Cortes de conexión de puntos wifi con SonicWall

El protocolo CAPWAP (Control And Provisioning of Wireless Access Points – RFC5415) permite el intercambio de datos de configuración, autenticación y operaciones entre puntos de acceso wifi y el controlador. Debemos asegurar la comunicación UDP en los puertos 5246 y 5247 entre todos los elementos.

Con la utilización de controladores en la nube para la gestión centralizada podemos sufrir desconexiones entre diferentes elementos de la red, además de asegurarnos la calidad de la conexión y la priorización del tráfico de control (QoS) dentro de una red específica (VLAN) en algunos firewall es posible que, de forma predeterminada, el propio equipo cambie el puerto de origen en cada petición / NAT realizada con lo que se producen cortes intermitentes.

Si bien esta función por defecto, favorece una mayor seguridad al no ser tan predecible la asignación dinámica de puertos, puede causar problemas con conexiones tipo CAPWAP, VoIP, P2P..

En firmware SonicOS Enhanced 6.5.4.6-79n y anteriores la configuración se encuentra, algo mal situada, en el menú de VoIP.

Controlar ancho de banda en firewall mediante SNMP

En el momento de monitorizar equipos de red Zyxel mediante SNMP, al intentar recuperar el tráfico de una interface para Nagios / Icinga / Centreon las consultas por nombre hacen referencia a las internas, no a los nombres personalizados ni a los puertos P1, P2, P3… por lo que empezarán en eth0, eth1… ethX. Para las interfaces virtuales podemos utilizar vlan1, vlan2… vlanX

Añadimos el autoescalado en los gráficos, para la IP del equipo 10.10.0.250, la comunidad «public» por defecto y versión 2c, el comando que se ejecutará periódicamente quedaría:

/usr/lib/centreon/plugins/centreon_zyxel_snmp.pl
	--plugin=network::zyxel::snmp::plugin
	--mode=interfaces
	--hostname=10.10.0.250
	--snmp-version='2c'
	--snmp-community='public' 
	--interface='^eth2$'
	--name
	--add-status
	--add-traffic
	--warning-in-traffic='80'
	--critical-in-traffic='90'
	--warning-out-traffic='80'
	--critical-out-traffic='90'
	--change-perfdata=traffic,,scale(auto)

 

Nota:

En ocasiones aunque aparezca instalado el plugin es necesario ejecutar en modo consola:

yum install centreon-plugin-Network-Zyxel-Snmp

 

VPN Zyxel USG: No rule found, dropping packet

Existen diversos escenarios para la configuración de VPN entre dos dispositivos, en este caso aparece en un equipo Zyxel USG el error:

error      IPSec      SPI:0x6c2b84d9 (1814791385) SEQ:0x0001 (4200) No rule found, Dropping packet      ipsec 

Donde «no se ha tocado nada» pero se ha desconectado el tunel o bien solo aparece como activo en una de las partes y en la otra no (cosas de lógica informática). En estos casos es mejor no dar por sentado ningún razonamiento y comprobar la comunicación entre ambas partes.

El error señalado indica, en este caso, que un equipo intermedio tiene habilitado algún tipo de NAT o NAPT o no permite el tráfico de un protocolo (ESP, en este caso por ser IPSec) se puede solucionar habilitando la funcionalidad VPN Passthrought si la tiene o estableciendo un DMZ hacia la IP del firewall final, por ejemplo.