dshf21391, сетку выделил, а вот как правильно правило написать не знаю, все что делал результата не дало.
Можешь конкретный пример показать?
Можешь конкретный пример показать?
» Настройка CheckPoint
Из локальной сети на эту подсеть разреши нужный трафик. Смотри в трекере проходит трафик в туннель, или блокируется.
dshf21391, вроде так и сделал, в трекере вообще тишина, хотя на правило установило логирование. Само правило:
dst: УКС
src: ЛВС
VPN: Any Traffic
Service: Any
Action: Accept
Track: Log
Install on: Policy Targets
где ошибка?
dst: УКС
src: ЛВС
VPN: Any Traffic
Service: Any
Action: Accept
Track: Log
Install on: Policy Targets
где ошибка?
Чудеса какие-то ты рассказываешь. Смотри tracert из локалки. Если он проходит через чекпоинт, то чекпоинт будет его логировать. У тебя вообще хоть какой-то трафик логируется?
ЛВС CheckPoint внутренний интерфейс 192.168.100.2 :
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.2 192.168.100.26 20
0.0.0.0 0.0.0.0 192.168.100.8 192.168.131.1 30
10.8.0.0 255.255.255.0 192.168.100.2 192.168.100.26 1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.10.0.0 255.255.255.0 192.168.100.9 1
10.11.0.0 255.255.255.0 192.168.100.8 1
10.9.0.0 255.255.255.0 192.168.100.8 1
10.8.0.0 255.255.255.0 192.168.100.2 1
C:\tracert 10.8.0.1
Трассировка маршрута к 10.8.0.1 с максимальным числом прыжков 30
1 15 ms <1 мс <1 мс 192.168.100.2
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
УКС CheckPoint внешний интерфейс 192.168.1.9:
C:\Documents and Settings\Admin>tracert aibdc1
Трассировка маршрута к aibdc1 [192.168.100.75]
с максимальным числом прыжков 30:
1 14 ms 13 ms 14 ms 192.168.1.9
2 14 ms 12 ms 14 ms aibdc1 [192.168.100.75]
Трассировка завершена.
Как я понимаю не происходит проброса пакетов с внутреннего интерфейса на внешний.
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.2 192.168.100.26 20
0.0.0.0 0.0.0.0 192.168.100.8 192.168.131.1 30
10.8.0.0 255.255.255.0 192.168.100.2 192.168.100.26 1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.10.0.0 255.255.255.0 192.168.100.9 1
10.11.0.0 255.255.255.0 192.168.100.8 1
10.9.0.0 255.255.255.0 192.168.100.8 1
10.8.0.0 255.255.255.0 192.168.100.2 1
C:\tracert 10.8.0.1
Трассировка маршрута к 10.8.0.1 с максимальным числом прыжков 30
1 15 ms <1 мс <1 мс 192.168.100.2
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
УКС CheckPoint внешний интерфейс 192.168.1.9:
C:\Documents and Settings\Admin>tracert aibdc1
Трассировка маршрута к aibdc1 [192.168.100.75]
с максимальным числом прыжков 30:
1 14 ms 13 ms 14 ms 192.168.1.9
2 14 ms 12 ms 14 ms aibdc1 [192.168.100.75]
Трассировка завершена.
Как я понимаю не происходит проброса пакетов с внутреннего интерфейса на внешний.
Если пакет от локального хоста дошёл до чекпоинта, что судя по трейсу так и есть "1 15 ms <1 мс <1 мс 192.168.100.2 ", то в логах обязательно будет об этом запись.
Ещё раз спрашиваю, у тебя хоть какие то пакеты логируются? Если из локалки чекпоинт пинговать, то эти пакеты в трекере видно?
Кстати, а маршруты ты с машины из локальной сети чтоли показал?
Ещё раз спрашиваю, у тебя хоть какие то пакеты логируются? Если из локалки чекпоинт пинговать, то эти пакеты в трекере видно?
Кстати, а маршруты ты с машины из локальной сети чтоли показал?
dshf21391, лог есть но только на VPN, сейчас я включил лог на исходящий трафик
ЛВС.
что я вижу:
Number: 32735
Date: 20Nov2011
Time: 16:34:21
Product: VPN-1 Power/UTM
Interface: Internal
Origin: utm-1
Type: Log
Action: Encrypt
Protocol: icmp
Source: Spec2 (192.168.100.26)
Destination: RemotePCs (10.8.0.1)
Rule: 4
Current Rule Number: 4-New_Policy
Information: service_id: icmp-proto
ICMP: Echo Request
ICMP Type: 8
ICMP Code: 0
Community: RemoteAccess
Encryption Methods: ESP: 3DES + SHA1 + DEFLATE
Encryption Scheme: IKE
NAT additional rule number: 0
NAT rule number: 3
Rule UID: {C18E415E-0E11-43A3-AF4A-1FA3FA67D13E}
SmartDefense Profile: Default_Protection
Subproduct: VPN
VPN Feature: VPN
VPN Peer Gateway: xxx.yyy.zzz.www
XlateSrc: utm-1 (192.168.1.9)
Policy Info: Policy Name: New_Policy
Created at: Sun Nov 20 16:23:13 2011
Installed from: utm-1
Это единственный пакет который я вижу
Добавлено:
Цитата:
с обоих машин.
ЛВС.
что я вижу:
Number: 32735
Date: 20Nov2011
Time: 16:34:21
Product: VPN-1 Power/UTM
Interface: Internal
Origin: utm-1
Type: Log
Action: Encrypt
Protocol: icmp
Source: Spec2 (192.168.100.26)
Destination: RemotePCs (10.8.0.1)
Rule: 4
Current Rule Number: 4-New_Policy
Information: service_id: icmp-proto
ICMP: Echo Request
ICMP Type: 8
ICMP Code: 0
Community: RemoteAccess
Encryption Methods: ESP: 3DES + SHA1 + DEFLATE
Encryption Scheme: IKE
NAT additional rule number: 0
NAT rule number: 3
Rule UID: {C18E415E-0E11-43A3-AF4A-1FA3FA67D13E}
SmartDefense Profile: Default_Protection
Subproduct: VPN
VPN Feature: VPN
VPN Peer Gateway: xxx.yyy.zzz.www
XlateSrc: utm-1 (192.168.1.9)
Policy Info: Policy Name: New_Policy
Created at: Sun Nov 20 16:23:13 2011
Installed from: utm-1
Это единственный пакет который я вижу
Добавлено:
Цитата:
Кстати, а маршруты ты с машины из локальной сети чтоли показал?
с обоих машин.
Что значит с обоих, когда таблица роутинга одна? И она с машины из локальной сети, судя по всему.
Ну так пакет ушёл на клиента, всё ок. А то, что клиент не ответил, так там и фаервол может быть включён, например. Да мало ли что ещё.
Ну так пакет ушёл на клиента, всё ок. А то, что клиент не ответил, так там и фаервол может быть включён, например. Да мало ли что ещё.
dshf21391, да сорри почему то думал что обе таблицы дал.
Лог на стороне клиента, содержит сообщения о том что все пакеты идущие из ЛВС были отклонены, потому как не прошли шифрование (((.
Лог на стороне клиента, содержит сообщения о том что все пакеты идущие из ЛВС были отклонены, потому как не прошли шифрование (((.
А vpn-клиент у тебя какой?
Цитата:
А vpn-клиент у тебя какой?
VPN-1 SecureClient NGX R60 HFA03(Build 011)
Старенький клиент, но у него, кстати, есть встроенный фаервол. Настраивай в чекпоинте Desktop Security, или как там она называется не помню. Добавь правило туда разрешить всё и везде.
Камрады!
VPN-1 SecureClient NGX R60 HFA1
Установлен на remote laptop.
OS - Windows XP SP3
Соединялся и подключался к компу, установленному на работе без проблем до перестановки винды.
Сейчас, при поднятии системы получаю вот такое сообщение:
"Your computer uses networking protocols other than TCP/IP. You must remove all non TCP/IP protocols in order to use Secureclient"
Как решить данную проблему?
VPN-1 SecureClient NGX R60 HFA1
Установлен на remote laptop.
OS - Windows XP SP3
Соединялся и подключался к компу, установленному на работе без проблем до перестановки винды.
Сейчас, при поднятии системы получаю вот такое сообщение:
"Your computer uses networking protocols other than TCP/IP. You must remove all non TCP/IP protocols in order to use Secureclient"
Как решить данную проблему?
Для начала указать на какую ОС ты ставишь клиента.
Привет всем,
С чекпоинтом ранее не сталкивался, как бы сильно то не ругайте если что
сейчас есть необходимость близко познакомиться.
В работе nokia с IPSO с кластеризацией, для лучшего освоения хотелось бы с эмулировать данную ситуацию например виртуалке какой-нибудь, если таковое возможно. Кто-нибудь из гуру может что посоветовать?
Как вообще реализована кластеризация, средствами IPSO или checkpoint, т.е. если к примеру если поднять 2 чекпоинта под виндой (на виртуалке), это будет сильно отличаться в настройке от Nokia?
С чекпоинтом ранее не сталкивался, как бы сильно то не ругайте если что
сейчас есть необходимость близко познакомиться. В работе nokia с IPSO с кластеризацией, для лучшего освоения хотелось бы с эмулировать данную ситуацию например виртуалке какой-нибудь, если таковое возможно. Кто-нибудь из гуру может что посоветовать?
Как вообще реализована кластеризация, средствами IPSO или checkpoint, т.е. если к примеру если поднять 2 чекпоинта под виндой (на виртуалке), это будет сильно отличаться в настройке от Nokia?
Практически не будет отличаться.
Спасибо dshf21391
Чесно говоря я не очень понял где на форуме спрятяны лики для R70 если не трудно ткните плиз носом...
И еще просьба, ни у кого случайно не сохранились книги или руководства по данному продукту а то все найденые линки давно умерли, заранее спасибо.
Чесно говоря я не очень понял где на форуме спрятяны лики для R70 если не трудно ткните плиз носом...
И еще просьба, ни у кого случайно не сохранились книги или руководства по данному продукту а то все найденые линки давно умерли, заранее спасибо.
Лицензии тут http://forum.ru-board.com/topic.cgi?forum=35&topic=0330&start=920#18
Можно ещё по той ветке полазить, там были ссылки на аналогичные лицензии. Работают максимум до R72, вроде как. По крайней мере на последних версиях уже не катят, т.к. версии лицензий NGX не поддерживаются. Вся документация есть на официальном сайте.
Можно ещё по той ветке полазить, там были ссылки на аналогичные лицензии. Работают максимум до R72, вроде как. По крайней мере на последних версиях уже не катят, т.к. версии лицензий NGX не поддерживаются. Вся документация есть на официальном сайте.
Еще вопрос, надеюсь не надоел
На 2-х серваках под WIN2003 Запущен кластер CheckPoint-ов топология следующая:
FW1(192.168.2.101/24)-FW2(192.168.2.102/24)-NetworkType(1 Sync)
Пытался поднять виндовый NLB кластер с ip 192.168.2.111/24 на тех же интерфейсах, не хочет, не видят они друг друга, если же остановить CheckPoints, то NLB поднимается, делаю вывод, что трафик блокирует checkpoint, хотя в правилах м/у фаерволами accept.
Для уточнения, хочу поднять кластер с избыточностью, чтобы при падении одного из чекпоинтов клиенты этого не заметили и просто рулились через резервный.
На 2-х серваках под WIN2003 Запущен кластер CheckPoint-ов топология следующая:
FW1(192.168.2.101/24)-FW2(192.168.2.102/24)-NetworkType(1 Sync)
Пытался поднять виндовый NLB кластер с ip 192.168.2.111/24 на тех же интерфейсах, не хочет, не видят они друг друга, если же остановить CheckPoints, то NLB поднимается, делаю вывод, что трафик блокирует checkpoint, хотя в правилах м/у фаерволами accept.
Для уточнения, хочу поднять кластер с избыточностью, чтобы при падении одного из чекпоинтов клиенты этого не заметили и просто рулились через резервный.
По поводу лицензии - можно зарегистрироваться на www.checkpoint.com, зайти под своим аккаунтом, попросить триальную версию, после чего в лицензионном центре в продуктах появится продукт, которому в акшинсах можно получить триальную лицензию на 30 дней. В триальной версии открыто практически всё, и никто не мешает делать это каждые 30 дней.
Есть железка checkpoint utm-1 1070 на ней софт NGX R65 HFA 50 019 надо задействовать NAT на ней. Сделал по мануалу с сайта checkpoint.com. Вроде бы нат работает, но не совсем. Не работает icmp и traceroute, да и на SSL сайты не заходит (хотя в правилах ната указано что service all) в общем только по http работает nat. Где я накололся? Может обновить до R75 чекпоинт? Есть ли мануалы по чистой установке на железку utm-1 1070 софта R75?
Все мануалы на сайте чекпоинта. Очень странная ситуация, но в любом случае надо смотреть логи в трекере.
Может кто сталкивался и ответит.
Установлен CP NGX R65 в основном офисе. На одной и той же машинке установлен и SmartCenter Server и Enforcement Module. Хот фиксы все установлены вплоть до последнего актуального для данной версии (HFA 007).
В филиале установлен только Enforcement Module.
Всё ето дло установлено под Windows 2003 R2 Server в основном офисе и Windows 2000 Server в филиале.
Построен VPN канал между офисами, естественно средствами CP.
Ето то, что имеетсо.
Теперь сама проблема.
В связи с отсутствием по личным причинам с апреля 2001 года по январь 2012 и невозможностью заниматься техсаппортом данного софта в это время, база SmartDefence не обновлялась (я обновляю её сам вручную, больше этим никто там не занимается).
Однако всё прилично работало.
Теперь значит выхожу я на работу, обновляю SmartDefence за всё ето время и... после того, как заливаю политики(они не менялись, обновилась тока база SmartDefence) на оба Enforcement Module начинают отваливаться зашаренные папки т.е. из сети филиала, например "шары" видны, но при попытке обратиться к ним - глухо, как рыба об лёд
При том, что пинги, например из подсети в подсеть ходят нормально. В логах смотрел SmartView Tracker'а - все глаза проглядел - ничё не дропится и не режектится...
Беру откатываюсь из образа к исходному состоянию (до обновления SmartDefence) - всё отлично.
В чём могет быть трабл и где копать?
Установлен CP NGX R65 в основном офисе. На одной и той же машинке установлен и SmartCenter Server и Enforcement Module. Хот фиксы все установлены вплоть до последнего актуального для данной версии (HFA 007).
В филиале установлен только Enforcement Module.
Всё ето дло установлено под Windows 2003 R2 Server в основном офисе и Windows 2000 Server в филиале.
Построен VPN канал между офисами, естественно средствами CP.
Ето то, что имеетсо.
Теперь сама проблема.
В связи с отсутствием по личным причинам с апреля 2001 года по январь 2012 и невозможностью заниматься техсаппортом данного софта в это время, база SmartDefence не обновлялась (я обновляю её сам вручную, больше этим никто там не занимается).
Однако всё прилично работало.
Теперь значит выхожу я на работу, обновляю SmartDefence за всё ето время и... после того, как заливаю политики(они не менялись, обновилась тока база SmartDefence) на оба Enforcement Module начинают отваливаться зашаренные папки т.е. из сети филиала, например "шары" видны, но при попытке обратиться к ним - глухо, как рыба об лёд
При том, что пинги, например из подсети в подсеть ходят нормально. В логах смотрел SmartView Tracker'а - все глаза проглядел - ничё не дропится и не режектится...
Беру откатываюсь из образа к исходному состоянию (до обновления SmartDefence) - всё отлично.
В чём могет быть трабл и где копать?
Копать в смарт-дефенсе. И зачем обновлять то, что и так работает?
Есть CheckPoint Safeoffice 500, не могу настроить NAT, кто-нить покажите пример, как из внутренней сетки транслировать сервак на внешний ip ?
такие поля имеются:
Original Packet | Translated Packet | Name
Source Destination Service | Source Destination Service |
такие поля имеются:
Original Packet | Translated Packet | Name
Source Destination Service | Source Destination Service |
дайте плииз ссылку на установочный CheckPoint сервер и клиент
для windows server 2008
Добавлено:
нашел, http://isp-team.012.net.il/check-point/
для windows server 2008
Добавлено:
нашел, http://isp-team.012.net.il/check-point/
Коллеги, помогите разобраться с чекпоинтами, опыта работы с данным продуктом нет, только с cisco.
Задача: настроить кластер из 2 железяк Checkpoint UTM-1 570 (с работающими модулями антивируса, антиспама, IPS..)
Что сделано:
1. железяки обновлены до одинаковых свежих прошивок, лицензированы
2. собраны по схеме из мануала
3. создан кластер (т.е. каждая железяка считает себя членом кластера)
4. каждый член кластера пингует гугл 8,8,8,8
что не работает:
1. нет синхронизации между членами кластера
2. запросы клиента не проходят через кластер
3. При попытке в командной стоке посмотреть статус кластера выдается сообщение: HA module not started.
подскажите, чего упустил?
Задача: настроить кластер из 2 железяк Checkpoint UTM-1 570 (с работающими модулями антивируса, антиспама, IPS..)
Что сделано:
1. железяки обновлены до одинаковых свежих прошивок, лицензированы
2. собраны по схеме из мануала
3. создан кластер (т.е. каждая железяка считает себя членом кластера)
4. каждый член кластера пингует гугл 8,8,8,8
что не работает:
1. нет синхронизации между членами кластера
2. запросы клиента не проходят через кластер
3. При попытке в командной стоке посмотреть статус кластера выдается сообщение: HA module not started.
подскажите, чего упустил?
Так то и упустил, что HA module not started.
в cpconfig включил Check Point SecureXL
пишет следующее: SecureXL will be started after a policy is loaded.
какую политику он имеет ввиду? как ее загрузить?
пишет следующее: SecureXL will be started after a policy is loaded.
какую политику он имеет ввиду? как ее загрузить?
А там помоему ClusterXL надо запускать, а не SecureXL. Разве нет?
Страницы: 1234567891011121314151617
Предыдущая тема: Win2000Pro! Помогите через нее раздать И-нет
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.