« Rev
@zyxelru   222
Fwd »


EmilK
Приветствую всех, подскажите точками NWA1123ACv3 можно управлять с USG/FLEX/APT или только с облака?
dot
В одной площадке сколько ТД можно разместить?
Не знаю, у меня не много ТД. В бесплатной Nebula мне не нравится, что логи только за 24 часа. Когда логи были за 7 дней, было хорошо.
dot
Приветствую всех, подскажите точками NWA1123ACv3 можно управлять с USG/FLEX/APT или только с облака?
Аппаратные контроллеры не поддерживают модели с номерами 1ххх. Смотрите https://select.zyxel.ru/type/3 с фильтром по категории "Поддержка работы с контроллером Wi-Fi".
dot
EmilK
спасибо!
Александр
Если на всех ТД одинаковый комплект SSID, назначайте все в одну площадку. Для ТД в одном помещении настройте одиноковый тег - он будет использоватся при балансировке нагрузки.
Ещё вопрос, если ТД 64 шт, возможно создать 4 профиля (радиоканалы, мощность, балансировку, расписание) и применять их пачками на десятки точек доступа? Причём с возможностью некоторым точкам доступа персонально менять мощность и радиочастоту и расписание.
dot
onatoli4
Это плохо, закон обязывает логи гостевых клиентов полгода хранить.
закон обязывает использовать аутентификацию по телефону, для чего в любом случае нужно использовать сторонние сервисы - а они уже хранят логи
dot
Тогда один ссид применить на 4 профиля не получится (
Все получится, если использовать платную фичу Configuration Templates. https://support.zyxel.eu/hc/ru/articles/360017082519
onatoli4
можно и без шаблонов, просто прописать один SSID на разных площадках)
dot
Конечно можно, но тогда требуется аккуратный админ и время. А время админа стоит $$.
Александр
Благодарю за разъяснения. Пока что удобнее аппаратный контроллер, но боюсь, их упразднят и будет одна Небула (
Александр
как я понял. В Небуле жирный плюс - это работа с сетевым оборудованием разбросанных филиалов по миру/стране и когда нет статического IP на их границе сети, тогда в этом случае всё оборудование можно в Небулу занести и работать на одном экране.
dot
На аппаратном контроллере тоже можно управлять ТД по всему миру.
Александр
На аппаратном контроллере тоже можно управлять ТД по всему миру.
на последнем вебинаре показывали Secure Wi-Fi. Оно?
dot
на последнем вебинаре показывали Secure Wi-Fi. Оно?
Близко, но не совсем то. Secure WiFi это шифрованный туннель для Wi-Fi клиентов от ТД до контроллера. https://support.zyxel.eu/hc/ru/articles/360021358260 Нешифрованный Tunnel Mode есть уже давно: https://support.zyxel.eu/hc/ru/articles/360004486520 Контроллер может управлять удаленной ТД и без туннелирования клиентского трафика до контоллера. В настройках SSID выбираете Forwarding Mode=Local Bridge, а остальное 1:1 как в этой статье: https://support.zyxel.eu/hc/ru/articles/360013266560
dot
Это написано в статьях. 😁 Следующие устройства и точки доступа в настоящее время поддерживают безопасный Wi-Fi: Серия USG FLEX - серия ATP - серия VPN (требуется прошивка не ниже 5.00) WAX650S - WAX610D - WAX510D - WAC500 - WAC500H (Требуется прошивка не ниже 6.20) Какие точки доступа поддерживают Tunnel Mode? Туннельный режим не поддерживается всеми точками доступа - смотрите таблицу совместимости ниже (данные с апреля 2019 года):
dot
Александр
Не увидел, спасибо. Не все ТД поддерживают, ну ладно.
dot
Всеми ТД, которыми контроллер управляет локально, может и удаленно.
Александр
Всеми ТД, которыми контроллер управляет локально, может и удаленно.
Пока не соображу как это, перечитаю ссылки выше.
dot
ТД подключаются к контроллеру по CAPWAP протоколу. Для ТД на WAN контроллера открывается доступ сервисам CAPWAP-CONTROL (UDP 5246) и CAPWAP-DATA (UDP 5247).
Миштах
Всеми ТД, которыми контроллер управляет локально, может и удаленно.
В, наверное, окончании этой дискуссии, хочу такой вопрос задать: при абсолютно равных условиях и задаче использование локального и облачного контроллера приводит к одному результату? Александр выше привел пример, где в зале работает тд и локальный контроллер. И он подключает вторую т.д. и сразу половину клиентов контроллер перекидывает на вторую тд. Nebula так же отработает?
dot
Миштах
В примере Александра используется балансировка типа "Smart Classroom", в Nebula она тоже есть. Отличается от других методов жестким отсеканием клиентов для быстрого восстановления баланса. Это оправдано при большой плотности - 30..50 клиентов на точку.
Ok. А в других случая, вообще говоря любых - оба типа контроллера отработают одинаково или близко к этому? В целом это, на мой взгляд, важный вопрос - есть серьезные преимущества у локального контроллера по отношению к nebula?
Александр
Ok. А в других случая, вообще говоря любых - оба типа контроллера отработают одинаково или близко к этому? В целом это, на мой взгляд, важный вопрос - есть серьезные преимущества у локального контроллера по отношению к nebula?
При всем уважении к Небуле, но есть ещё функции, которые есть у аппаратных контроллеров, но не всё нашёл в мануале Небулы: 1) Биллинг (hotspot management) отсутствует у ATP; 2) Captive portal на LAN физического порта маршрутизатора , а не на SSID; 3) Auto healing 4) полноценные возможности файрволла; NAT; роутинга; 5) расписание на всё (файрволл, роутинг, радиоантенны, BWM); 6) Device HA. 7) ограничение сессий; 8) фильтрование трафика. 9) BWM И другое это всё актуально, если есть права на администрирование интернет-маршрутизатора на объекте на границе сети. Тогда сомневаюсь все ТД отправлять в Небулу, если интернет выдаёт VPN/USG/ATP с облачным управлением (хотя, надо уточнить, есть ли разница у них между автономным и облачным управлением )
dot
Ok. А в других случая, вообще говоря любых - оба типа контроллера отработают одинаково или близко к этому? В целом это, на мой взгляд, важный вопрос - есть серьезные преимущества у локального контроллера по отношению к nebula?
Облако это чужой сервер где-то в Интернетах под управлением незнакомцев. Что же может пойти не так? 😂 Облачный сервер может тормозить или вообще не работать, может потерять все накопленные данные. Устройстами подключенными в облако кроме Вас могут управлять незнакомцы, мотивация которых Вам неизвестна. Вы можете прочитать в новостях, что облако взломали и список ваших пользователей с паролями продают в даркнете или не узнать об этом. 🤬 Конечно, это все про другие облака, с Nebula такого никогда не случится потому, что Zyxel хорошие ребята. 😅
Александр
Значит, Небула для 1123AC v и других ТД подходит тем, кто не может из-за финансов заменить SOHO роутер на VPN/USG/ATP, но ему нужен постоянный удалённый доступ к ТД ?
dot
Значит, Небула для 1123AC v и других ТД подходит тем, кто не может из-за финансов заменить SOHO роутер на VPN/USG/ATP, но ему нужен постоянный удалённый доступ к ТД ?
Самый большой плюс Nebula это быстрое развертывание. Устройство можно установить без настройки, сразу после покупки. Установшик мобильным приложением Nebula прочитал QR-код устройства, подключил в локалку с выходом в Интернеты и через 10 минут устройство уже в работе.
Anonymous
Проблема в том, что нет "Login" кнопки. Просто интересно - как Вам удалось убрать эту кнопку?
приветствую, отправил конфиг в техсаппорт через тикет, на 310 с дефолтным конфигом все работает ок, при заливки моего конфига возникает подобная проблема
Anonymous
👍
получается что при SSL кнопки LOGIN не должно быть?
Anonymous
если да, то при дефолтном конфиге, при разных портах, эта кнопка есть
Anonymous
проблема либо в конфиге, либо в прошивки)
dot
получается что при SSL кнопки LOGIN не должно быть?
Похоже, что убрали "Login" кнопку, но не там где нужно.
Anonymous
Похоже, что убрали "Login" кнопку, но не там где нужно.
возможно, ждем ответа от техподдержки
dot
Я про результаты работы при одинаковых настройках, а не про теорию заговора
Сравнительные тесты не делал. Балансировка происходит на самих ТД и тут все хорошо. При качественном Интернете должно быть одинаково. Контроллер (аппаратный/облачный) отвечает за обновление прошивки, конфиг ТД, авторизацию клиентов и сбор логов. Проблемы с аппаратным контроллером в локальной сети можно решить самим. А проблемы с качеством Интернета или в самой Nebula решают другие люди. Приходится тупо ждать когда починят.
Александр
Сравнительные тесты не делал. Балансировка происходит на самих ТД и тут все хорошо. При качественном Интернете должно быть одинаково. Контроллер (аппаратный/облачный) отвечает за обновление прошивки, конфиг ТД, авторизацию клиентов и сбор логов. Проблемы с аппаратным контроллером в локальной сети можно решить самим. А проблемы с качеством Интернета или в самой Nebula решают другие люди. Приходится тупо ждать когда починят.
А как ТД узнаёт, что соседняя ТД пустая и на неё отдаёт клиентов и между ними выравнивается кол-во подключённых? Причём всегда поровну. Неоднократно наблюдаю, как в конференц-зале с двумя ТД набирается 10 человек. Далее они подключаются к одному ссид и по контроллеру видно, что 5 клиентов сидит на первой ТД, другие 5 клиентов на второй ТД. Каким образом ТД договариваются друг с другом и делят поровну клиентов? Почему тогда не 8 клиентов у одной ТД, а у второй ТД 2 клиента? Поэтому на основании живых примеров делаю вывод, что тут явно участвует контроллер и контролирует перераспределение клиентов принудительным отключением (например, Signal Threshold) и не отвечать этому клиенту, пусть он сидит на той ТД и не пытайся переподключаться к другим ТД. Причём я никому Signal Threshold не настраивал. Я не знаю какими функциями делает контроллер, но он настолько продуманный, что освободил от дополнительной суеты с настройками сигнала для роуминга и перекидывания клиентов с одной ТД на другую ТД. Это у других вендоров нужно повозиться с настройками RSSI, сигналами и прочими функциями, чтобы телефон быстрее отсоединяло и быстрее подключало к другой ТД.
dot
А как ТД узнаёт, что соседняя ТД пустая и на неё отдаёт клиентов и между ними выравнивается кол-во подключённых? Причём всегда поровну. Неоднократно наблюдаю, как в конференц-зале с двумя ТД набирается 10 человек. Далее они подключаются к одному ссид и по контроллеру видно, что 5 клиентов сидит на первой ТД, другие 5 клиентов на второй ТД. Каким образом ТД договариваются друг с другом и делят поровну клиентов? Почему тогда не 8 клиентов у одной ТД, а у второй ТД 2 клиента? Поэтому на основании живых примеров делаю вывод, что тут явно участвует контроллер и контролирует перераспределение клиентов принудительным отключением (например, Signal Threshold) и не отвечать этому клиенту, пусть он сидит на той ТД и не пытайся переподключаться к другим ТД. Причём я никому Signal Threshold не настраивал. Я не знаю какими функциями делает контроллер, но он настолько продуманный, что освободил от дополнительной суеты с настройками сигнала для роуминга и перекидывания клиентов с одной ТД на другую ТД. Это у других вендоров нужно повозиться с настройками RSSI, сигналами и прочими функциями, чтобы телефон быстрее отсоединяло и быстрее подключало к другой ТД.
Машинный перевод цитаты из статьи https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=018118&lang=EN "Точка доступа автоматически определяет, есть ли другие точки доступа, которые могут предоставлять услуги, и всегда разрешает клиентское соединение, если другая точка доступа недоступна."
Миштах
В общем взаимодействия происходят на уровне точек, а не контроллеров. Контроллер из активных дейсивий только конфиги рассылает, прошивки, собирает статистику, анализирует её и предоставляет мониторинг
Александр
Значит я ошибаюсь насчёт варианта Небула. Получается, что первая ТД спрашивает у второй, сколько у тебя клиентов и ей отдаёт не больше, не меньше своего количества, так что ли?
Александр
В общем взаимодействия происходят на уровне точек, а не контроллеров. Контроллер из активных дейсивий только конфиги рассылает, прошивки, собирает статистику, анализирует её и предоставляет мониторинг
когда он выключен или перезагружается, на всех ТД исчезает вещание ссид и они начинают моргать красным светодиодом (авария). Без контроллера в режиме управляемой ТД они выключают свои ССИД и к ним не подключишься, веб-интерфейс отключается, по ssh можно.
Александр
Не спрашивают, просто регулярно вещают в сеть свой статус.
который будут понимать только аналогичные ТД с аналогичным ССИД, заданного с Небулы/контроллера? Другие ТД других вендоров понимают такие статусы?
Александр
При отключении контроллера тд прололжают вещать ssid
у меня не так. Все разом выключаются при потере связи с VPN/UAG.
Миштах
@dotnedot при использ nebula при отключении доступа в интернет тд перестают вещать ssid?
Александр
у других вендоров с программным контроллером действительно продолжают вещать ssid, просто интернета не будет на них и динамические ip никто не получит.
Александр
@dotnedot при использ nebula при отключении доступа в интернет тд перестают вещать ssid?
У вас ТД Небула отключают вещание ссид при потере связи с интернетом на 10 мин?
Денис
Это всё фигня! Я вот жду, когда это окошко начнёт нормально масштабироваться)
Миштах
У вас ТД Небула отключают вещание ссид при потере связи с интернетом на 10 мин?
Я не проверял. Умозрительно - такого быть не может by design.
Anonymous
Похоже, что убрали "Login" кнопку, но не там где нужно.
решили проблему, в конфиге удалили строки sslvpn login-domain-1 zyxel.test.com sslvpn login-domain-2 zyxel.test.com
Anonymous
https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=015323&lang=EN
Anonymous
🤦‍♂️))
Null
Новые прошивки: ZLD4.64 и 5.01 Друзья, Недавно нам стало известно о нацеленной на шлюзы безопасности Zyxel атаке целью которой стала реализация удаленного управления или установление SSL VPN туннеля. Новая микропрограмма призвана помочь пользователям в настройке высокого уровня безопасности, чтобы минимизировать риски возможных атак на шлюз. Новые функции включают: • Новые функции мастера начальной настройки Помогает пользователям добавить политики безопасности для ограничения доступа к веб-интерфейсу управления и службе SSL VPN из Интернета. • Инспекция политик безопасности Указывает на риски в настройке политик безопасности, а также напоминании о необходимости смены пароля при обновлении микропрограммы. • Настраиваемый доступ к SSL VPN и веб-интерфейсу шлюза Разделение доступа к SSL VPN и веб-интерфейсу. • Улучшение журнала событий Добавление события в журнал при любом изменении пользователей шлюза. • GeoIP становится бесплатной функций Встроенная функция GeoIP, которая обеспечивает дополнительную безопасность для ограничения доступа к шлюзу, теперь доступна бесплатно для всех межсетевых экранов. Подробнее Скачать прошивку Дата релиза: 28 июня 2021 года Поддерживаемое оборудование: • Версия ZLD4.64: ZyWALL USG Series/ZyWALL 110/310/1100 • Версия ZLD5.01: ZyWALL ATP Series/USG FLEX Series/VPN Series
Anonymous
Кстать, geoip времена включена, пока не нашли эксплойт?
Dmitry
Кстать, geoip времена включена, пока не нашли эксплойт?
Она теперь бесплатна, так как "обеспечивает доп безопасность". Можно включать и изучать как она работает.
master
https://support.zyxel.eu/hc/ru/articles/360001378533-%D0%9A%D0%B0%D0%BA-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D1%8C-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8E-Geo-IP
Александр
Geo IP отличная штука. Очень полезная. Её не позволяли купить, но хоть теперь штатно активна.
Миштах
Geo IP отличная штука. Очень полезная. Её не позволяли купить, но хоть теперь штатно активна.
А зачем вам вообще доступ к usg из разнообразных локаций?
Миштах
vpn в отпуске)
Согласен. А еще.
Floki
Согласен. А еще.
я использую для доступа к exchange, например, как доп проверку наряду с idp., и другим сервисам торчащим наружу.
Миштах
я использую для доступа к exchange, например, как доп проверку наряду с idp., и другим сервисам торчащим наружу.
А..ну да. Вэбаксесс. Получается что вы ограничиваете по geo ip доступ всем странам, кроме родной + стран, куда выезжают отпускники (в устаревшем смысле этого слова ;) . Но откуда вы знаете куда едут пользователи, которым будет необходим доступ к своей почте?
Floki
тикет перед поездкой. типа как банк предупредить, чтобы тебя не заблочили. такова реальность
Александр
А зачем вам вообще доступ к usg из разнообразных локаций?
Сайт посещают не только из России, но и из стран СНГ. И видно по флажкам откуда наибольшее кол-во запросов на какие порты. + бывает надо закрыть выход на иностранные сайты для определённой категории гостей, пользователей.
Дмитрий
Всем привет
Дмитрий
Такая проблема
« Rev
@zyxelru   222
Fwd »