Sophos XG Firewall: RED (Remote Ethernet Device) техническо ръководство
Sophos Remote Ethernet Device (RED) е мрежово устройство, проектирано да бъде възможно най-лесно за внедряване. Основната му цел е да осигури сигурен тунел от мястото на разполагането му до защитна стена Sophos XG.
RED устройството няма потребителски интерфейс. То е проектирано да бъде напълно конфигурирно и управлявано от защитна стена Sophos. RED устройството може да бъде изпратено в отдалечен офис, свързано към DHCP, което е свързано към интернет и да бъде напълно конфигуриран от администратор без да има нужда от информация за мрежовата архитектура на офиса.
Това ръководство съдържа подробно описание как да настроите Sophos RED във всеки от работните му режими и описва общи стъпки за отстраняване и разрешаване на проблеми с връзката.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
Sophos RED
RED provisioning
При конфигурация на RED устройство от защитна стена Sophos XG, избраните от администратора опции за конфигурации се качват на сървърите на Sophos. Следните елементи изискват повече конфигурация:
IP адрес на защитната стена
WAN режим на връзката (DHCP, статичен IP)
Режим на работа на тунела (Standart)
Ако е избран статичен режим на връзката, настройките за RED WAN адрес (Address, Netmask, Default Gateway, and DNS server)
По избор - настройките за мобилна широколентова връзка за RED хардуер
Код за отключване
Кодът за отключване не се съхранява на RED устройството, но се използва, за да предотврати случайно или злонамерено пренасочване на RED устройство. За да сигурно приемане на конфигурация на конфигурация на RED устройство от сървърите на Sophos, трябва да бъде предоставен правилен код за отключване. Първоначално кодът за отключване е празен, докато RED устройството не бъде свързано веднъж към защитна стена Sophos XG. При първоначална конфигурация на RED устройство от защитна стена Sophos XG, кодът за отключване трябва да бъде оставен празен. Всеки път, когато RED устройство се свързва към нова защитна стена, трябва да бъде въвеждан старият код за отключване, за да се премести RED устройството. След успешно добавяне на настройките към сървъра, той издава нов код за отключване, който е видим в администраторската конзола на защитна стена Sophos XG.
Сървърите съхраняват конфигурациите, предоставени от администратор. RED устройствата са централно конфигурирани поради техния механизъм. Когатo RED устройство няма конфигурация или конфигурацията е неуспешна то ще търси снабдяващите сървъри за инструкции. Търсене по DNS връща най-близкият снабдяващ сървър, с който да се осъществи връзка и да провери за нови инструкции. Докато RED устройството има работеща конфигурация, то няма нужда от свързване към снабдяващите сървъри.
Глава 1: RED режими на работа
RED устройство може да работи в няколко режима. Този раздел помага да разберете как функционира всеки от тези режими и ви помага да решите кои режими са най-подходящи при определени обстоятелства.
Тези сценарии се отнасят до две различни устройства на Sophos. Едното е RED устройство, което е на отдалеченото място. Другото устройство е защитната стена Sophos XG, с която RED устройството установява тунел. И двете имат връзка с интернет, както е показано на фигура 1.
(вижте фигура 1 в пълен размер)
Standard/Unified режим
Стандартен/Унифициран е най-често използваният режим. В този режим отдалечената мрежа се и управлява изцяло от защитна стена Sophos XG, чрез RED устройството. DHCP може да се предлага за отдалечената LAN мрежа от защитна стена Sophos XG, a RED устройството може да е единственото устройство свързващо LAN мрежата към интернет. Докато друг маршрутизатор може да е пред RED устройството няма паралелна пътека около RED устройството до интернет.
(вижте фигура 2 в пълен размер)
Фигура 2 илюстрира потока от данни в този работен режим. Целият трафик от отдалечената LAN мрежа преминава през RED тунел, независимо дали се насочва към локалната LAN мрежа или към интернет. Това позволява защитната стена Sophos XG да разрешава или отказва заявки по същия начин, както при трафика, идващ от локалната мрежа. Трафикът между локални и отдалечени локални мрежи може да бъде блокиран или разрешен чрез използване на правила на защитна стена. Уеб трафикът може да бъде филтриран чрез модула за уеб защита, а приложения като Skype или BitTorrent могат да бъдат контролирани за отдалечени потребители на LAN мрежата. Това осигурява най-високото ниво на сигурност и управляемост за отдалечени мрежи. Най-големият му недостатък са увеличените изисквания за честотна лента, които може да постави в интернет връзката на защитна стена Sophos XG. Тъй като целият интернет трафик от отдалечената LAN мрежа също използва интернет честотна лента в защитната стена Sophos XG, честотната лента в защитната стена на Sophos XG трябва да е достатъчно голяма, за да обслужва заявки както от нейните местни потребители, така и от всички отдалечени потребители на RED. Уредът RED 10 може да тунелизира данни с скорост до 30 Mbps.
Ако RED устройството загуби контакт със защитната стена Sophos XG и тунелът се провали, RED устройството спира рутирането на трафика. Потребителите на отдалечени локални мрежи губят достъп до интернет до вътрешните мрежи на защитната стена Sophos XG, докато не се осъществи нова връзка чрез тунел.
Standard/Split режим
Режимът Standard/ Split е подобен на Standard/ Unified. Очакваме, че отдалечената мрежа може да се управлява от защитната стена Sophos XG и може да осигури DHCP към отдалечената LAN мрежа. RED устройството е вероятно единственото устройство между LAN мрежата и интернет, през тунела се изпраща само трафик за избрани мрежи. Целият друг трафик се изпраща директно от локалната интернет връзка. RED устройството маскира изходящия трафик, за да идва от публичния си IP адрес. Тази функция минимизира използването на честотна лента над тунела и облекчава изискванията за честотна лента в защитната стена Sophos XG, но същевременно намалява значително управляемостта на отдалечената мрежа. Трафикът до или от интернет не може да бъде филтриран или защитен от заплахи. Защитата може да се прилага само между отдалечените и локалните локални мрежи.
(вижте фигура 3 в пълен размер)
Ако RED устройството загуби контакт със защитната стена Sophos XG и тунелът се провали, RED устройството спира рутирането на трафика. Потребителите на отдалечени локални мрежи губят достъп до интернет и вътрешните мрежи на защитната стена Sophos XG, докато тунелът не се възобнови.
Transparent/Split режим
В този режим не се очаква защитната стена Sophos XG да управлява отдалечената мрежа. Той е свързан към отдалечената локална мрежа и gateway на отдалечената LAN и очаква да получи адрес в отдалечената локална мрежа чрез DHCP. Подобно на опцията Standard / Split, само трафик, предназначен за определени мрежи, се предава по тунела. В този случай RED устройството не действа като gateway, но е в съответствие с gateway и може прозрачно да пренасочва пакетите надолу по тунела.
(вижте фигура 4 в пълен размер)
Тази опция не изисква преконфигуриране на отдалечената мрежа и не позволява никакво управление на отдалечената LAN мрежа. Осигурява сигурност между отдалечената локална мрежа и всички локални подмрежи, които са достъпни през тунела. Ако RED тунелa се повреди, интернет е недостъпен за всички устройства зад RED устройствто. Това е така, защото RED устройството продължава да се рестартира, с цел да се възстанови тунела , като през това време целият трафик, преминаващ през него е спрян.
Глава 2: RED настройки
Основни инструкции за настройка
Тук са описани основните стъпки, необходими за ръчно добавяне на ново RED устройство към защитна стена Sophos XG. В някои случаи са необходими по-детайлни настройка, но това е извън обхвата на този документ.
Преди да добавим RED устройството, трябва да активираме RED услугата. Отворете секцията System services > RED и активирайте RED статус. От вас се изисква да попълните име на Organization name, City, Country и Email (организация, град, държава и имейл). Щракнете върху Apply, за да активирате RED услугата.
В този раздел можете също да активирате Force TLS 1.2 за допълнителна сигурност или да активирате Automatic device deauthorization (aвтоматично деавторизиране на устройств). Автоматичното деавторизиране на устройства е функция, която позволява на RED устройството да се отдели от защитната стена след период на неактивност; това се прави с цел да се предотврати преместването на RED устройство на друго място без знанието на системния администратор. Устройство, което губи връзката си от защитната стена Sophos XG след изтичане на Deauthorize after периода се нуждае от някой с администраторски достъп, за да активира отново RED устройство, преди да го използва.
Добавяне на RED устройство към защитната стена Sophos XG
(кликнете тук, за да видите изображението в пълен размер)
В администраторската конзола отворете секцията Network → Interfaces.
Кликнете върху Add interface.
Изберете Add RED.
Конфигурация на RED интерфейс
Въведете описателно име на клон в полето Branch name.
Изберете Type на RED устройството.
Въведете RED ID. Може да намерите ID в долната част на RED устройството.
Ако устройството е било свързвано с друга защитна стена Sophos XG, е необходим Unlock code (код за отключване), за да се запази конфигурацията. Unlock code се намира в защитната стена, към която RED устройството е било свързано за последно в администраторската конзола или Webadmin, ако преди това е било свързано със Sophos UTM.
Firewall IP/Hostname поле. RED устройството използва този адрес за да намери защитната стена Sophos XG в интернет. Трябва да се използва публично разрешимо напълно квалифицирано име на домейн или публичен IP адрес.
Трябва да разрешите Uplink mode да да остане зададен като DHCP, ако е възможно. Трябва да се избере статичен адрес, ако няма опция за DHCP. Когато задавате статичен IP адрес, имайте предвид, че RED устройството трябва да се свърже към DHCP мрежа поне веднъж, за да изтеглите конфигурацията. Ако е избран статичен адрес се появяват допълнителни полета за IP адрес, Netmask, Gateway IP и DNS сървъри.
Изберете RED operation mode , който искате да активирате. Разгледайте Глава 1, за да разберете особеностите на всеки режим на работа. В зависимост от избора ви на режим може, да има допълнителни инструкции.
Активирайте Tunnel compression ако е необходимо.
Кликнете върху Save.
Как да създадете правило на защитната стена
Следвайте този раздел за всички режими на работа.
В защитната стена Sophos XG целият трафик се пренасочва и разрешава или забранява от правилата на защитната стена. RED устройствата се контролират въз основа на това на кои зони са членове и могат да бъдат допълнително определени чрез правила на защитна стена.
Когато създавате RED устройство и го настроите да бъде член на LAN мрежа, може да изглежда, че правилата на защитната стена са създадени автоматично, но това не е така. Защитната стена установява, че RED устройството е член на LAN зона и след това прилага същите правила към него, както и към останалата част от LAN. За да поддържате повече разделяне между LAN и RED мрежите, можете да използвате съществуваща зона като VPN или WiFi или да създадете нова, наречена RED, за да дадете по-логично разделяне на зоните.
Създаване на зона (по желание)
(кликнете тук, за да видите изображението в пълен размер)
За да създадете нова зона навигирайте до Network → Zones и изберете Add.
Попълнете полето Name за новата зона.
Изберте Type на зоната. LAN зоните са по-сигурни, тъй като те са предназначени за защита на частни ресурси, докато DMZ зоните имат по-малко ограничения за сигурност. Вижте онлайн помощниците за повече подробности относно разликата между тези два избора.
Под Device access изберете кои услуги се предлагат над тази зона. Дори ако правилото на защитна стена да позволява DNS, Web Proxy и други видове достъп, изброени тук, не са достъпни за зоната, освен ако не са активирани. Винаги можете да се върнете по-късно, за да редактирате зоната в Administration > Device access и да промените или премахнете настройките.
Създаване на правило на защитнта стена
Създадените по-рано правила на защитна стена определят как се маршрутизира трафикът, ако се използва съществуваща зона. Проверете два пъти, за да сте сигурни, че правилата, приложими към зоната, не нарушават сигурността на вашите вътрешни мрежи. Внимавайте, когато избирате съществуващи зони, тъй като някои от тях, като VPN зона, не позволяват DNS да бъде разрешен от XG и вместо това трябва да използват DHCP за разпространение на различен DNS сървър.
Тук сме създали ново правило на защитна стена, което да използваме с новата RED зона, която създадохме по-рано.
(кликнете тук, за да видите изображението в пълен размер)
Няма начин да създадете RED правила за защитна стена. Предимството на RED устройството е свободата да се третира като всеки друг мрежов интерфейс на защитната стена и да се конфигурира по същия начин.
Забележка: В режим Standard / Unified или Standard / Split при достъп до интернет ресурси се нуждаете от правило RED to WAN с активирано маскиране. Може да искате да запазите две отделни правила за защитна стена, едно за RED to LAN и едно за RED to WAN, за да бъде по-сигурно.
Сценарии за внедряване
Sophos XG Firewall hostname = Failover
RED uplink = Failover
RED устройството осигурява връзката между RED_WAN1 и SFOS_WAN1.
(кликнете тук, за да видите изображението в пълен размер)
Ако SFOS_WAN1 не работи: RED_WAN1 ще се свърже с SFOS_WAN2
(кликнете тук, за да видите изображението в пълен размер)
Ако SFOS_WAN1 и RED_WAN1 са изключени: RED_WAN2 ще се свърже с SFOS_WAN2
(кликнете тук, за да видите изображението в пълен размер)
Sophos XG Firewall hostname = Balancing
RED uplink = Failover
RED устройството установява връзка между RED_WAN1 и SFOS_WAN1 / SFOS_WAN2
(кликнете тук, за да видите изображението в пълен размер)
Ако RED_WAN1 е изключен: RED_WAN2 ще се свърже с SFOS_WAN1 / SFOS_WAN2.
(кликнете тук, за да видите изображението в пълен размер)
Sophos XG Firewall hostname = Failover
RED uplink = Balancing
RED устройството установява връзка между RED_WAN1 / RED_WAN2 и SFOS_WAN1
(кликнете тук, за да видите изображението в пълен размер)
Ако SFOS_WAN1 не работи: RED_WAN1 / RED_WAN2 ще се свърже с SFOS_WAN2
(кликнете тук, за да видите изображението в пълен размер)
Sophos XG Firewall hostname = Balancing
RED uplink = Balancing
RED устройството установява връзка между RED_WAN1 / RED_WAN2 и SFOS_WAN1 / SFOS_WAN2
(кликнете тук, за да видите изображението в пълен размер)
Note:
If any interfaces go down, the interface will be checked until it is working again. The connection will be restored to the original interface if it becomes available again.
Забележка:
Ако някой интерфейс се изключи, интерфейсът ще бъде проверяван, докато не започне да работи отново. Връзката ще бъде възстановена до оригиналния интерфейс щом стане достъпна отново.
Глава 3: Разширени операции
Manual/Split настройки
Настройката Manual/Split не е опция, която може да бъде избрана при конфигуриране на RED устройство, но се реализира най-вече чрез физическа конфигурация. Този режим не е различен от режим Transparent/Split, но позволява тунелът да се спуска, без да се деактивира локалния достъп до интернет. В този сценарий RED устройството е конфигурирано в Standard/Unified режим, но не е поставено пред отдалечената LAN мрежа. Той е свързан с алтернативен шлюз към отдалечената LAN, като след това трябва да се добавят маршрути към съществуващия по подразбиране gateway за достъп до отдалечени мрежи зад RED устройството.
WAN порта е включен в същия LAN превключвател, към който са свързани LAN клиентите, и след като RED устройствто получи своята конфигурация за режим, след това трябва да свържете LAN порт към същия LAN превключвател.
Настройката е физически по-сложна от другите режими, но е логично по-проста и позволява отказ на тунел или RED хардуер, без да нарушава нормалния интернет трафик.
Bridged RED настройки
Когато имаме много ред устройства, може да е по-лесно да ги третираме всички като една лан мрежа. Sophos подържа създаването на единичен bridge интерфейс, тоест да може да направим bridge между няколко отделни мрежови карти (NICS). Ако не сте направили bridge интерфейс, може да направите такъв между няколко RED устройства, за да може да ги третираte като една логическа LAN мрежа. Firewall правилата могат да контролират трафика между RED устройствата и така самата защита няма да е намалена.
За да конфигурирате bridging, следвайте инструкциите за добавяне на RED устройство към защитната стена Sophos XG, описани в Глава 2 за поне две RED устройства. След това в административната конзола на Sophos XG отворете секция Network → Interfaces. Кликнете върху Add interface и след това изберете Add bridge. Попълнете полето за име и след това изберете RED устройствата под Member interfaces, както и зоните, към които принадлежи този bridge. Кликнете върху Save за да приложите настройките.
Следвайте останалите стъпки за настройка на RED устройство, но изберете хардуерен интерфейс Bridge, вместо интерфейс reds#. Допълнителни RED устройства могат да бъдат добавени към Bridge под Network> Interfaces и след това може да редактирате bridge. Изберете новия RED интерфейс и щракнете върху Save, за да приложите промените. Всички правила, създадени за едно RED устройство, се прилагат незабавно и при добавяне на RED устройство.
Sophos XG Firewall to Sophos XG Firewall RED setup
От версия 16 вече можете да използвате защитна стена Sophos XG, за да създадете RED тунел с друга защитна стена Sophos XG или Sophos UTM. Това увеличава възможния брой начини за използване на RED тунел. Това ръководство обхваща настройката на тунела и общите принципи на работа на клиентските тунели на защитна стена Sophos XG.Този тип тунел е най-подходящ за среди, които:
Предпочитат или изискват абонаментни функции като филтриране по интернет или имейл да се извършват на отдалечената интернет връзка.
Сайтове, които се нуждаят само от достъп до определени мрежови ресурси в края на сървъра на тунела.
Сайтове, които са хоствали услуги, които трябва да бъдат публично достъпни чрез локалния обществен IP на клиента в края на връзката.
Сайтове, които изискват по-голяма гъвкавост, отколкото може да предложи стандартният RED уред.
Сайтове, изискващи повече от 30Mbps пропускане през RED тунел.
За да настроите RED тунел на защитната стена Sophos XG до Firefox XG, първо изберете една защитна стена, която да бъде сървър. Ролята на сървъра не е свързана с това как трафикът преминава през тунела, само от коя страна слуша и коя страна инициира връзката. Сървърът чака връзки от клиента.
За да настроите RED клиентска връзка,
На защитната стена на сървъра Sophos XG:
Отворете секция Network → Interfaces, след това изберете Add interface → Add RED.
Задайте Branch name.
За Type изберете Firewall RED server.
Оставете Tunnel AD като Automatic.
Задайте наличен IP адрес за RED IP.
Конфигурирайте RED netmask за новата мрежа, която използва IP адреса на RED IP.
Изберете Zone за този RED тунел.
Активирайте Tunnel compression, ако е необходимо.
Кликнете върху Save.
След това защитната стена генерира необходимия файл за предоставяне на услуги за отдалечената защитна стена Sophos XG. Щракнете върху иконата за редактиране до интерфейса RED и след това кликнете върху Download provisioning file, за да запазите .red файла за предоставяне на диска.
(кликнете тук, за да видите изображението в пълен размер)
За клиентската защитна стена Sophos XG:
Отворете секция Network → Interfaces, след това изберете Add interface → Add RED.
Задайте Branch name.
За Type изберете Firewall RED client.
Изберете дефиниця за полето Firewall IP/hostname. Хостът трябва да бъде публичният IP на сървърната защитна стена Sophos XG или дефиниция на хост на DNS, която се разрешава неговия обществен IP адрес.
Добавете файла за предоставяне на услуги.
Задайте наличен IP адрес за RED IP.
Конфигурирайте RED netmask за новата мрежа, която използва IP адреса на RED IP.
Изберете Zone за този RED тунел.
Активирайте Tunnel compression, ако е необходимо.
Кликнете върху Save.
По този начин тунелът трябва да се свързва автоматично и всяка защитна стена на Sophos XG има виртуален RED интерфейс, който може да бъде конфигуриран по какъвто и да е начин. За работа с разделен тунел, просто насочете избраните дестинационни мрежи до IP адреса на защитната стена на Sophos XG в другия край на тунела RED.
Моля прочетете Как да конфигурираме Site-to-Site RED тунел за повече детайли и инструкции за конфигуриране на Site-to-side RED тунели.
Глава 4: Метод за откриване на грешки/неизправности
RED последователност на зареждане
Светодиодите пред RED устройството са най-ценният източник на информация при отстраняване на проблеми . При първо включване, светлината за захранване трябва да свети стабилно. След това устройството зарежда текущия си фърмуер.
System LED (системният светодиод) свети стабилно след зареждането. От този момент поведението варира в зависимост от модела RED.
RED портове
RED hardware | Ports |
|---|---|
RED 10 | TCP 3400 + UDP 3400 |
RED 15 | TCP 3400 + UDP 3410 |
RED 50 | TCP 3400 + UDP 3410 |
RED 10 Rev. 2/Rev. 3 – Отстраняване на неизправности с помощта на LED кодове за грешки
RED 10 Revision 2 (RED Rev. 2) Светодиодите за състояние на уреда са различни от светодиодите за състояние RED Rev. 1.
RED нормални състояния
LED | Описание |
|---|---|
Power | Показва дали устройството е включено или не е включено. |
System | Индикира първоначалното състояние при процеса за стартиране на устройството. Лампата няма да свети докато устройството се включва. След като успешно зареди фирмуера ще светни в зелено. |
Router | Ако адрес е зададен от DHCP или има статичен зададен такъв. Означава че крайното устройство в мрежата (gateway) е достъпно. |
Internet | След като устройството установи контакт с интернет, светодиодът ще свети постоянно. |
Tunnel | След като устройството установи връзка с родителското си UTM устройство и е в състояние да комуникира през криптиран тунел, светодиодът на тунела ще свети постоянно без премигване |
LAN1-4 | Всеки от четирите светодиоди на LAN ще светне, когато е установена Ethernet връзка на този порт. Той ще мига, като показва активност на данните. |
WAN | Светодиодът ще свети плътно зелено, когато е установена Ethernet връзка на WAN порта. Той ще мига, като показва активност на данните. |
RED състояния при грешки
Power | System | Router | Internet | Tunnel | Error |
|---|
Състояние 1
Състояние 2
Състояние 3
Състояние 4
Състояние 5
Състояние 6
Състояние 7
(кликнете тук, за да видите изображението в пълен размер)
Описание на различните състояния:
Състояние 1: Не може да се достъпи конфигурацията от сървъра или ъпдейта на фирмуера е неуспешен.
Състояние 2: Крайното устройство в локалната мрежа не може да се достъпи. Статичния адрес може да е некоректен или DHCP сървъра не е конфигуриран правилно.
Състояние 3: Не може да се достъпи Интернет поради грешка в крайното устройство в мрежата (gateway).
Състояние 4: Има достъп до Интернет, но не може да се установи тунел към UTM. Проверете дали името на домейн е валидно или публичният IP адрес не е зададен грешно на UTM устройството.
Състояние 5: Ethernet WAN връзката е неуспешна. Прави се опит да се използва мобилна broadband връзка.
Състояние 6: Адреса зададен от DHCP или статично зададения адрес е валиден. Мобилният broadband gateway може да се достъпи.
Състояние 7: Интернет се достъпва използвайки мобилен broadband backup.
Легенда
(кликнете тук, за да видите изображението в пълен размер)
RED 15 - Идентифициране на проблеми използвайки LED лампите.
RED 15 използва повече портове от RED10.
UDP на порт 3410 и TCP на порт 3400 трябва да са позволени.
LED лампите на устройството са същите като при RED 10 Rev.2/3.
RED нормални състояния:
LED | Описание |
|---|---|
Power | Показва дали устройството е включено или не е включено. |
System | Индикира първоначалното състояние при процеса за стартиране на устройството. Лампата няма да свети докато устройството се включва. След като успешно зареди фирмуера ще светни в зелено. |
Router | Ако адрес е зададен от DHCP или има статичен зададен такъв. Означава че крайното устройство в мрежата(gateway) е достъпно. |
Internet | След като устройството установи контакт с интернет, светодиодът ще свети постоянно. |
Tunnel | След като устройството установи връзка с родителското си UTM устройство и е в състояние да комуникира през криптиран тунел, светодиодът на тунела ще свети постоянно без премигване |
LAN1-4 | Всеки от четирите светодиоди на LAN ще светне, когато е установена Ethernet връзка на този порт. Той ще мига, като показва активност на данните. |
WAN | Светодиодът ще свети плътно зелено, когато е установена Ethernet връзка на WAN порта. Той ще мига, като показва активност на данните. |
RED състояние на грешка
Power | System | Router | Internet | Tunnel | Error |
|---|
Състояние 1
Състояние 2
Състояние 3
Състояние 4
Състояние 5
Състояние 6
Състояние 7
(кликнете тук, за да видите изображението в пълен размер)
Описание на различните състояния:
Състояние 1: Не може да се достъпи конфигурацията от сървъра или ъпдейта на фирмуера е
неуспешен.
Състояние 2: Не може да се достъпи крайното устройство в локалната мрежа. Статичния адрес може да е некоректен или DHCP сървъра не е конфигуриран правилно.
Състояние 3: Не може да се достъпи Интернет поради грешка в крайното устройство в мрежата (gateway).
Състояние 4: Има достъп до Интернет, но не може да се установи тунел към UTM. Проверете дали името на домейна е валидено или публичният IP адрес не е зададен грешно на UTM устройството.
Състояние 5: Ethernet WAN връзката е неуспешна. Прави се опит да се използва мобилна broadband връзка.
Състояние 6: Адреса зададен от DHCP или статично зададения адрес е валиден. Мобилният broadband gateway може да се достъпи.
Състояние 7: Интернет се достъпва използвайки мобилен broadband backup.
Легенда
(кликнете тук, за да видите изображението в пълен размер)
RED 50 - Идентифициране на проблеми използвайки LED лампи и LCD екран.
Свързване на RED устройството към захранване
Свържете устройството към захранването. LED лампата ще светне и устройството ще се включи. LCD екрана ще изпише съобщениет Starting RED и код за идентификация на самото RED устройство.
(кликнете тук, за да видите изображението в пълен размер)
Установяване на тунел между отдалечен офис и централен UTM gateway
RED50 автоматично ще вземе конфигурацията си от Интернет и ще установи тунел към централният офис. След успешно установеният тунел LCD екрана ще изпише съобщението Tunnel is up (wan1) , IP адреса или името на UTM устройството с което RED е свързан.
(кликнете тук, за да видите изображението в пълен размер)
Контроли, LED кодове и LCD съобщения
Контроли
(кликнете тук, за да видите изображението в пълен размер)
LCD и ключове |
|
|---|---|
LCD | Показва 2 реда с по 20 символа |
Navigation Key | 4 ключа който се прелистват на LCD екрана |
Интерфейс |
|
|
|---|---|---|
WAN1-WAN2, LAN1-LAN4 | 6 х 10/100/1000 Base-TX интерефейса |
|
USB 2.0 | 2 х USB 2.0 интерфейса |
|
COM | Сериен конзолен интерфейс |
|
DC IN 12V | Захранване |
|
Навигационни бутони |
|
|---|---|
◄ | Отвори менюто. Смени “стойност” към меню или подменю |
▲▼ | Навигация между различните менюта |
► | Въвеждане на подменюта и стойности |
В менюто са ипълними следните команди:
Live-Log |
|
|
|---|---|---|
WAN_Status ► | IP addresses ► | Local WAN2 IP: |
| Throughput ► | WAN1 in/out: |
| Tunnel ► | WAN1->UTM WAN1: |
RED-Status ► | Device ► | ID: |
| Firmware ► | Version: |
| Uptime: |
|
3G/UMTS-Status ► | Signal Strength: |
|
Съобщения на LCD екрана
Съобщение | Описание |
|---|---|
Booting up | RED устройството стартира |
Shutting down | RED устройството се изключва |
Starting RED ID $RED_ID | RED устройството се стартира (и показва идентификационния номер на RED устройството) |
Starting RED Network Setup | RED устройството конфигурира DHCP или статичен адрес |
Starting RED Try $uplink | RED се свързва към показания интерфейс |
Starting RED UTM $hostname | RED устройството се свързва към UTM |
Got new config | RED устройството взима нова конфигурация |
Tunnel is up ($uplink) UTM $hostname | RED тунела е установен. $uplink може да бъде wan1, wan2 или Umts. $hostname може да бъде или името или адреса на UTM. |
ERROR Invalid device ID | RED устройството не е осигурено правилно |
Важна бележка: Не спирайте устройството докато фирмуера се подновява. Ако това се случи, самото устройство ще бъде повредено и трябва да се върне обратно към веднора от когото е било предоставено.
Допълнителни техники за идентифициране на проблеми
Тунела се разпада постоянно
Ако тунела постоянно се разпада и се вдига, може би трябва да спрете настройката за Hardware Acceleration.
За този процес влезте в конзолата на XG-то и въведете следните команди:
console> system firewall-acceleration show
Тази команда ще ви покаже дали hardware acceleration е включен или не.console> system firewall-acceleration disable
Тази команда ще спре hardware acceleration ако е включен.
Идентифициране на проблеми при задаване на статичен IP адрес
Проблем: Ако RED устройството е изпратено към локация, която поддържа единствено статични IP адреси и не е конфигурирано с такъв адрес през XG Firewall преди да е бъде изпратено.
Решение: RED устройството изисква DHCP връзка с достъп до Интернет поне веднъж, преди да бъде внедрен със статичен IP адрес. Ако RED заменя съществуваща защитна стена и тази защитна стена разпространява DHCP адреси към вътрешни клиенти, първо опитайте да свържете RED WAN порта към съществуващата вътрешна мрежа. Гледайте предните светодиоди, за да видите, че RED устройството се свързва с интернет. Свързва се с интернет, получава настройките си, след което се рестартира. След рестартиране той не може да се свърже към крайното мрежово устройство или към Интернет. Това показва, че е заредило конфигурацията си и настройките за статичните IP адрес.
Ако няма локална DHCP връзка, трябва да се намери DHCP връзка с Интернет, преди да бъде конфигурирано RED устройството.Проблем: RED устройството е с правилно конфигуриран статичен адрес, но не се свързва към Интернет.
Решение: Най-бързият начин е да проверим дали статичният адрес зададен на устройството е валиден, като пробваме същата конфигурация на различно устройство. Например конфигурирайте ethernet порта на някой лаптоп да използва същата конфигурация, след това махнете лан кабела от RED WAN порта и го свържете към лаптопа. Преди да направите това се уверете че защитната стена е пусната и блокира други безжични връзки. След като лаптопа е конфигуриран и свързан, трябва да се тества свързаността към интернет, както и DNS. За да тествате тези конфигурации следвайте стъпките:
1. Отоворете command prompt в Windows (клавишна комбинация WindowsKey + r ,след това напишете “cmd.exe” и натиснете ok.)
2. Първо тествайте дали имат достъп до Интернет. Това лесно може да бъде направено с командатаping 8.8.8.8
3. Ако командата не мине успешно ще изглежда по следният начин:Pinging 8.8.8.8 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 8.8.8.8: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
Има вероятност частично командата да не мине.. В този случай всички отговори ще са Request Timed Out.. Ако това е така, може би това е причината RED устройството да не работи.
Ако командата отгоре минава успешно напишетеping www.sophos.com
Ако командата мине успешно, това означава че разпознава www.sophos.com по DNS и се опитва да го ping-е.
Събиране на повече информация
След като се запознахме с различните цифрови кодове на LED лампите, който се намират на RED устройството може да бъде полезно да съберем допълнителна информация за конфигурацията на устройството. Това може да бъде направено като достъпите защитната стена на Sophos, под Network > Interfaces и бутона edit на устройството което не функционира правилно.
Моделът RED, който също показва хардуерната версия, е посочен на стикера в долната част на уреда.
Ако имате нужда да се свържете със съпорт на Sophos за помощ ще е хубаво информацията която е спомената отгоре да е налична. Също така внимавайте за всякакви устройства като маршрутизатори или други защитни стени които стоят между устройствата и връзката им към Интернет.
Видео: Sophos XG Firewall (v17): Adding a RED Device
Ръководство на английски език: Sophos XG Firewall: RED (Remote Ethernet Device) technical training guide