» Правильная настройка zywall usg 50

Доброго всем дня......
Купили данный девайс зувалл усг 50
Настроили под нашего провайдера, но у нас появилось пару проблем,организация большая доменная сеть сервер дц1(контроллер домена)

После минут 20 работы нового роутера,интернет как бы все классно работает,но диси начинает жестко тупит, не понятно почему,может кто есть профи по данному роутеру кто сможет подсказать как правильно его надо настроить

Проблема номер два, есть почтовый сервер который работает на программе Мдаемон, и надо пробросить порты 110 и 25 на зувалле, как тоже это правильно сделать, просто первый раз взяли такое серьезное оборудование и только учимся настривать!!!!

Прощу ващей помощи!

altezzo4ka
Цитата:

организация большая доменная сеть сервер

Милая фрау (судя по нику и полной беспомощности вопросов), а где же ваш сисадмин? Сэкономили?
Открою вам страшную тайну (только тсссс... никому!): на сайте Зухеля есть прекрасная база знаний!
Заходите туда, ищете свой девайс, и вам сразу вываливается куча ответов на вопросы, которые вы хотели, но боялись у них спросить.
В частности, Пример настройки проброса порта в аппаратном шлюзе серии ZyWALL USG

И еще у них есть "Service Desk ZyXEL" ( http://zyxel.ru/user/register ) , где, после регистрации, на "сложные" вопросы по такому оборудованию отвечают "специально обученные люди". Сам пользовался...

У них официальное время ответа на вопрос 5 дней. Задал им вопрос по выбору оборудования 7 мая и получил статус обращения "Обращение в работе. Мы планируем ответить Вам до 13.05.2016"
Может кто подскажет по вопросам:
1.В межсетевом экране не обозначены WAN порты. Это значит что любой порт можно настроить как WAN?
2. Возможно ли в межсетевом экране задать несколько IP для внутренней сети. Например, для браузера задать один шлюз и направить трафик на провайдера через USB порт, а для SIP телефонии задать другой шлюз и направить соединения на другого провайдера?
3. Есть ли устройства поддерживающие интеграцию с Active Directory, чтобы создавать правила доступа как на ISA сервере?

JekaRus
Цитата:

В межсетевом экране не обозначены WAN порты.

Имя, сестра, назови имя! (с)
Скажем, в usg 50 или 100 они не только обозначены, но выделены в отдельную группу.

Цитата:

. Есть ли устройства поддерживающие интеграцию с Active Directory

Мой ответ милой фрау актуален и для тебя: Настройка ZyWALL USG для аутентификации пользователя в Active Directory
Настройка ZyWALL USG для размещения IP PBX в зоне DMZ

vlary
Спасибо за ответ.
Рассматриваем модели ZyWALL USG 300 и ZyWALL 310. У них не обозначены WAN порты.
Почему в первом есть в названии USG а во втором нет?

Если настроить интеграцию с AD, то можно ли будет разным группам задавать разные правила доступа?

JekaRus Про фичи моделей узнавай тщательнее, у моделей ZyWALL USG 300 и ZyWALL 310 фичи фильтрации контента, спама, обновления баз антивируса - платные с лицензиями на 1-2 года.

JekaRus
https://zyxel.ru/compare/zywall-usg/?products=zywall-310,zywall-usg-300


Цитата:

Рассматриваем модели ZyWALL USG 300 и ZyWALL 310. У них не обозначены WAN порты.

Zywall 1100 https://yadi.sk/i/CtAdUyszrdDdX
Zywall 300 https://yadi.sk/i/6c3zfphmrdE73

Вообще явные интерфейсы у малых серий Zywall 20, 50 и 100. На старщих сериях уже можно самому назначать какой порт будет WAN, какой LAN, DMZ
Настраиваются аналогично, единственное в новых Zywall X10, они слегка поменяли пункты и убрали полезную штуку как Port Grouping, там теперь надо настраивать бриджи.

По поводу SD.ZYXEL там когда как, когда отвечают через час-два, когда через пару дней. Мне обычно они отвечают в течении дня.

Вообще Zywall не плохие железки. В моём распоряжении Zywall USG 20, 100, 300, 1000 и Zywall 1100.
Новые серии у них отличаются более мощной начинкой и поддержкой. Так как на обычные Zywall прошивки теперь не выходят.

Касаемо
Цитата:

фичи фильтрации контента, спама, обновления баз антивируса - платные с лицензиями на 1-2 года.

Даа, тут много чего есть. Из всего комплекта пробовал только фильтрацию контента, которая фильтрует только HTTP траффик, HTTPS пропускает на раз-два. Проще и дешевле поднять Squid и через него фильтровать траффик.


Цитата:

2. Возможно ли в межсетевом экране задать несколько IP для внутренней сети. Например, для браузера задать один шлюз и направить трафик на провайдера через USB порт, а для SIP телефонии задать другой шлюз и направить соединения на другого провайдера?

Можно. Настроив тот же VLAN или просто другую локальную сеть.


Цитата:

3. Есть ли устройства поддерживающие интеграцию с Active Directory, чтобы создавать правила доступа как на ISA сервере?

Можно, но учтите, что Active Directory должен быть на английском. Если AD с русскими группами и пользователями, то забудьте.
Да есть еще SSO у Zyxel (http://www4.zyxel.com/products_services/sso_agent.shtml?t=p), но он только для новых Zywall 110, 310 и 1100.

k3NGuru
Спасибо за ответ.
А вообще, мы правильно смотрим с сторону Zyxel в плане цена/качество/надежность/функциональность ?
Есть ли у других производителей (Mikrotik, Cisco и др.) аналоги ZyXEL ZyWALL 310 за ту же цену?

JekaRus
А тут смотря что надо.
У меня на Zywall USG 100 около 50 пользователей, также 15 активных IPSec VPN туннелей. 2 провайдера с балансировкой.
Работаем по RDP в 1С, также у сотрудников Lotus Notes.
Нагрузка на ЦП в среднем 20-25%.

Просто мы используем Zywall, потому что они просты в настройке (WebGUI). И стараемся придерживаться данных железок, чтоб не было мультивендорности.
Вообще Zywall не сильно популярны в сети, но как сказал vlary
Цитата:

на сайте Зухеля есть прекрасная база знаний!

с чем я согласен на все 100%. Ответы на большую часть вопросов можно там найти

k3NGuru
Спасибо за совет.
Приобрели для организации Zywall 310
Очень мощный аппарат. Много возможностей и настроек. Вот бы теперь разобраться во всем.
Получилось настроить проброс портов, а вот VPN никак настроить не получается.
Настраивал VPN сервер по этой статье https://zyxel.ru/kb/2270/
Клиентов настраивал как написано тут https://zyxel.ru/kb/4576/ и тут https://zyxel.ru/kb/2085/
Уже много раз все перепроверил, но не получается соединиться.
Пишет ошибку 809 Как будто фаервол блокирует подключение.
Можно ли как то в логах Zywall посмотреть по какой причине происходит обрыв?

JekaRus Если в фаере зайвола правило создал, то возможно это поможет на клиенте
https://evgesha.net/oshibka-809-vpn/

ipmanyak
Я так пробовал. И вот так тоже пробовал
http://www.po-prostomu.ru/2013/07/09/oshibka-789-pri-popytke-soedineniya-vpn-po-pro/
Похоже дело в фаерволе. Но нигде не могу найти его лог. Можно ли как то посмотреть на устройстве, что с такого то IP была попытка подключения и по какой причине в нем отказано?

Нашел где в логах посмотреть.
Отключил все правила по пробросу портов чтоб не мешали.
Теперь при подключении извне на zywall выходит ошибка 788
а в логах такая информация
Recv:[SA][VID][VID][VID][VID][VID][VID][VID][VID] IKE_LOG
The cookie pair is : 111 / 222 IKE_LOG
Recv Main Mode request from [111.111.111.111] IKE_LOG
The cookie pair is : 222 / 0x0000000000000000 IKE_LOG
priority:11, from WAN to ZyWALL, UDP, service Default_Allow_WAN_To_ZyWALL, ACCEPT ACCESS FORWARD
При чем в источнике пишет порт подключения 17485 а в приемнике 500
111.111.111.111:17485 222.222.222.222:500
Почему не подключается? Что еще можно сделать?

JekaRus
Цитата:

При чем в источнике пишет порт подключения 17485 а в приемнике 500

Это нормально. Порт источника не обязан быть 500.
Цитата:

Почему не подключается? Что еще можно сделать?

Возможно, надо использовать еще порт 4500 (NAT-T)

vlary

Цитата:

Возможно, надо использовать еще порт 4500 (NAT-T)

А куда это прописать?
Делал все по этой инструкции https://zyxel.ru/kb/2270/

Вот что сделано:
1. Перепрошил на последнюю версию прошивки с сайта zyxel.com (обратил внимание что последняя прошивка с сайта zyxel.ru обозначена как beta).
2. Включил метод шифрования 3DES через консоль SSH (по умолчанию для России доступна только версия DES).

Но все равно подключиться по VPN ни из под 7ки, ни из под 8ки, ни из под андроида, ни из под Zyxel Keenetic 4G не получается. Продолжаю копать дальше.

Обратился в техподдержку. Оказалось неправильно задавал VPN подсеть. Она должна была быть другой и не пересекаться с существующей.

Теперь другая проблема. Не могу подключиться к Zywall-310 с Zyxel Keenetic 4G
Долго настраивал, перепробовал все что можно, но ничего не заработало и пришлось опять писать в техподдержку. Оказалось то, что совсем не ожидал - их невозможно настроить друг на друга.

В Keenetic есть только L2TP-клиент, но в ZyWALL не предусмотрен L2TP-сервер
В Zywall-310 только L2TPoverIPSec
Keenetic не поддерживает протокол L2TPoverIPSec, как и IPSec.

Новое устройство покупать совсем не хочется. Можно ли перепрошить Keenetic чтобы появилась поддержка L2TPoverIPSec пусть даже и не родной прошивкой. Есть еще DIR-632 можно ли его перепрошить и подключать по L2TPoverIPSec ?

JekaRus
Скажите, Вам так и не удалось подружить Zywall с Keenetic 4G?
Заказал ZyWALL 110 и теперь не знаю как быть...