Problemas na configuração de HA com firewalls FLEX 500

D2IT

Implementamos um cenário de Alta Disponibilidade (HA) utilizando dois firewalls Zyxel FLEX 500.
Durante os testes de failover, observamos que as configurações se perderam no equipamento passivo.

Tentamos realizar o reset do firewall passivo para que ele sincronizasse automaticamente com o primário, porém não tivemos sucesso.
No portal MyZyxel, ambos os firewalls estão vinculados à conta, mas percebemos que a licença do equipamento passivo está vinculada apenas ao firewall principal.

Gostaria de saber:

1. Isso está correto ou cada firewall precisa ter sua própria licença?
2. O que pode estar impedindo a sincronização das configurações e a ativação correta do HA?

Zyxel_Melen

Hi @D2IT

Em um cenário de Alta Disponibilidade (HA) com firewalls Zyxel FLEX 500, a perda de configurações no equipamento passivo e a falha na sincronização podem ocorrer por configurações incorretas ou firmware desatualizado.

Para as licenças, apenas o firewall ativo (primário) precisa ter as licenças de segurança, que serão transferidas para esta unidade. É fundamental que ambos os dispositivos estejam registrados na mesma conta MyZyxel.com. Não é necessário que cada firewall tenha sua própria licença para os serviços de segurança. Para licenças de "bundle", pode ser necessário entrar em contato com o suporte da Zyxel para transferi-las para o dispositivo primário. O recurso Device HA Pro não exige mais uma licença separada em firmwares mais recentes. Você pode consultar nosso manual para obter detalhes de configuração.

https://download.zyxel.com/USG_FLEX_500/handbook/USG%20FLEX%20500_ZLD5.31_Handbook.pdf

Para resolver os problemas de sincronização e ativação do HA, por favor, verifique os seguintes pontos:

1. Redefina o firewall passivo: Certifique-se de que o firewall passivo esteja completamente redefinido para as configurações padrão de fábrica antes de configurar o HA. Todas as configurações devem ser feitas no firewall ativo, pois o passivo sincronizará automaticamente.
2. Verifique a versão do firmware: Ambos os firewalls (ativo e passivo) devem ter o mesmo modelo e a mesma versão de firmware. Verifique se estão executando a versão mais recente, pois atualizações de firmware corrigem problemas de sincronização de HA.
3. Configuração da interface Heartbeat: A porta heartbeat (geralmente a última porta Ethernet, como a porta 12 no FLEX 500) deve ter suas configurações padrão e a zona definida como "none". Não altere nenhuma configuração ou zona nesta porta e certifique-se de que não há sobreposição de sub-redes IP.
4. Sincronização manual: No firewall ativo, você pode tentar forçar uma sincronização completa via CLI. No dispositivo passivo, você pode usar o comando device-ha2 sync_from_active.

Se o problema persistir, por favor, colete as seguintes informações para uma análise mais

aprofundada:

1. Logs do sistema de ambos os firewalls.
2. Captura de tela da página System Info de ambos os firewalls.
3. Detalhes sobre as etapas exatas seguidas para configurar o HA, incluindo as configurações da interface heartbeat.
4. Logs de rastreamento do HA no dispositivo passivo usando o comando Router> show device-ha2 trace-log via console ou SSH.

In a High Availability (HA) scenario with Zyxel FLEX 500 firewalls, configuration loss on the passive device and synchronization failure can occur due to incorrect configurations or outdated firmware.

For licenses, only the active (primary) firewall needs to have security licenses, which will be transferred to this device. It is essential that both devices are registered to the same MyZyxel.com account. It is not necessary for each firewall to have its own license for security services. For bundled licenses, you may need to contact Zyxel support to transfer them to the primary device. The Device HA Pro feature no longer requires a separate license in newer firmware versions. You can refer to our manual for configuration details.

https://download.zyxel.com/USG_FLEX_500/handbook/USG%20FLEX%20500_ZLD5.31_Handbook.pdf

To resolve HA synchronization and activation issues, please check the following points:

1. Reset the passive firewall: Ensure the passive firewall is completely reset to factory default settings before configuring HA. All configurations must be made on the active firewall, as the passive firewall will synchronize automatically.
2. Check the firmware version: Both firewalls (active and passive) must be the same model and firmware version. Make sure they are running the latest version, as firmware updates fix HA synchronization issues.
3. Heartbeat interface configuration: The heartbeat port (usually the last Ethernet port, such as port 12 on the FLEX 500) must have its default settings and the zone set to "none." Do not change any settings or zones on this port and ensure there are no overlapping IP subnets.
4. Manual Synchronization: On the active firewall, you can try forcing a full synchronization via the CLI. On the passive device, you can use the device-ha2 sync_from_active command.

If the issue persists, please collect the following information for further

analysis:

1. System logs from both firewalls.
2. Screenshot of the System Info page of both firewalls.
3. Details on the exact steps taken to configure HA, including the heartbeat interface settings.
4. HA trace logs on the passive device using the Router> show device-ha2 trace-log command via console or SSH.

D2IT

@Zyxel_Melen

Estaremos realizamos os testes conforme mencionado.

Reportarei assim que finalizarmos.


Att,
Diogo