сессий может
Александр
Однозначно лог смотреть надо
Alexander
и на что именно, отказ, запрет, не прохождение пакета?
Null
Кто еще не видел шедевр? Посмотрите, чтобы потом разговор поддержать 😀
Алексей
Добрый день, Коллеги!
Алексей
Кто знает как можно реализовать автоматическую регистрацию узлов DHCP в DNS? Т.е. при получении IP автоматический создается A запись DNS, как в Windows DNS.
Алексей
4.62
Yura
я не припомню такого функционала в Зухеле
Миштах
А нет ведь такой возможности жесткой привязки по mac адресу терминала к точке?