Решение проблемы: Не загружается шлюз безопасности серии ATP/USG FLEX, постоянно мигает SYS.

Zyxel_Andrew

Недавнее обновление сигнатур Application Patrol версии 1.0.0.20220310.0 для шлюзов безопасности серии ATP/USG FLEX могло вызвать зависание шлюза во время его загрузки.

 

В чем проблема?

Версия сигнатуры App Patrol V1.0.0.20220310.0 может создавать ошибки синтаксического анализа на шлюзах безопасности, которые находятся в автономном режиме или управляются через Nebula. Сервис App Patrol не будет работать после обновления данной сигнатуры однако остальные функции UTM продолжают работать. При таком состоянии если перезагрузить шлюз вручную или сработает перезагрузка по расписанию, шлюз может зависнуть в процессе загрузки.

 

Какие устройства затронуты и как проверить, актуальна ли проблема для вашего шлюза?

Проблема возникает на всех шлюзах серий ATP и USG FLEX на которых установлена версия микропрограммы от 5.00 до 5.20 и была установлена проблемная сигнатура Application Patrol версии 1.0.0.20220310.0

В разделе Configuration => Licensing => Signature Update проверьте, какая версия сигнатуры установлена для App-Patrol

Если устройство использует проблемную версию сигнатуры и имеет версию микропрограммы 5.00-5.20, то не перезагружайте шлюз вручную и отключите (если таковы имеются) настройки перезагрузки по расписанию!

 

Если проблема актуальна для устройства, но оно не было перезагружено.

Решение:

Обновите ваш шлюз до последней версии микропрограммы - V5.21patch1 на которой проблема с сигнатурой уже устранена. Обновить можно через облако или же вручную через файл микропрограммы скаченный с портала myzyxel.com

Обновите раздел который имеет статус Running:

Обновление шлюзов безопасности через облачный сервис

 

Если шлюз не загружается после попытки перезагрузки.

Убедитесь, что данная проблема связана с загрузкой проблемной сигнатуры, проверьте следующие симптомы:

1) Шлюз не отвечает по истечению 10-15 минут после подачи питания 

2) Светодиод PWR горит зелёным цветом, а SYS постоянно мигает

3) При получении доступа к шлюзу через COM порт лог загрузки останавливается на пункте:

load av threat info...

Полный лог выглядит как на примере:

Решение:

В таком состоянии возможно восстановить работу шлюза без потери файла конфигурации. Для проведения процедуры восстановления потребуется консольный адаптер (например, DB9<=>USB) и любая терминальная программа (рекомендуем TeraTerm). Восстановление нужно проводить на месте установки шлюза.

 

Пошаговая процедура восстановления:

1) Подключите консольный USB-адаптер к  шлюзу (шлюз может быть включен или отключен)

2) Запустите программу TeraTerm на вашем компьютере и задайте следующие параметры консольного порта:

3) Включите или перезагрузите шлюз, в терминальном окне вы должны наблюдать терминальный лог загрузки шлюза. Если вместо лога вы видите случайные символы, нечитаемый текст и прочее проверьте:

а) консольный адаптер подключен правильно и установлены подходящие для него драйвера

б) раскладка клавиатуры установлена на латиницу(ENG)

в) правильно выбраны параметры консольного порта и сам порт

Если проблема с отображением останется, попробуйте перезапустить программу TeraTerm и заменить консольный адаптер.

4) Когда загрузка дойдёт до пункта:

"Press any key to enter debug mode..."

Нажмите на любую кнопку чтобы войти в режим отладки (debug mode). В этом режиме нужно сменить загрузочный раздел шлюза (номер раздела микропрограммы). По умолчанию, шлюз использует первый раздел. Если вы не уверены, какой раздел шлюз использует в данный момент, сперва попробуйте ввести команды:

atcd 2

atgo

5) Дождитесь, пока шлюз загрузится и если загрузка снова остановилась на том же пункте что и раньше (load av threat info...) выполните повторно 3 и 4 пункты. В 4 пункте вместо команды atcd 2 выполните команду atcd 1

6) При загрузке в консольном логе должна быть отображена версия микропрограммы загружаемого раздела.

Пример:

Если версия микропрограммы 4.30+ то пропустите выполнение 6 пункта.

Если версия микропрограммы резервного раздела 4.29, то на устройстве необходимо сперва выполнить первоначальную настройку и выполнить обновление микропрограммы на данном разделе чтобы продолжить. Для этого выполните следующее:

а) подключите компьютер в LAN ethernet порт шлюза и убедитесь, что компьютер получил адрес от DHCP сервера шлюза

б) авторизуйтесь на устройство с заводской учетной записью:

имя пользователя: admin

пароль: 1234

Если пароль не подходит, сбросьте устройство до заводской конфигурации зажав кнопку Reset до 10 секунд затем повторите пункт б. Основная конфигурация устройства не должна быть затронутой.

в) Пройдите пошаговую настройку задав на устройстве сетевые настройки с доступом в интернет и в конце используя облачное обновление микропрограммы обновите устройство.

Если же устройство не скачивает микропрограмму, попробуйте загрузить её вручную скачав .bin файл с портала myzyxel.com

Внимание! Если вы не получаете доступ к веб-интерфейсу шлюза или получаете ошибку параметров шифрования от веб-браузера при открытии страницы шлюза, выполните настройку из статьи(можно ограничится только 3 шагом) - Почему графический интерфейс шлюзов безопасности серии Zywall/USG недоступен через современные веб-браузеры?

7) После получения доступа к веб-конфигурации шлюза скачайте все файлы конфигурации, которые на нём есть из раздела Maintenance => File Manager

Альтернативный способ скачивания конфигураций через FTP:

а) Откройте FTP набрав адрес ftp://192.168.1.1 (или IP-адрес устройства в локальной сети). Для открытия можете использовать ваш браузер или программу FileZilla.

б) авторизуйтесь пользователем admin

в) ВАЖНО: откройте папку Standby_conf​

г) Загрузите все файлы конфигурации из папки Standby_conf и проверьте файл startup-config.conf, открыв его через любой текстовый редактор, на соответствие его правильным настройкам.

Серия USG / ATP — объяснение разделов устройства и различных типов файлов конфигурации

8) В разделе Firmware Management обновите ваш шлюз до последней версии микропрограммы - V5.21 на которой проблема с сигнатурой уже устранена. Обновить можно через облако или же вручную через файл микропрограммы скаченный с портала myzyxel.com

Обновите раздел который имеет статус Standby:

Обновление шлюзов безопасности через облачный сервис

Рекомендуем после выбора метода обновления не загружаться сразу же в проблемный раздел. В окне "Перезагрузить устройство?" выберете "Нет". Шлюз останется работать на текущем разделе и после обновления проверьте раздел File Manager, если добавились новые файлы конфигурации - выполните повторно пункт 7.

9) После того, как раздел со статусом Standby будет обновлен до версии 5.21 можете перезагрузиться в него через веб интерфейс:

Шлюз должен загрузится на предыдущей раздел и загрузить конфигурацию, на которой тот работал до перезагрузки с проблемой. Если конфигурация сброшена, установите последнюю версию из скаченных ранее конфигураций. Перед загрузкой и применением конфигурации откройте её в любом текстовом редакторе и удалите 3 строку(с версией микропрограммы).

 

Если в каком-то из пунктов у вас возникли вопросы или процедура восстановления не работает, пожалуйста, откройте заявку в нашу службу поддержки указав на каком из пунктов возникает проблема - Как связаться со службой поддержки?