Jak zezwolić na określony ruch w usłudze zapory QuWAN?

Dotyczy produktów

QuWAN Orchestrator

Szczegóły

Ta sekcja Pytań i odpowiedzi dotyczy typowych metod konfiguracji zapory pod kątem odpowiednich ustawień, używanych gdy połączenie VPN typu mesh ulegnie awarii:

Najlepsze praktyki

Aby zapoznać się z procedurą tworzenia lub modyfikowania reguły zapory, zobacz rozdział Ustawienia zapory w pomocy online dotyczącej rozwiązań QuWAN i QuWAN Orchestrator.

1. Rozłączenie z platformą QuWAN Orchestrator

Problem: Nie można połączyć się z interfejsem zarządzania QuWAN Orchestrator.

Rozwiązanie: Sprawdź, czy zapora zezwala na komunikację na porcie 8883 (TCP) z platformą QuWAN Orchestrator przy użyciu następującej konfiguracji.

• Źródło: Kliknij opcję Definiuj, aby określić adres IP lub podsieć QuWAN Orchestrator
• Protokół: TCP
• Porty źródłowe: 8883
• Lokalizacja docelowa: Dowolna
• Działanie: Zezwól

2. Rozłączenie z serwerem VPN QuWAN QBelt

Problem: Nie można nawiązać połączenia VPN z serwerem VPN QuWAN QBelt.

Rozwiązanie: Sprawdź, czy zapora zezwala na komunikację z platformą QuWAN Orchestrator przy użyciu następujących skonfigurowanych reguł.

1. Reguła 1 (ruch przychodzący):
   • Źródło: Kliknij opcję Definiuj, aby określić połączenie źródłowe
   • Protokół: UDP
   • Porty źródłowe: 5533
   • Lokalizacja docelowa: Dowolna
   • Działanie: Zezwól
2. Reguła 2 (ruch wychodzący):
   • Źródło: Kliknij opcję Definiuj, aby określić dane urządzenia zdalnego
   • Protokół: UDP
   • Porty źródłowe: Dowolne
   • Lokalizacja docelowa: 5533
   • Działanie: Zezwól

3. Zablokowany ruch VPN lokacja-lokacja typu mesh

Problem: Transfer danych w sieci VPN lokacja-lokacja typu mesh jest zablokowany.

Rozwiązanie: Aby umożliwić ruch z usługi VPN typu mesh przez zaporę, utwórz dwie reguły zezwalające na używanie potrzebnych portów UDP.

1. Reguła 1 (ruch przychodzący):
   • Źródło: Kliknij opcję Definiuj, aby określić połączenie źródłowe
   • Protokół: UDP
   • Porty źródłowe: 500, 4500 (na stronie Zarządzanie usługami można ustalić, czy są wymagane inne porty IPSec NAT Traversal), 5555, 7788
   • Lokalizacja docelowa: Dowolna
   • Działanie: Zezwól
2. Reguła 2 (ruch wychodzący):
   • Źródło: Dowolne
   • Protokół: UDP
   • Porty źródłowe: Dowolne
   • Lokalizacja docelowa: 500, 4500 (na stronie Zarządzanie usługami można ustalić, czy są wymagane inne porty IPSec NAT Traversal), 5555, 7788
   • Działanie: Zezwól

4. Nieudane żądania ping z urządzeń LAN

Problem: Nie można wysyłać żądań ping z urządzeń LAN. 

Rozwiązanie: Sprawdź, czy reguła zapory zezwala na ruch ICMP z sieci LAN do Internetu.

• Lokalizacja docelowa: Kliknij opcję Definiuj, aby określić adres bramy internetowej
• Protokół: ICMP
• Źródło: Dowolne (zezwala na ruch z dowolnego urządzenia w sieci LAN)
• Lokalizacja docelowa: Podsieć LAN (np. 192.168.60.1/24)
• Działanie: Zezwól

Dodatkowe uwagi

• Podsieć LAN 192.168.60.1/24 zastąp adresem swojej podsieci LAN.
• Port IPSec NAT Traversal zależy od roli urządzenia QuWAN:
  • Hub: Domyślny port to 4500. Dodaj ten port do listy portów źródłowych w regule 2 (ruch wychodzący), jeśli ma to zastosowanie.
  • Urządzenie brzegowe: Używa portu o losowym numerze z zakresu od 61001 do 61999. Jeśli to konieczne, w interfejsie WAN w regule 2 (ruch wychodzący) zezwól na ruch źródłowy na wszystkich portach z tego zakresu.