ограничил доступ по 500 порту, пока только одно представительство отвалилось, остальные работают....

Похоже проблема связана с переполнением буфера при работе VPN, что вызывает падение процессов ipsec и web. Обещают сегодня (максимум завтра) выпустить патч. Вроде как ограничение трафика на 500\4500 порты по конкретным адресам или странам может помочь. Проверьте, у кого есть такая возможность.

Рабочее решение, туннели отваливаться перестали.

ограничил доступ по 500 порту, пока только одно представительство отвалилось, остальные работают....

6 минут - полет нормальный... у тех кто отвалился, проблемы со связью... 7 других представительств работают

А у меня ошибки пропали, но впн переподключаются с записью в логе Delete duplicate IPSec SA, но быстро

время коннекта пару минут держит

6 минут - полет нормальный... у тех кто отвалился, проблемы со связью... 7 других представительств работают

опять отвалились все.... только уже через 10 мин, а не через 5....

https://community.zyxel.com/en/discussion/17081/app-watch-dog-recover-sshipsecpm-dead Обещают скоро решение

опять отвалились все.... только уже через 10 мин, а не через 5....

между вами и филиалами (не по тоннелю) пинг ровный? Не рвётся?

ровный

проблемы начались сегодня

закрыл еще 4500 UDP, буду посмотреть....

User passed the validation.

закрыл еще 4500 UDP, буду посмотреть....

все равно рвется....

User passed the validation.

Проверьте, что ограничения создаются по направлению WAN to ZyWALL. По умолчанию есть такое правило с разрешением vpn сервисов (они входят в группу Default Allow from WAN to ZyWALL).

ИХ нужно удалить из этой группы

Это полностью закроет доступ

все равно рвется....

У меня закрыты 50-51, 500, 4500 туннель не падает.

У меня закрыты 50-51, 500, 4500 туннель не падает.

попробую сейчас еще 50-51 закрыть

User passed the validation.

Затем можно создать отдельную группу IPSec сервисов

The root cause for this issue is that Zyxel devices are being targeted in buffer overflow attacks on larger scale. The buffer overflow attacks causes VPN connections to disconnect, web interfaces to be inaccessible etc. Please note that this is an issue that disrupts the stability of the devices, the devices are not compromised by the attacker so they gain access.   HQ is developing an urgent patch firmware for all models to prevent this issue and is expected to arrive later today or tomorrow latest.

и добавить для них разрешающее правило только для российских IP к примеру

или только для своих IP

Ну я так и сделал, разрешил только для своих IP, только не удалил сначала из дефолта, и 2 порта блочил, а не 4. Сейчас сделано как сказали, вроди пока не жалуются...

Проверьте, что ограничения создаются по направлению WAN to ZyWALL. По умолчанию есть такое правило с разрешением vpn сервисов (они входят в группу Default Allow from WAN to ZyWALL).

у меня полностью удалено это правило, и сделано другое Wan to Device с опеределеных ip все остальное блочится, и вроде web и ipsec не падает

Все равно рвутся vpn-ы...

User passed the validation.

и добавить для них разрешающее правило только для российских IP к примеру

Приветствую! А можно сделать 1 правило, чтобы рубило все коннекты не из России?

Приветствую! А можно сделать 1 правило, чтобы рубило все коннекты не из России?

Сообщение в 14.30

Сообщение в 14.30

Если я правильно понимаю работу файрволла, то он будет пропускать ВСЕ коннекты с Российских адресов, не смотря на то, что ниже есть ограничения по конкретным. Мне же нужно, чтобы первое правило проверяло адрес и если он не из Российского пула, то сразу отбрасывать.

Зато как подросла аудитория группы 😅

Что означает "правило на региональность"? К примеру, в Микротике есть условие NOT. И если бы можно было составить условие "Не из России", я бы сделал давно))

Хорошо. Как я понимаю работу файрволла. Он бежит от первого правила до последнего и проверяет все условия до тех пор, пока не найдёт полное соответствие (FROM, TO, Source и т.д.), после этого применяет к пакету allow, deny или reject и дальнейшее сравнение с ниже идущими правилами прекращается. Я правильно понимаю работу?

Поставить russia на wan)

Но первым правилом не надо, а только те который from: wan

https://1drv.ms/f/s!An3fjcN1TTyjgeN9FZtfKpZ72KU08Q?e=VJSSyN По этой ссылке можно скачать патч с решением для всех моделей

Оф релиз скорее всего будет завтра

Попробовал поставить 😡

Коллеги, со вчера странная картина с USG FLEX 200 - отваливаются впн l2tp и ipsec и самое странное - при авторизации через веб-консоль зависает и не пускает никуда. Интернет и внутренняя сеть работает. помогает только перезагрузка. через пару часов повторяется. провайдер МТС + Унител

Коллеги, со вчера странная картина с USG FLEX 200 - отваливаются впн l2tp и ipsec и самое странное - при авторизации через веб-консоль зависает и не пускает никуда. Интернет и внутренняя сеть работает. помогает только перезагрузка. через пару часов повторяется. провайдер МТС + Унител

Читайте выше

Тут многие по этому поводу пришли в чатик

https://1drv.ms/f/s!An3fjcN1TTyjgeN9FZtfKpZ72KU08Q?e=VJSSyN По этой ссылке можно скачать патч с решением для всех моделей

Вот решение, но у меня на USG20 не взлетело

Поделитесь: у кого-то получилось поставить патч?

Поставил russia разрешение только, вопрос сразу решился

User passed the validation.

Коллеги, из интересного словили на USG40w и FLEX 200, но не можем обновить прошивки ни на просто последние cloud и с папки, ни на фикс. вроде заливает, перезагружается, прошивка старая. что в standby раздел, что в running

Так, у меня таки один прошился Тестирую Параллельно пытаюсь прошить остальные 18 2 умерло при попытке прошить до 5.36

еще штук 20 USG40, 60, 110 работают без сбоев))) боимся даже входить на них

Во люди, в рабочее время железки шьёте)) везёт

Во люди, в рабочее время железки шьёте)) везёт

Выхода нет Стоит все

Так выход оставить на доступ IP из России только

Правка нескольких (одного) правила

Так выход оставить на доступ IP из России только

На одном попробовали - не помогло И это костыль

Который потом где-нибудь, да аукнется

На одном попробовали - не помогло И это костыль

Проверено лично, все сразу стало гуд

На нескольких устройствах однако

Недружественный Mikrotik уже в дороге Просто не успели 😅 Поэтому проще прошить. А потом в утиль

Ну микрот все-таки другой класс устройств

Он у меня стоит в самом главном месте, чтобы я был спокоен😂😂😂 а в других как-то скучно его юзать

Он у меня стоит в самом главном месте, чтобы я был спокоен😂😂😂 а в других как-то скучно его юзать

Когда успел заменить 380 устройств на МТ и лишь 20 осталось Zyxel, и сегодня именно они и отвалились, то лучше уже пусть будет МТ

посмотрел еще раз железку, не из того дефолта удалил порты... сделал все как надо, поменял доступ вместо группы IP, на только из Беларуси, полчаса полет нормальный... ближе к ночи шить попробуем...

VPN100, VPN 50, USG20-VPN - все работают, VPN не отваливались. Сбоев не было. Откуда паника?

VPN100, VPN 50, USG20-VPN - все работают, VPN не отваливались. Сбоев не было. Откуда паника?

Повезло

VPN100, VPN 50, USG20-VPN - все работают, VPN не отваливались. Сбоев не было. Откуда паника?

Так не везде

По-любому есть что-то общее, типа провайдера, или что-то ещё

Билайн у меня страдал, дом.ру тоже

Мегафон (нбн) нет

Проверено лично, все сразу стало гуд

не всегда, у нас помогло ему не виснуть, но впн умер между филалами

Во люди, в рабочее время железки шьёте)) везёт

не могу понять почему они не жрут прошивки. бред какой-то. ребутится и прошивки старые. причем речь даже о официальных, а не бетах

не могу понять почему они не жрут прошивки. бред какой-то. ребутится и прошивки старые. причем речь даже о официальных, а не бетах

И в логах пустота

И в логах пустота

именно

Продам USG20-VPN 21 шт., недорого 😂

Он же FLEX50

Продам USG20-VPN 21 шт., недорого 😂

Почем

это видать новые какие-то) старые вроде до флексов не повышаются

это видать новые какие-то) старые вроде до флексов не повышаются

Нормально повышаются