On
On
On
Может ли быть дело в том, что я использую IKEv1? Может быть, новый ZyWall хочет чтобы для L2TP использовался исключительно IKEv2?
Null
Yura
Коллеги! А у Zyxel есть варианты с Demo или NFR продуктами? :)
Anton
Gennady
On
Добрый день! Проверьте галочку Enable Mode Config в VPN - VPN Connection - «имя_вашего_l2tp_коннектора». Она должна быть отключена
Anton
On
Добрый день! Проверьте галочку Enable Mode Config в VPN - VPN Connection - «имя_вашего_l2tp_коннектора». Она должна быть отключена
Нашел! Режим инкапсуляции должен быть, конечно, не Tunnel, а Transport! В USG100 по этому параметру не фильтровалось, теперь фильтруется
Total messages: 49434
sai
Коллеги, подскажите, USG20W-VPN может вещать только в 5ГГц или только в 2.4, а одновременно оба не может?
sai
sai
нашел ответ на свой вопрос. Да, эта железка одновременно может только в один диапазон
M... K...
Здравствуйте. у меня есть 2 шт usg fex 500. планирую купить 1 лицензи. Gold Security Pack. можно ли включить HA Pro на устройствах и использовать одну лицензию на двоих ?
M... K...
само функция HA не нужно инфраструктура не позволяет. на случае если один сдохнет можно было перекидать лицензию на другую
Александр
Здравствуйте. у меня есть 2 шт usg fex 500. планирую купить 1 лицензи. Gold Security Pack. можно ли включить HA Pro на устройствах и использовать одну лицензию на двоих ?
https://support.zyxel.eu/hc/ru/articles/360004724420
On
Господа, добрый день. Кто-нибудь настраивал на Flex100 IKEv2 со стандартным клиентом Windows 10? Мучаюсь все утро, уже почти добился результата, туннель строится, но уже после того как Dynamic Tunnel [IPSEC_IKEv2:IPSEC_IKE2:0x3fbcd24a] built successfully - следует [info] Send:[DEL][DEL] [count=2] и IKE SA [IPSEC_IKEv2] is disconnected [count=2], а винда сообщает "Параметр задан неверно". Что бы поковырять? Серт сгенерен и самоподписан флексом, при этом включены все галки касательно аутентификации. Аутентификация пользователя - расширенная в IPSec Gateway, mschapv2.
В какой-то момент винда решила обновиться. После чего установки туннеля прекратились, в логах флекса появилось прекращение установки туннеля из-за несовпадения proposals в phase 2, а винда стала сообщать о несовпадении групповой политики. Победить это у меня пока не получилось. Вообще есть кто-либо, у кого ikev2 в зиволлах работает со стандартным windows клиентом?
On
Напишите в support@zyxel.ru, может уже было такое.
Спасибо, в начале той недели попробую. В выходные официальная поддержка вряд ли ответит...
On
Победил. Если кому интересно - чтобы винда не давала ошибку политики, нужно в политике IPSec соединения флекса указывать хост 0.0.0.0. Фигня довольно не очевидная, да? После этого туннель начинает строиться, но возникает ошибка "Параметр задан неверно" у винды при попытке установки соединения, при этом уже построенный туннель тут же закрывается. Чтобы устранить и ее, есть два варианта. Первый - в настройках VPN винды в протоколе TCP/IP задать допустимый статический IP. Второй (думаю, предпочтительный) - на флексе в свойствах соединения включить расширенную конфигурацию и задать пул IP, после чего начнет работать DHCP сервер и станет выдавать IP на подключения.
On
А со смартфонами все то же самое кто-то делал? У меня старенький Mi6, там ikev2 вообще нет. L2TP, конечно, есть и работает, но хочется чего-то посовременнее. StrongSwan или что модно в подобных случаях? Объясните старперу...
Федор
Так второй вариант, и должен быть настроен
Федор
Вы же для l2tp пул адресов указываете всегда, так и тут
On
Вы же для l2tp пул адресов указываете всегда, так и тут
Неочевидно. Я с USG100 мигрировал, там такого не было. А подробного руководства тоже нет, только некая отрывочная информация. Вот, в течение дня все скомпоновал, собрал, теперь все понятно
Федор
В официальной документации все очевидно указано)
On
В официальной документации все очевидно указано)
Дайте ссылку, что ли. zyxel.eu ковырял, нашел пару годных статей, но однозначно рабочего how-to не попалось
Федор
Это же l3 уровень, без IP и маршрутации никак
Федор
https://mysupport.zyxel.com/hc/en-us/articles/360005744000--ZyWALL-USG-How-to-set-up-a-Client-to-Site-VPN-Configuration-Payload-DHCP-connection-using-IKEv2
On
Это же l3 уровень, без IP и маршрутации никак
Винда не выдает очевидных ошибок. Трудно понять, что туннель обрывается именно потому что она IP не получила
Федор
Рабочая статья 100 процентов
On
Федор
Где-то вот ikev2 не было, а теперь где-то нет вообще l2tp (samsung) )))))
On
Где-то вот ikev2 не было, а теперь где-то нет вообще l2tp (samsung) )))))
Я читал, что с какой-то версии Android (кажется с 12 или с 13) убрали l2tp. А отсутствие ikev2 на старых андроидах проблема не такая большая - strongSwan довольно аккуратная и стабильная штука, к тому же бесплатная и без рекламы.
Василий
Всем привет в этом чатике, подскажите, по какой причине может не приходит код при двухфакторной аутентификации ? Железка VPN300 ? Пытаюсь войти в админку.
Anthony
Всем привет в этом чатике, подскажите, по какой причине может не приходит код при двухфакторной аутентификации ? Железка VPN300 ? Пытаюсь войти в админку.
Василий
Так беда в том что они исправно приходили и вдруг перестали, причем настроек не меняли и почтовые учетки работают и функционируют
Василий
Есть возможность подключиться к устройству для снятия логов с него не через дата-кабель ?
Anthony
Есть возможность подключиться к устройству для снятия логов с него не через дата-кабель ?
Если есть физический доступ к устройству, быстрее будет сбросить пароль согласно статье https://support.zyxel.eu/hc/en-us/articles/360012744371-What-can-I-do-if-I-forgot-my-USG-FLEX-ATP-VPN-password-or-cannot-access-it-anymore
2FA при этом отключится. Будет возможность перенастроить/перепроверить.
Anthony
Так беда в том что они исправно приходили и вдруг перестали, причем настроек не меняли и почтовые учетки работают и функционируют
Значит дело в сервере E-mail (хостер поменял имя сервера, к примеру) или в учётке что отвечает за отправку (пароль возможно сменили).
Александр
Значит дело в сервере E-mail (хостер поменял имя сервера, к примеру) или в учётке что отвечает за отправку (пароль возможно сменили).
Ещё добавлю, могли добавить запрет на отправку писем с SMTP сторонних клиентов.
Василий
Написал хостеру в поддержу, посмотрим что ответит
Василий
Спасибо за советы, на край буду искать шнур и по инструкции выше сбрасывать
Null
Null
On
Так беда в том что они исправно приходили и вдруг перестали, причем настроек не меняли и почтовые учетки работают и функционируют
А кстати, если 2FA вот так по тем или иным причинам отвалилась - как можно вернуться на старый способ? Зайти из локалки поможет? Я пока еще 2FA не пробовал и не в курсе как там что, но смотрю в ее сторону
Anthony
А кстати, если 2FA вот так по тем или иным причинам отвалилась - как можно вернуться на старый способ? Зайти из локалки поможет? Я пока еще 2FA не пробовал и не в курсе как там что, но смотрю в ее сторону
Насколько я понимаю 2FA ставится на пользователей. Админов, VPN-пользователей. Потому если она включена, и из локалки без подтверждения Вы не зайдёте.
On
Насколько я понимаю 2FA ставится на пользователей. Админов, VPN-пользователей. Потому если она включена, и из локалки без подтверждения Вы не зайдёте.
То есть верно ли я вас понял, что все ж должен быть админ, у которого она не включена, чтобы в случае чего он зашел и что-то подправил?
Василий
Где в Москве можно купить дата кабель?
Anthony
То есть верно ли я вас понял, что все ж должен быть админ, у которого она не включена, чтобы в случае чего он зашел и что-то подправил?
На усмотрение. Я пользую лишь одного админа и 2FA на него ставлю. Потому как использую почтовый аккаунт для отправки крупного хостера (данные по аутентификации там не меняются) и письма отправляю на два ящика от разных провайдеров.
On
То есть если вдруг что, то только резет?
On
Кто-нибудь может подсказать, у последней прошивки flex100 от 20.02.2024 нет проблем с производительностью? Никто ее не устанавливал?
Anthony
То есть если вдруг что, то только резет?
Да, поэтому аккуратнее в выборе e-mail аккаунтов, настроек
Василий
А кстати, если 2FA вот так по тем или иным причинам отвалилась - как можно вернуться на старый способ? Зайти из локалки поможет? Я пока еще 2FA не пробовал и не в курсе как там что, но смотрю в ее сторону
Нет, да и коллеги уже пояснили, она везде ставиться
On
Нет, да и коллеги уже пояснили, она везде ставиться
Ну с консоли терминалом, наверно, еще есть вариант помимо резета
On
По компорту-то он вряд ли 2FA запросит ? :)
Anthony
Ну с консоли терминалом, наверно, еще есть вариант помимо резета
Вот какие команды для 2FA можно применять для админов в CLI
Anthony
Т.е. по идее команда
> two-factor-auth adminaccess no
отменяет её.
Shaman
Коллеги добрый день. такой вопрос: есть 2 роутера [RT1 ZyWALL 1100] Выполняет функцию центрального VPN сервера и удаленная площадка [RT2 USG40] между ними IPSec. все работает, за каждым из роутеров есть несколько подсетей, возможно ли сделать так чтобы маршруты из других подсетей (которые не описаны в IPSec) маршрутизировались через IPSec тунель..? или для каждой подсети делать отдельный IPSec ?
Александр
Коллеги добрый день. такой вопрос: есть 2 роутера [RT1 ZyWALL 1100] Выполняет функцию центрального VPN сервера и удаленная площадка [RT2 USG40] между ними IPSec. все работает, за каждым из роутеров есть несколько подсетей, возможно ли сделать так чтобы маршруты из других подсетей (которые не описаны в IPSec) маршрутизировались через IPSec тунель..? или для каждой подсети делать отдельный IPSec ?
В политиках маршрутизации указать какие подсети направить в тоннель.
Shaman
пробовал но невзлетало.. возможно что то не так делал... вопрос на каждом из роутеров по одной политике маршрутизации нужно сделать или несколько?
Александр
пробовал но невзлетало.. возможно что то не так делал... вопрос на каждом из роутеров по одной политике маршрутизации нужно сделать или несколько?
Если SNAT не используется, то нужно с двух сторон указывать маршрут, чтобы роутер понимал, на каком интерфейсе находится подсеть назначения.
Shaman
неиспользуется
Shaman
при создании политики маршрутизации есть поле Incoming что я там должен выбрать?
Shaman
Александр
при создании политики маршрутизации есть поле Incoming что я там должен выбрать?
Any или Interface , а в Source Address желаемую подсеть.
Shaman
Source Address если я правильно понял я должен указать из какой подсети уйдет пкет а в Destination в какую..
Shaman
если выбрать Interface то ниже просит выбрать физический интерфейс а так как это IPSec то там его нет..
Dmitry
В СПб, в XCom замутите, буду рад приехать)
как вариант, посмотрим как в мск пройдет, в питере у нас много своих, там без проблем
Александр
если выбрать Interface то ниже просит выбрать физический интерфейс а так как это IPSec то там его нет..
Можете схему набросать? И что куда направить
Shaman
да
Александр
если выбрать Interface то ниже просит выбрать физический интерфейс а так как это IPSec то там его нет..
Тут зависит от того, на какой железке делаем. На VPN сервере или VPN клиенте.
Поэтому схему попросил, можно с левыми подсетями.
Главное понять направления, по ней скриншоты накидаю.
Shaman
сейчас схемку набросаю будет понятнее
Shaman
Shaman
теперь етсь необходимость чтобы из 192,168,77,* было видно 192,168,44,0 и из 49 и 34 сети тоже