» Настройка CheckPoint

BiB2
Да нет, скорее всего, там перехватчик не замечает параметр, что надо на другой порт перебросить и по оригинальному порту пересылает трафик. Возможно единственный вариант тут - открывать тикет в техсапорт, если проплачена техподдержка.

Да, с техподдержкой вариант конечно... но увы... проплачен только доступ к обновлениям и Secureknowledge... на закрытом форуме Checkpoint я написал сообщение - никто не ответил... Спасибо.

Цитата:

проплачен только доступ к обновлениям и Secureknowledge

Такое возможно только в USA. За пределами USA они продают только Collaborative support. Это значит, что у своего росийского диллера, которому ты оплачивал этот сапорт ты можешь потребовать решения твоей проблемы и они откроют уже сами тикет на чекпоинте. Я так делал.

Ага, спасибо, попробую!

Ещё раз прошу помощи по тому же вопросу, что в сообщении от 11.01.2010 на 18 странице: http://forum.ru-board.com/topic.cgi?forum=8&topic=0656&start=340#4

Вставили ещё одну внешнюю сетевую карту, симптомы остались те же самые.
Правда, глюков с программкой-авторизатором при использовании новой сетевой карты уже нет.
Вопросы: в чём причина? И что делать?

Garryncha
Попробуй на другом железе потестить. Причём лучше из HCL с сайта чекпоинта проверить железо.

чекпоинт Safe@Office 500... где то затык у меня случился ..может кто сталкивался.. просто банальное VPN подключение .. при покдлючении из локальной сети к серверу по IP 192.168. все работает .. а при подключении к внешнему IP в логах на чекпоинте подключение проходит нормально только не ожиданно выдает клозет vpn Tunnel .. такое ощущение что где то в настройках безопастности е го обрубает просто

Общий привет всем, с наступающим! Народ, никто не подскажет, как решить трабл? Я не очень хорошо знаком с CP.
Есть CP R65, есть внешний IP, который был привязан через автоматические правила NAT к host 1 внутренней сети. Понадобилось разбить этот внешний IP на два хоста во внутренней сети по портам. Прописал правила NAT для каждого хоста (host 1, host 2) вида :
host 1 / any / port A /// внешн. IP / orig / orig
any / внешн.IP / port A /// orig / host 1 / orig

В policy открыл доступ к внешнему IP по необходимым портам.

Сначала всё работает, но через некоторое время пропадает доступ минимум к host 1 (а может и на оба, по закону подлости второй хост всегда оказывается очень занят), помогает только возврат автоматического правила. В чём может быть проблема, может ещё где-то что-то нужно прописать?

Цитата:

чекпоинт Safe@Office 500... где то затык у меня случился ..может кто сталкивался.. просто банальное VPN подключение .. при покдлючении из локальной сети к серверу по IP 192.168. все работает .. а при подключении к внешнему IP в логах на чекпоинте подключение проходит нормально только не ожиданно выдает клозет vpn Tunnel .. такое ощущение что где то в настройках безопастности е го обрубает просто

вопрос решил ) поставил циску

Помогите, пожалуйста, решить проблему.
Есть CheckPoint Safe@Office 500, к которому приходит 2 линии интернета - основная и резервная. К нему подключен Cisco 3700 Series, который раздает через свич инет в сеть. В веб-панели CheckPoint-а на вкладке Active Computers показывает циску, но с сообщением "This device did not acquire a license". Соответственно, интернета в сети нету... Если подключать комп напрямую к CheckPoint-у через лан порты - интернет есть.

В Global Properties снял галочку Accept VPN-1 & Firewall-1 control connections, теперь не могу цепляться к серверу через SmartDashboard. Версия CheckPoint R65
Может кто сталкивался с такой проблемой?

Зайди по ssh и там fw unload local. Потом цепляйся и ставь галочку, перезаливай полиси.

А перезаливай полиси, это надо понимать что все полиси нагнутся?

Нет, надо просто install policy сделать. Ты ж её выгрузишь же.

fw unload local не прокатило.
ругается на local

Мой косяк. Прошу прощения: fw unloadlocal слитно

Да я уже вчера еще написал слитно, всё прокатило.
Огромное СПАСИБО.

Всем доброго!
Есть CheckPoint NGX R65 VPN, 1) не удается корректно настроить железку для работы VPN клиентов, 2) как настроить LDAP для доступа VPN клиентов.

Заранее спасибо!

ld73
По мануалу. Там всё по шагам описано. На каком шаге затык?

Согласен, мануал дело великое, только никак не могу найти толковый мануал, если есть ссылки по вопросу, буду безмерно признателен.
Теперь по сути, о железе еще 10 дней назад мне было мало что известно, эти дни были потрачены на изучение, а точнее на мучения ))).
На текущий момент камнем преткновение стала возможность работы удаленным(мобильным ) клиентам по VPN.
С утра постараюсь скинуть правило(текущее) доступа удаленных клиентов.

А задача такая:
1) Настроить LDAP Active Directory для авторизации vpn клиентов;
2) Собственно само правило для работы этих самых клиентов.

Заранее спасибо!

Продолжение темы, http://zalil.ru/32028307 здесь я постарался описать текущую конфигурацию
CheckPoint'a

Да, забыл добавить, пока CheckPoint находиться в триальном периоде, может ли это влиять на его функциональность?

На сайте полно документации. Всё со скриншотами и подробно описано.
CheckPoint_R65_VPN_AdminGuide.pdf
Configure_LDAP.pdf

В триальном периоде всё работает без ограничений.

dshf21391
Приветствую, делаю как Configure_LDAP.pdf, так вот на стр. 8-10 есть вкладка " Authentication", ее у меня нету, что надо сделать чтобы эта вкладка стала доступной, так же не доступен чекбокс "General"->User Managment, скорей всего дело в нем.

dshf21391, все-таки не удается до конца настроить соединение клиента.
При создание профайла SecureClient, ошибок не возникает и на стороне сервера регистрация(пользователь/пароль через LDAP AD) проходить нормально, а вот само соединение не выполняется, причем на сервере нету и попыток неудачного соединения (((.
Клиент возвращает сообщение типа: Gateway not responding...
В чем может быть ошибка?

Ошибка может быть в том, что трафик не проходит.

dshf21391, проблема была связана с тем что на checkpoint'e на внешнем сетевом интерфейсе был указан не внешний адрес, соответственно клиент получал настройки с сервера где IP не глобальный, манипуляция с конфигом клиента позволила выполнить удаленное соединение.
Но дальнейшие игры checkpoint'ом привели к тому что на данный момент я заблокировал доступ на внутренний интерфейс, отсюда вопрос существует ли возможность сбросить текущую политику, через консоль?

Выполнить команду fw unloadlocal.

Все конечно знают, как но все же fw unloadlocal

dshf21391, спасибо!


Добавлено:
dshf21391, извини что все обращения к тебе, но спросить более некого.
И так, VPN есть, тип мобильный клиент(RemoteAccess, IP 10.8.0.1), клиент имеет доступ ресурсам ЛВС, конечно при условии изменения в таблице маршрута хоста в ЛВС.
А вот из ЛВС доставить пакеты до удаленного клиента не удается, честно не понимаю как быть, потому как физически интерфейсов типа PPP|TUN нету.
ЛВС: 192.168.100.0/24
УК: 10.8.0.0/24
Какие будут решения?

Так ты подсетку конкретную выдели под IP клиентов и на неё трафик разреши, который тебе нужен.