tocdepth

2

Решение проблем

Целевой трафик не проходит через NGFW UserGate

  1. Убедитесь, что трафик не блокируется на NGFW.

    1. Убедитесь, что включено разрешающее правило для целевого трафика в разделе Политики сети → Межсетевой экран и в настройках этого правила включено Журналирование → Журналировать начало сессии.

    2. В веб-интерфейсе UserGate в разделе Диагностика и мониторинг → Мониторинг трафика проверьте наличие сообщений о прохождении целевого трафика.

    3. Если требуемый трафик не отображается:

      1. Убедитесь, что зоны источника и назначения указаны корректно и присутствуют необходимые правила маршрутизации.

      2. Если зоны источника и назначения указаны верно, убедитесь, что нет блокировок по остальным модулям проверки трафика. При их отсутствии причину нужно искать на стороне конечных взаимодействующих хостов, иного транзитного оборудования или участков сетей.

    4. Если трафик не отображается в разделе мониторинга UserGate, то проверьте корректность прохождения трафика на доступном промежуточном и смежном оборудовании.

  2. Убедитесь, что трафик не блокируется на МЭ облачной платформы.

    1. Зайдите в консоль управления облачной инфраструктурой и убедитесь, что присутствует разрешающее правило для целевого трафика в разделе Firewall и при необходимости правило трансляции адресов в разделе NAT на IP-адрес внешнего интерфейса UserGate;

    2. Если у вас нет критических ресурсов в облачной инфраструктуре, доступ к которым настроен не через UserGate, в разделе Firewall настройте временное правило вида «Any to Any» с действием «Allow» и выполните повторно действия пункта 1.

Не устанавливается Site-to-Site VPN между UserGate и иным VPN-шлюзом

  1. Проверьте корректность настроек в интерфейсе UserGate. Обратите внимание на правильное указание адресов локальных и удаленных подсетей, адреса удаленного участника подключения, алгоритмов и ключей шифрования, правил NAT и межсетевого экранирования.

  2. Проверьте наличие сообщений об ошибках в разделе Диагностика и мониторинг → Мониторинг → VPN.

  3. Убедитесь, что между участниками VPN-соединения разрешено обоюдное межсетевое взаимодействие и сетевой трафик не блокируется на транзитных интернет-сетях.

  4. Выгрузите системные журналы из раздела Настройки → Управление устройством.

    1. В поле Диагностика → Детализация диагностики установите уровень debug.

    2. Нажмите Очистить журналы.

    3. Смоделируйте действия, приводящие к некорректному результату работы UserGate для записи данных событий.

    4. Вернитесь в пункт Настройки → Управление устройством и нажмите Скачать журналы.

    5. После завершения процедуры архивирования журналов будет сформирован ZIP-архив, внутри которого находятся системные логи в каталоге utm/utm.log.

    6. В поле Диагностика → Детализация диагностики установите уровень info.

Не устанавливается Client-to-Site VPN между UserGate и клиентским устройством

  1. Проверьте корректность настроек в интерфейсе UserGate. Обратите внимание на правильное указание адресов локальных и удаленных подсетей, адреса удаленного участника подключения, алгоритмов и ключей шифрования, правил NAT и межсетевого экранирования.

  2. Проверьте необходимые настройки на целевых операционных системах. Попробуйте подключиться к VPN с другого хоста из иной подсети. Убедитесь в отсутствии проблем на стороне хостовой операционной системы или используемого интернет-провайдера.

  3. Проверьте наличие сообщений об ошибках в разделе Диагностика и мониторинг → Мониторинг → VPN.

  4. Убедитесь, что между участниками VPN-соединения разрешено обоюдное межсетевое взаимодействие и сетевой трафик не блокируется на транзитных интернет-сетях.

  5. Выгрузите системные журналы из раздела Настройки → Управление устройством.

    1. В поле Диагностика → Детализация диагностики установите уровень debug.

    2. Нажмите Очистить журналы.

    3. Смоделируйте действия, приводящие к некорректному результату работы UserGate для записи данных событий.

    4. Вернитесь в пункт Настройки → Управление устройством и нажмите Скачать журналы.

    5. После завершения процедуры архивирования журналов будет сформирован ZIP-архив, внутри которого находятся системные логи в каталоге utm/utm.log.

    6. В поле Диагностика → Детализация диагностики установите уровень info.

Ошибки при организации кластера UserGate

  1. При создании кластера NGFW необходимо производить подключение новой резервной ВМ к уже существующей на этапе ее первичной инициализации через веб-интерфейс UserGate.

  2. Если вторая нода NGFW уже развернута, ее необходимо удалить и провести развертывание заново.

  3. При развертывании резервной ноды убедитесь в правильном назначении сетевых интерфейсов и их IP-адресации как на платформе виртуализации, так и в совместных сетевых настройках основной и вновь разворачиваемой резервной ноды. Сетевые интерфейсы, включая интерфейсы синхронизации, должны располагаться в общих сетевых сегментах со смежной IP адресацией. Повторно выполните шаги по инструкции.

Общие рекомендации по решению проблем с NGFW Usergate

  • Изучите последние изменения, внесенные в конфигурацию NGFW, чтобы убедиться, что они не являются причиной некорректного поведения.

  • :doc:` Инструкция по конфигурированию <guides>` позволит настроить требуемые функциональные возможности без ошибок.

  • Выполните проверку корректности встраивания NGFW в облачную платформу.

  • Выполните базовый и расширенный анализ неисправностей.

  • Обратитесь к документации и к базе знаний <https://sd.usergate.com/ru/Knowledgebase/List/Index/94> вендора, чтобы найти подробные инструкции по вашему сценарию.

  • Воспроизведите ошибку, чтобы убедиться, что проблема заключена именно в межсетевом экране, а не конечном хосте или нестабильных сетевых соединениях. Результаты проверки прикрепите к обращению в техническую поддержку.

Дополнительные материалы

Поиск ошибок в платформе виртуализации

Проверьте корректность выполнения действий, описанных в следующих инструкциях:

Ссылки на инструкции по настройке NGFW от производителя:

Руководство администратора UserGate

Архитектура и примеры настройки UserGate

Способы внедрения межсетевого экрана UserGate

Авторизация и аутентификация

Управление SSL сертификатами

Маршрутизация и виртуальные маршрутизаторы (VRF)

Межсетевое экранирование и правила пропускной способности

Контентная фильтрация

Система обнаружения и предотвращения вторжений (IDS/IPS)

Публикация внешних ресурсов в интернет

Удаленный доступ и VPN

Интерфейс командной строки CLI

Взаимодействие со сторонними системами

Обновление UserGate

Проверка корректности встраивания NGFW UserGate в платформу Облако VMware

Корректное развертывание ВМ UserGate подразумевает выделение требуемого ресурсного пула, правильное назначение сетевых интерфейсов и их IP-адресации с возможностью выхода преднастроенной ВМ NGFW в интернет для удаленной настройки. Если у вас обнаружены проблемы с IP-связностью или подозрение на некорректное размещение сетевых интерфейсов ВМ, аутентифицируйтесь в своем тенанте и выполните следующие действия.

  1. Проверьте состояние виртуальной машины в платформе гипервизора. Убедитесь в выделении требуемого пула ресурсов и в том, что она включена.

  2. Откройте свойства виртуальной машины UserGate и в разделе General → NICs проверьте правильность назначения сетевых сегментов на платформе гипервизора и самом UserGate. Обратите внимание, что на адаптере NIC0 устанавливается внешний IP-адрес. Сверьте отображаемые данные в веб-интерфейсе UserGate раздела Настройки → Сеть → Интерфейсы. Обратите внимание на совпадение МАС-адресов в платформе гипервизора и интерфейсах UserGate. Чтобы переназначить сетевые интерфейсы UserGate, штатно выключите ВМ, измените настройки, а затем включите ВМ, нажав Power ON.

  3. Если веб-интерфейс UserGate недоступен, нажмите Launch Web Console и Launch Remote Console для получения доступа к виртуальной CLI консоли управления.

  4. Откройте раздел Networking → Networks и проверьте настройки сетевых сегментов на облачной платформе. Обратите внимание на тип сети Network Type и корректность IP-адресации сетевого шлюза облачной платформы. При использовании сети типа Isolated использовать шлюзовые интерфейсы облачной платформы запрещено, потому что маршрутизация настраивается на самом UserGate. Из-за особенностей облачной платформы создавать подсети без назначения IP-адресации невозможно.

  5. Откройте раздел Networking → Edges и убедитесь в функционировании облачного шлюза платформы виртуализации. Откройте настройки сетевого шлюза и нажмите Edit Rules, чтобы создать правило вида «Any-Any» с действием «Allow». Это снимает ограничение на движение трафика внутри облачной платформы, что рекомендуется в случае переноса всей маршрутизации с облачной платформы строго на UserGate.

    Если у вас используется гибридная модель межсетевого взаимодействия с одновременным применением маршрутизации в облачной платформе и UserGate (например, NGFW установлен в разрыв), то необходимо в целях безопасности создать выделенные правила МСЭ, разрешающие доступ строго к UserGate.

  6. Откройте раздел IP Management → IP Allocations и убедитесь в назначении блока внешних IP-адресов для выхода в интернет. Используя CLI-консоль UserGate, выполните ICMP- и traceroute-запросы к интернет-шлюзу облачной платформы, а затем к любому ресурсу в интернете. Если запросы выполнены без ошибок, то выход в интернет со стороны облачной платформы функционирует корректно.

Если вы не обнаружили ошибок в облачной платформе и сетевые интересы UserGate назначены верно, обеспечивая базовую межсетевую связность, необходимо выполнить дополнительные шаги по поиску ошибок в настройке NGFW UserGate.

Базовый анализ неисправностей UserGate

  1. Проанализируйте архитектуру сети вашей облачной инфраструктуры, разворачиваемых виртуальных машин и целевую схему их внедрения. Убедитесь в правильности назначения сетевых интерфейсов на платформе гипервизора и самом UserGate. На платформе гипервизора назначьте разворачиваемые хостовые ВМ в соответствующие сетевые сегменты UserGate.

  2. Проанализируйте информацию о сетевых зонах, сетевых интерфейсах и их IP-адресации в разделах веб-интерфейса UserGate Настройки → Сеть → Зоны / Интерфейсы. Оформите полученную информацию в виде таблицы, чтобы отправить технической поддержке.

  3. Проверьте базовую сетевую связность, используя тестовые ICMP/traceroute-запросы в разделе веб-интерфейса UserGate Диагностика и мониторинг → Сеть. Убедитесь в доступности сетевых интерфейсов UserGate, отправив ICMP-запрос с конечного хоста на адрес шлюза по умолчанию, которым является UserGate. Обратите внимание на то, что некоторые хостовые операционные системы блокируют входящие ICMP-запросы, поэтому можно не получить от них ответ в случае проверки сетевой связности со стороны UserGate.

  4. В случае проблем с выходом в интернет через UserGate проверьте, что на платформе гипервизора ему назначен внешний белый IP-адрес и в правилах сетевого доступа на платформе виртуализации прописано разрешающее правило МСЭ, обеспечивающее прохождение всего интернет-трафика на внешний сетевой интерфейс UserGate. Проверьте настройки в разделе Сеть → Шлюзы и убедитесь, что там указан шлюз облачной платформы для выхода в интернет. Проверьте доступность внешнего шлюза и внешних ресурсов, отправив ICMP/traceroute-запроса.

  5. Проверьте настройки статических маршрутов в разделе Сеть → Шлюзы, если вы используете взаимодействие с другими внутренними подсетями (VPN-филиалы и удаленные подсети), помимо тех, которые напрямую подключены к UserGate.

  6. При отсутствии сетевой связности между внутренними подсетями NGFW, выполните со стороны хостов и самого UserGate ICMP-запросы к внутренним хостам, внешним и внутренним подсетям. При этом возможно прохождение сетевого трафика лишь в одном направлении, что соответствует логике работы NGFW. Для более простого поиска ошибок в написании правил межсетевого экранирования создайте общую политику межсетевого экрана вида «Any-Any», с указанием в качестве источника и назначения всех существующих сетевых зон, с разрешением доступа по всем IP-адресам, и расположите ее первой в списке правил. Правило такого вида разрешает прохождение всего сетевого трафика между всеми сетевыми зонами NGFW.

  7. При отсутствии выхода в интернет проверьте настройки в разделе Политики сети → NAT и маршрутизация. В этом разделе должны быть созданы соответствующие правила взаимодействия.

Расширенный анализ неисправностей UserGate:

  1. В разделе Журналы и отчеты → Журналы отображаются системные сообщения, в том числе о блокировке сетевого трафика. Проанализируйте информацию из журналов, в том числе системные сообщения в разделе Диагностика и мониторинг → Мониторинг трафика.

  2. Если используется множество сложных правил межсетевого экрана, возможны ошибки в их написании. Из-за этого требуемый сетевой трафик может быть заблокирован. Убедитесь, что в неработающих правилах установлен флаг логирования, чтобы записывать такие события. Для этого в разделе Политики сети → Межсетевой экран откройте требуемое правило и укажите Журналировать начало сессии в пункте Журналирование.

  3. В разделе Диагностика и мониторинг → Мониторинг трафика отображаются события, когда транзитный сетевой трафик попадает под заданное правило межсетевого экрана.

  4. Возможна ситуация, когда трафик не попадает под пользовательские политики межсетевого взаимодействия. В таком случае откройте самое последнее правило в разделе Политики сети → Межсетевой экран → Default Block и активируйте логирование. Вы сможете увидеть сетевой трафик, не совпадающий ни с одной из вышестоящих политик.

  5. Если вы обнаружили наличие ошибок в написании правил, необходимо упростить критерии их написания, а также отключить все функции активной защиты сетевого трафика в разделе Настройка → Политики безопасности, которые также могут блокировать межсетевое взаимодействие.

  6. Создайте общую политику межсетевого экрана вида «Any-Any» с указанием в качестве источника и назначения всех существующих сетевых зон, с доступом по всем IP-адресам и расположите ее первой в списке правил. Правило такого вида разрешает прохождение всего сетевого трафика между всеми сетевыми зонами.

  7. Используйте инструменты в разделе Диагностика и мониторинг → Сеть для базовой диагностики сетевой связности.

  8. Если проблема все еще не определена, выгрузите системные журналы из раздела Настройки → Управление устройством. В поле Диагностика → Детализация диагностики установите уровень debug. Нажмите Очистить журналы. Смоделируйте некорректную работу UserGate для записи событий. Вернитесь в пункт Настройки → Управление устройством и нажмите Скачать журналы. После завершения процедуры архивирования журналов будет сформирован ZIP-архив, внутри которого находятся системные логи в каталоге «utm/utm.log». В поле Диагностика → Детализация диагностики установите уровень info.

  9. Проведите процедуру захвата сетевого трафика на UserGate и при необходимости на хостовой операционной системе клиентского хоста, чтобы определить корректность межсетевого взаимодействия и факт движения сетевого трафика. Откройте раздел Диагностика и мониторинг → Сеть → Захват пакетов и нажмите Фильтры –> Добавить. В появившемся окне задайте критерии для захвата трафика. Нажмите Правило –> Добавить, в появившемся окне Правило PCAP укажите сетевые интерфейсы, на которых необходимо произвести захват трафика, а в пункте Фильтры –> Добавить укажите фильтр захвата трафика, который был создан ранее. Выделите созданное правило и нажмите Начать запись. Выполните действия для генерирования необходимого трафика внутри вашей IT-инфраструктуры. Нажмите Остановить запись и в пункте Файл справа вверху скачайте созданный файл дампа трафика. Откройте его в любой программе-анализаторе сетевого трафика (например, WireShark) и проведите анализ для поиска потенциальных проблем.

Обращение в техническую поддержку Cloud.ru

Если не удалось решить проблему с работоспособностью NGFW самостоятельно, сформируйте обращение в техническую поддержку. Чтобы ваша заявка была быстро рассмотрена и решена, перед обращением соберите следующие данные:

  1. Подробное описание проблемы с учетом проведенных процедур поиска неисправностей по инструкциям из этого руководства.

  2. Сведения о конфигурации NGFW: схема сети, план IP-адресации, список NAT-трансляций.

  3. Настройки сети облачной платформы и факт проверки их корректности.

  4. Выгруженные лог-сообщения и дампы трафика, отражающие неисправности.

  5. Любая дополнительная информация, которую вы считаете важной для решения проблемы.

Запустили Evolution free tier
для Dev & Test
Получить