@zyxelru - страница 341 - Telegram web archive

Yura

Добрый день. Подскажите знающие, настраиваю ssl vpn. все создал по инструкции, все хорошо, последний пункт инструкции "Убедитесь, что SSL VPN Port добавлен в правило межсетевого экрана WAN-to-Zywall." Добавляю этот порт (поставил отличный от стандартного) и зивол начинает ругаться "Warning: You have a rule that allows anyone from the Internet to access the web mgmt. interface and SSL VPN service. To reduce the attack surface, please press the button to update security settings."

Yura

чего не так то, они же сами в инструкции пишут, что нужно так сделать

Yura

https://support.zyxel.eu/hc/ru/articles/360001390774-USG-ATP-VPN-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-SSL-VPN-%D1%81-%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E-%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%B0-%D0%BF%D0%BE-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B5-SecuExtender

Yura

вот сама инструкция

Anthony

В группе сервисов "Default_Allow_WAN_To_ZyWALL" должен присутствовать новый сервис с Вашим новым портом SSL.

Yura

так есть)

Yura

как только добавляю, он и начинает ругаться, что ему не нравится безопасность

Yura

сам vpn работает без вопросов, меня смущает только сообщение безопасности "Warning: You have a rule that allows anyone from the Internet to access the web mgmt. interface and SSL VPN service. To reduce the attack surface, please press the button to update security settings."

Anthony

Ну, это нормальное предупреждение. Сделайте ограничение в правиле в поле "Источник". К примеру, только для IP из России

Yura

окей, спасибо)

Yura

а не скажете где это ставить?)

Yura

все, разобрался. Спасибо за помощь!

Алексей

сам vpn работает без вопросов, меня смущает только сообщение безопасности "Warning: You have a rule that allows anyone from the Internet to access the web mgmt. interface and SSL VPN service. To reduce the attack surface, please press the button to update security settings."

Если версия микропрограммы ниже 5.30 - не советую открывать ssl.

Yura

Чего?

Алексей

Доступ Https на порт wan

Yura

Так я сменил порт

Алексей

https://habr.com/ru/company/kaspersky/blog/665982/

sergey

Добрый день! Тыкните меня лицом в решение задачи. Есть 2 Zywall USG. между ними настроен туннель ipsec. узлы за Zywall по IP пингуются замечательно. По имени пингуются только по полному т.е. computer1.domain.com, а по неполному не резолвит имя, т.е. при попытке пингануть computer1 - не резолвит его ip. как решить данный вопрос? DNS форвардинг настроил, *.domain.com - ип Zywall, за которым dhcp сервер. у микрота есть тема с маркировкой пакетов и последующей маршрутизацией их в туннель, здесь такого не наблюдаю.

Anthony

Галка стоит?

sergey

Угу

Александр

Добрый день! Тыкните меня лицом в решение задачи. Есть 2 Zywall USG. между ними настроен туннель ipsec. узлы за Zywall по IP пингуются замечательно. По имени пингуются только по полному т.е. computer1.domain.com, а по неполному не резолвит имя, т.е. при попытке пингануть computer1 - не резолвит его ip. как решить данный вопрос? DNS форвардинг настроил, *.domain.com - ип Zywall, за которым dhcp сервер. у микрота есть тема с маркировкой пакетов и последующей маршрутизацией их в туннель, здесь такого не наблюдаю.

У ПК , которые кратко имена не пингуют, что за ДНС прописан? ZyWall или ваш, внутренний? На котором имена компов хранятся?

sergey

Зюваловский внутренний. При nslookup отбивка, что не удалось найти имя

Александр

Зюваловский внутренний. При nslookup отбивка, что не удалось найти имя

А попробуйте ему прописать тот ДНС, у которого имена ПК хранятся. Он точно пингуется по IP?

sergey

Да. Правила прописаны. На клиентском в зоне lan поднят свой дхцп сервер, в котором указан внутренний ИП обоих зювалов как днсы

sergey

Вопрос в том, что полные имена находятся, а без указанного доменного имени нет

Александр

Да. Правила прописаны. На клиентском в зоне lan поднят свой дхцп сервер, в котором указан внутренний ИП обоих зювалов как днсы

так в этом и проблема - должен быть основной ДНС указан... короткие имена только с него и будут резолвится

Александр

Вопрос в том, что полные имена находятся, а без указанного доменного имени нет

Ну я сталкивался с таким, необходимо, чтобы ПК был в домене и брал имена с ДНС, который синхронизирован с Active Directory. Но это не на Zyxel было, но ситуация похожа.

sergey

Ок, вечером дотыкаю его

Александр

есть еще глупый вариант... но тоже есть - файлик hosts ))))

sergey

есть еще глупый вариант... но тоже есть - файлик hosts ))))

Нет спасибо) я отчаялся но не настолько)

Александр

если все машины в домене, через политику раскидывать централизовано его можно

Александр

и плевать тогда на ДНСы )

Александр

При не устойчивой связи между офисами - помогает

Александр

Вопрос в том, что полные имена находятся, а без указанного доменного имени нет

ну и самый правильный способ, во втором офисе реплику домена держать ) на виртуалке поднять и в DHCP указать... всех делов

Дмитрий

Добрый вечер

Дмитрий

Подскажите точкп в режиме compatible

Дмитрий

Что это значит и как поменятт

panimayuu

Здравствуйте, извиняюсь я тут впервые, а можете помочь мне для НИР, нужно кое что спросить, подскажите мне нужно определить критерии оценки проводных сетей общего доступа и их возможные значения, а потом провести анализ средств защиты проводных сетей для определения значений критерий? Можете помочь кому не трудно, или что-то подсказать. В этой теме не оч шарю помогаю другу

panimayuu

Какие критерии оценки есть для проводных сетей

panimayuu

И средства защиты

Dmitry

А что, господа практики... Давайте поупражняемся в теории 😊

Anonymous

Господа, может кто скинуть актуальную прошивку для ATP100?)

Denis

Myzyxel.com - там все прошивки для межсетевых

Anonymous

активная лицензия нужна или только регистрация?

Denis

Только регистрация

Дмитрий

Привет nwa50ax только небула?

Anthony

Привет nwa50ax только небула?

В смысле настройки? Не обязательно. https://www.youtube.com/watch?v=g8IBHNHVUMY&t=38s

Denis

Привет nwa50ax только небула?

Nebula и stand-alone

Дмитрий

спс

Дмитрий

а к контроллеру на flex500 подцепится?

Denis

Нет, это другой (третий) режим.

Denis

https://select.zyxel.ru/type/3

Denis

Фильтры помогут выбрать подходящую модель

Nikolay 🕸

Добрый день. Как можно исправить ситуацию с неправильным определением региона в GEO-IP Много подсетей Узбекистана резолвится как другие страны

Dmitry

Добрый день. Как можно исправить ситуацию с неправильным определением региона в GEO-IP Много подсетей Узбекистана резолвится как другие страны

а в https://www.maxmind.com/en/geoip-demo эти адреса как резолвятся?

Nikolay 🕸

а в https://www.maxmind.com/en/geoip-demo эти адреса как резолвятся?

Сейчас проверил несколько, похоже что также как и в Zyxel. При этом тут https://www.whatismyip.com/92.38.39.26/ все правильно

Dmitry

значит проблемы в maxmind. можно им попробовать написать и спросить что случилось и почему у них данные не обновились

Nikolay 🕸

значит проблемы в maxmind. можно им попробовать написать и спросить что случилось и почему у них данные не обновились

Т.е. Zyxel использует maxmind?

Dmitry

это самы простой и надежный (как минимум раньше был) вариант. Его используют наверное 90% вендров

Dmitry

https://www.maxmind.com/en/geoip-data-correction-request

Dmitry

заодно всем поможете, сделаете доброе дело ;)

Nikolay 🕸

заодно всем поможете, сделаете доброе дело ;)

Займусь этим плотно 😁

Дмитрий

Добрый день. Скажите, пожалуйста, справится ли межсетевой экран Zyxel vpn300 в офисе на 200-220 человек? Или лучше сразу смотреть в сторону тысячника?

onatoli4

Добрый день. Скажите, пожалуйста, справится ли межсетевой экран Zyxel vpn300 в офисе на 200-220 человек? Или лучше сразу смотреть в сторону тысячника?

Справится

Дмитрий

Справится

А как дела с лицензиями в это непростое время? Антивирус, антиспам и тд

Александр

Займусь этим плотно 😁

Если откажутся исправлять, в самом шлюзе можно вручную указать, чьи это подсети.

onatoli4

А как дела с лицензиями в это непростое время? Антивирус, антиспам и тд

в линейке VPN нет антивируса и антиспама