tocdepth

2

Анализ неисправностей UserGate

Базовый анализ неисправностей UserGate

  1. Повторно проанализируйте архитектуру сети VDC, разворачиваемых виртуальных машин и целевую схему их внедрения. Убедитесь в правильности назначения сетевых интерфейсов на платформе гипервизора и самом Usergate. На платформе гипервизора назначьте разворачиваемые хостовые ВМ в соответствующие сетевые сегменты UserGate.

  2. Проанализируйте информацию о сетевых зонах, сетевых интерфейсах и их IP-адресации. Посмотреть данную информацию можно в следующих разделах веб-интерфейса UserGate: Настройки → Сеть → Зоны / Интерфейсы. Оформите полученную информацию в виде таблицы, которую впоследствии может запросить техническая поддержка.

  3. Проверьте базовую сетевую связность, используя тестовые ICMP/Traceroute-запросы в разделе web интерфейса UserGate: Диагностика и мониторинг → Сеть. Убедитесь в доступности сетевых интерфейсов UserGate, отправив ICMP-запрос с конечного хоста на адрес шлюза по умолчанию, которым является сам UserGate.

    Внимание

    Некоторые хостовые операционный системы блокируют входящие ICMP-запросы и вы можете не получать от них ответа в случае проверки сетевой связности со стороны UserGate.

  4. В случае проблем с выходом в интернет через UserGate проверьте назначение ему на платформе гипервизора внешнего белого IP-адреса и наличие в правилах сетевого доступа на платформе виртуализации разрешающего правила МСЭ. Оно обеспечивает прохождение всего трафика на внешний сетевой интерфейс UserGate. Проверьте настройки в разделе: Сеть → Шлюзы и убедитесь, что там указан шлюз VMware Cloud Director для выхода в интернет.

    Проверьте доступность внешнего шлюза, а затем доступ к интернету с помощью отправки ICMP/Traceroute-запроса.

  5. Проверьте настройки статических маршрутов в разделе: Сеть → Шлюзы, если требуется взаимодействие с другими внутренними подсетями (VPN-филиалы и удаленные подсети), помимо тех, которые напрямую подключены к UserGate.

  6. При отсутствии сетевой связности между внутренними подсетями NGFW выполните со стороны хостов и самого UserGate ICMP-запросы к внутренним хостам, внешним и внутренним подсетям. При этом возможно прохождение сетевого трафика лишь в одном направлении, что соответствует верной логике работы NGFW.

    Для более простого поиска ошибок в написании правил межсетевого экранирования создайте общую политику межсетевого экрана вида Any-Any, с указанием в качестве источника и назначения всех существующих сетевых зон, с разрешением доступа по всем IP-адресам, и расположите ее в самом верху списка правил. Правило такого вида автоматически разрешает прохождение всего сетевого трафика между всеми сетевыми зонами NGFW.

  7. При отсутствии выхода в интернет проверьте настройки в разделе Политики сети → NAT и маршрутизация. В нем должны быть созданы соответствующие правила взаимодействия.

Расширенный анализ неисправностей UserGate

  1. В разделе Журналы и отчеты → Журналы отображаются различные системные сообщения и факты блокировки сетевого трафика. При невозможности сетевого взаимодействия либо неработающем функционале устройства проанализируйте информацию из журналов. Просмотрите системные сообщения в пунктах раздела Диагностика и мониторинг → Мониторинг трафика. Возможно, там имеются иные сообщения об ошибках.

  2. При наличии множества сложных правил межсетевого экрана в последних возможны ошибки в их написании. Из-за этого требуемый сетевой трафик не будет подпадать под данные правила и будет заблокирован. Необходимо убедиться, что в неработающих правилах установлен флаг логирования, что позволит логировать данные события. Для этого в разделе Политики сети → Межсетевой экран откройте требуемое правило и укажите Журналировать начало сессии в пункте Журналирование.

    После этого в разделе Диагностика и мониторинг → Мониторинг трафика будут отображаться события, когда транзитный сетевой трафик попадает под заданное правило межсетевого экрана.

    Возможна ситуация, когда трафик вообще не попадает под пользовательские политики межсетевого взаимодействия. В таком случае откройте самое нижнее правило Политики сети → Межсетевой экран → Default Block активируйте логирование, как в п.2, после чего на экране появится выпадающий сетевой трафик, не совпадающий ни с одной из вышестоящих политик.

Если вы обнаружили либо подозреваете наличие ошибок в написании правил, то необходимо упростить критерии их написания, а также отключить все функции активной защиты сетевого трафика в разделе Настройка → Политики безопасности, которые так же могут блокировать межсетевое взаимодействие:

  1. Создайте общую политику межсетевого экрана вида Any-Any, с указанием в качестве источника и назначения всех существующих сетевых зон, с доступом по всем имеющимся в них IP-адресам и расположите ее в вверху списка правил. Правило такого вида разрешает прохождение всего сетевого трафика между всеми сетевыми зонами.

  2. В разделе Диагностика и мониторинг → Сеть присутствует множество инструментов для базовой диагностики сетевой связности (Ping, Tracert), которыми можно воспользоваться для поиска неисправностей.

  3. Если проблема до сих пор не определена, произведите выгрузку системных журналов из раздела Настройки → Управление устройством. В поле Диагностика → Детализация диагностики установите уровень debug и нажмите Очистить журналы.

  4. Смоделируйте действия, приводящие к некорректному результату работы UserGate для записи данных событий. Вернитесь в пункт Настройки → Управление устройством и нажмите Скачать журналы.

  5. После завершения процедуры архивирования журналов будет сформирован ZIP-архив, внутри которого находятся системные логи в каталоге utm/utm.log. В поле Диагностика → Детализация диагностики установите уровень info.

  6. Проведите процедуру захвата сетевого трафика на UserGate (при необходимости и на хостовой операционной системе клиентского хоста), чтобы определить корректность межсетевого взаимодействия и сам факт движения сетевого трафика.

    1. Перейдите в раздел Диагностика и мониторинг → Сеть → Захват пакетов.

    2. Нажмите Фильтры → Добавить и в появившемся окне задайте критерии для захвата нужного трафика.

    3. Нажмите Правило → Добавить и в появившемся окне Правило PCAP укажите сетевые интерфейсы, на которых необходимо произвести захват трафика. В пункте Фильтры → Добавить укажите фильтр захвата трафика, который был создан ранее.

    4. Выделите созданное правило и нажмите Начать запись. Выполните необходимые действия для генерирования необходимого трафика внутри IT-инфраструктуры.

    5. Нажмите Остановить запись и в пункте Файл справа вверху скачайте созданный файл дампа трафика. Откройте его в любой программе-анализаторе сетевого трафика (например, WireShark) и проведите его анализ для поиска потенциальных проблем.

Запустили Evolution free tier
для Dev & Test
Получить