Cortes de conexión de puntos wifi con SonicWall

El protocolo CAPWAP (Control And Provisioning of Wireless Access Points – RFC5415) permite el intercambio de datos de configuración, autenticación y operaciones entre puntos de acceso wifi y el controlador. Debemos asegurar la comunicación UDP en los puertos 5246 y 5247 entre todos los elementos.

Con la utilización de controladores en la nube para la gestión centralizada podemos sufrir desconexiones entre diferentes elementos de la red, además de asegurarnos la calidad de la conexión y la priorización del tráfico de control (QoS) dentro de una red específica (VLAN) en algunos firewall es posible que, de forma predeterminada, el propio equipo cambie el puerto de origen en cada petición / NAT realizada con lo que se producen cortes intermitentes.

Si bien esta función por defecto, favorece una mayor seguridad al no ser tan predecible la asignación dinámica de puertos, puede causar problemas con conexiones tipo CAPWAP, VoIP, P2P..

En firmware SonicOS Enhanced 6.5.4.6-79n y anteriores la configuración se encuentra, algo mal situada, en el menú de VoIP.

Controlar ancho de banda en firewall mediante SNMP

En el momento de monitorizar equipos de red Zyxel mediante SNMP, al intentar recuperar el tráfico de una interface para Nagios / Icinga / Centreon las consultas por nombre hacen referencia a las internas, no a los nombres personalizados ni a los puertos P1, P2, P3… por lo que empezarán en eth0, eth1… ethX. Para las interfaces virtuales podemos utilizar vlan1, vlan2… vlanX

Añadimos el autoescalado en los gráficos, para la IP del equipo 10.10.0.250, la comunidad «public» por defecto y versión 2c, el comando que se ejecutará periódicamente quedaría:

/usr/lib/centreon/plugins/centreon_zyxel_snmp.pl
	--plugin=network::zyxel::snmp::plugin
	--mode=interfaces
	--hostname=10.10.0.250
	--snmp-version='2c'
	--snmp-community='public' 
	--interface='^eth2$'
	--name
	--add-status
	--add-traffic
	--warning-in-traffic='80'
	--critical-in-traffic='90'
	--warning-out-traffic='80'
	--critical-out-traffic='90'
	--change-perfdata=traffic,,scale(auto)

 

Nota:

En ocasiones aunque aparezca instalado el plugin es necesario ejecutar en modo consola:

yum install centreon-plugin-Network-Zyxel-Snmp

 

Redireccionamiento NAT con interfaz virtual en equipos Zyxel USG

En equipos Zyxel USG con interfaz virtuales asociadas, por ejemplo asignando varias IPs fijas públicas, aparecen definidas en la intefaz visual de este modo:

Si se desea realizar NAT a una de las interfaces virtuales directamente:

Se muestra error y no crea la regla NAT correspondiente, aparece un descripción del mismo genérica: «Wrong CLI command, device timeout or device logout.«

En su lugar, para realizarla correctamente debemos elegir la interfaz padre principal y limitar la IP de origen a la IP asignada a la interfaz virtual, se indica la IP «88.0.0.2» como la dirección IP de wan2:4 a modo de ejemplo:

Una vez creada la redirección del puerto o servicio, deberemos crear la correspondiente Política de control en el firewall para permitir el tráfico.

NOTA: Aplicable a firmware: V4.33(AAPI.0) e inferiores

VPN Zyxel USG: No rule found, dropping packet

Existen diversos escenarios para la configuración de VPN entre dos dispositivos, en este caso aparece en un equipo Zyxel USG el error:

error      IPSec      SPI:0x6c2b84d9 (1814791385) SEQ:0x0001 (4200) No rule found, Dropping packet      ipsec 

Donde «no se ha tocado nada» pero se ha desconectado el tunel o bien solo aparece como activo en una de las partes y en la otra no (cosas de lógica informática). En estos casos es mejor no dar por sentado ningún razonamiento y comprobar la comunicación entre ambas partes.

El error señalado indica, en este caso, que un equipo intermedio tiene habilitado algún tipo de NAT o NAPT o no permite el tráfico de un protocolo (ESP, en este caso por ser IPSec) se puede solucionar habilitando la funcionalidad VPN Passthrought si la tiene o estableciendo un DMZ hacia la IP del firewall final, por ejemplo.