в новых прошивках убрали. В старых прошивках поддерживалась.
Felix
Александр
Felix
точка доступа и LAN порт USG60 в одной подсети? Файрволл не блокирует CAPWAP трафик?
Да, подсеть одна. Блокировок нет. Три WAC500 работают, причем одна из них подключалась вместе с NWA в тот же коммутатор...
Александр
Да, подсеть одна. Блокировок нет. Три WAC500 работают, причем одна из них подключалась вместе с NWA в тот же коммутатор...
на веб-интерфейс NWA заходили? Там режим управления какой стоит?
Felix
Так она в управляемом режиме, разве можно зайти на веб-интерфейс?
Александр
Так она в управляемом режиме, разве можно зайти на веб-интерфейс?
если она не появляется на USG60, значит неясно в каком она режиме.
Felix
Но на usg40 и flex100 появляется. Веб интерфейс недоступен, увы
Александр
Но на usg40 и flex100 появляется. Веб интерфейс недоступен, увы
подключите точку доступа к USG60, кнопка reset на точке доступа и если не появится у USG60, зайдите на веб-интерфейс точки доступа.
Felix
Пробовал. Не появляется. Адрес 192.168.1.2 не отвечает.
Felix
По динамике получает, веб интерфейс недоступен
Александр
Значит не сброшен. Держите reset долго, пока power не замигает
Felix
Раз 5 делал)
Felix
Проблема в том, что 60 на другой площадке. 40 на столе, с ним все получается. Попробую еще раз сгонять в филиал...
Александр
Проблема в том, что 60 на другой площадке. 40 на столе, с ним все получается. Попробую еще раз сгонять в филиал...
Felix
в любом случае, спасибо за помощь)
Федор
Только не понятно, у вас точка в руках?
Artyom
Привет, кто как обновляет свои зиксели? на ручнике или автоапдейты включены? У меня в хозяйстве более 30 штук разных в разных городах. Интересно, как часто бывают проблемы во время апдейтов.
Дмитрий
Привет, кто как обновляет свои зиксели? на ручнике или автоапдейты включены? У меня в хозяйстве более 30 штук разных в разных городах. Интересно, как часто бывают проблемы во время апдейтов.
С 500flex у меня 2 раза было что он в ауте был, обновляю в ручную
Artyom
С 500flex у меня 2 раза было что он в ауте был, обновляю в ручную
Что значит в ауте? и как этот аут лечится? может есть под рукой какая статья по решению проблем с обновлениями?
Александр
Что значит в ауте? и как этот аут лечится? может есть под рукой какая статья по решению проблем с обновлениями?
Сохранённые ссылки:
Восстановление через консоль:
https://support.zyxel.eu/hc/ru/articles/360014273779-Процедура-восстановления-микропрограммы-на-устройствах-серии-Zywall-USG-ATP-VPN-FLEX
Варианты перепрошивки:
https://support.zyxel.eu/hc/ru/articles/9207995518610-Procedura-de-actualizare-a-firmware-ului-USG-ATP-VPN
Обновление через облачко:
https://support.zyxel.eu/hc/ru/articles/360001390734-Как-обновить-устройства-USG-через-облачный-сервис
Перезагрузка через консоль:
Процедура перезагрузки шлюза серии ATP/VPN/Zywall/USG через консольный порт – Zyxel Support Campus EMEA
Загрузка с MyZyxel:
Загрузка микропрограммы устройства с портала MyZyxel для шлюзов безопасности (FLEX, ATP, USG, VPN, ZYWALL) – Zyxel Support Campus EMEA
Не заливается прошивка:
https://support.zyxel.eu/hc/ru/articles/11616709217810/#h_01H19CJW3NG9Z8WJM3R0HY8TB1
Дмитрий
Что значит в ауте? и как этот аут лечится? может есть под рукой какая статья по решению проблем с обновлениями?
Всмвсле что он в ребут уходил постоянный, лечилось откатом прошивки
htdocs
получил я значит точки доступа ;) а настройка через сайт производителя, как-то не прикольно
Александр
получил я значит точки доступа ;) а настройка через сайт производителя, как-то не прикольно
Поздравляем. А как нужно?
htdocs
локально 😂
htdocs
неа, буду разбираться уже как освобожусь со всеми настройками а то ничего нет
htdocs
я потому что даже пароль устройства сменить не могу
Александр
неа, буду разбираться уже как освобожусь со всеми настройками а то ничего нет
Нужно удалить с Небулы (из инвентаря) и тогда можно включить локальный режим.
Облачный и локальный режимы вместе не работают. Только один режим.
htdocs
htdocs
там какой-то кастрированный вариант интерфейса
Александр
там какой-то кастрированный вариант интерфейса
Это если подключился к облаку.
После удаления (https://t.me/zyxelru/33361 ) из Небулы точка доступа сбрасывает конфиг и перезагружается. Далее точка доступа доступна как автономная.
htdocs
Спасибо большое сейчас попробую
Nikolay 🕸
Добрый день.
С чем может быть связано?
Есть связка Zywall310+AD (W22-Server)
Пользователи AD могут залогиниться на Zywall (через web-интерфейс), также подключаются нормально через SSL-VPN, но при подключении через L2TP выдает "User i.testov has been denied from L2TP service.(Incorrect Username or Password)" при этом логин-пароль точно правильные.
Группа для L2TP и SSL VPN одна и таже.
Андрей🌐
Добрый день.
С чем может быть связано?
Есть связка Zywall310+AD (W22-Server)
Пользователи AD могут залогиниться на Zywall (через web-интерфейс), также подключаются нормально через SSL-VPN, но при подключении через L2TP выдает "User i.testov has been denied from L2TP service.(Incorrect Username or Password)" при этом логин-пароль точно правильные.
Группа для L2TP и SSL VPN одна и таже.
Добрый, а реалм в настройка верно прописан? Совпадает с доменом?
onatoli4
Посмотрите эту статью: https://support.zyxel.eu/hc/en-us/articles/4649105338386-VPN-Configure-an-Active-Directory-AD-Server-through-a-VPN-tunnel
Null
Nikolay 🕸
Добрый, а реалм в настройка верно прописан? Совпадает с доменом?
В настройках AAA server-? да совпадает.
Есть еще один нюанс. В сети 2 одинаковых фаервола, 2 контроллера домена (домен один и тот же), настройки идентичные на обоих фаерволах, только один фаервол появился во вкладке "Computers" в AD, второй (проблемный) нет.
Nikolay 🕸
onatoli4
Андрей🌐
Nikolay 🕸
Андрей🌐
Уже точно не помню, но вроде ручками создавал фв в АД, сами не добавлялись
Nikolay 🕸
Уже точно не помню, но вроде ручками создавал фв в АД, сами не добавлялись
сейчас попробую.
А почему в SSL-VPN авторизация по АД тогда проходит?? проблема только в L2TP
Александр
сейчас попробую.
А почему в SSL-VPN авторизация по АД тогда проходит?? проблема только в L2TP
А L2TP по локальной учётке железки проходит авторизацию?
onatoli4
сейчас попробую.
А почему в SSL-VPN авторизация по АД тогда проходит?? проблема только в L2TP
в настройках l2tp клиента видимо стоит mschap
Андрей🌐
На сколько я помню, для мсчап надо фкдн фв в АД
Андрей🌐
Резолв по имени фв идет?
Андрей🌐
С АД сервера можно
Александр
Может где-то в радиус настройках забыли. Вот там, например,
https://support.zyxel.eu/hc/article_attachments/4760461533586
Nikolay 🕸
Может где-то в радиус настройках забыли. Вот там, например,
https://support.zyxel.eu/hc/article_attachments/4760461533586
так бы вообще не работала бы АД-аутентификация.
Склоняюсь, что все-таки реально где-то косяк с тем, что фаервол не добавляется в домен, из-за реалмов, как написал @Onatoli4
вопрос как исправить....
Nikolay 🕸
попробую вручную запись в АД добавить
Александр
так бы вообще не работала бы АД-аутентификация.
Склоняюсь, что все-таки реально где-то косяк с тем, что фаервол не добавляется в домен, из-за реалмов, как написал @Onatoli4
вопрос как исправить....
в логах смотрели? Например, в Категории Users и файрволл, может какие порты блокируются при обращении с Active Directory к ZyWALL.
Nikolay 🕸
порты все открыты (спец правило счас сделал) - не помогло.
Nikolay 🕸
@Onatoli4
Случайно в Windows SERVER 22 ничего нового не поменялось???
т.к. работает на площадке где zywall-1 ссылается на в Windows Server 2012
и не работает zywall-2 ссылается на в Windows Server 2022
UPD сейчас ради интереса подниму там контроллер АД на 2012 и проверю
Nikolay 🕸
Shaman
Добрый день коллеги, вопрос знатокам, в настройках VPN соединение (IPSec) есть опция Connectivity Check в ней есть 2 метода проверки соединения, у меня выбран ICMP ниже указан адрес в удаленной подсети... период проверки 60 сек. Вопрос: с какого интерфейса отправляется ICMP пакет в сторону удаленной подсети?
Shaman
вопрос задаю к тому что если IPsec канал лежит и зайти в утилиты роутера и сделать ping в сторону удаленной сети то пинги не уходят и канал не поднимается НО если выбрать скажем Lan1 интерфейс и с него сделать пинг в удаленную подсеть то IPSec поднимается так как есть запрос в удаленную сетку и пинги ходят в удаленную сеть.
Федор
С wan интерфейса
Федор
И пинга следовательно нет, потому что политика такое не пропустит))
Александр
Да. Веб-интерфейс и консоль по дефолту используют WAN порт. Нужно создавать отдельную политику маршрутизации.
Shaman
И пинга следовательно нет, потому что политика такое не пропустит))
тогда смысл в этом Connectivity Check
Shaman
только чтобы в логах отразить есть пинг или нет..
Александр
тогда смысл в этом Connectivity Check
я не использую VPN. И пользуюсь этим функционалом Connectivity Check. Когда интернет пропадает на основном WAN, он благодаря этой фиче переключает интернет-трафик на резервный WAN2.
Shaman
Александр
ну значит можете создать отдельную полититку маршрутизации, чтобы проверять доступность удалённой сети
onatoli4
Добрый день коллеги, вопрос знатокам, в настройках VPN соединение (IPSec) есть опция Connectivity Check в ней есть 2 метода проверки соединения, у меня выбран ICMP ниже указан адрес в удаленной подсети... период проверки 60 сек. Вопрос: с какого интерфейса отправляется ICMP пакет в сторону удаленной подсети?
отправляется с локального интерфейса (доп. политику прописывать не нужно).
в мониторинг vpn туннелей тоже есть проверка соединения и там тоже отправляется с лок. интерфейса (без доп политик)
Shaman
тогда странно потому что IPSec иногда падает и не поднимается хотя Connectivity Check настроен. но если сделать Ping с Lan1 интерфйса то IPSec поднимется
onatoli4
а если СС отключен, туннель не падает?
Shaman
тоже падает, это происходит крайне редко может раз в 2 месяца но я думал что если настроить СС то пир падении канала он будет подниматься сам (по логике вещей так должно работать)
onatoli4
видимо просто lifetime туннеля заканчивается, включите в настройках туннеля Nailed-up