Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка CheckPoint

Автор: dshf21391
Дата сообщения: 17.09.2013 15:51
Это жуткий байан. Ни разу не актуально уже.
Автор: snoopik
Дата сообщения: 17.09.2013 16:19
спасибо, не надо

буду дальше искать книгу Check Point NGX R65 Security Administration
Автор: krokha5
Дата сообщения: 19.11.2013 14:32
Уважаемые!
Кто-нибудь сталкивался с проблемой утечки памяти в NGX R65 под винду
все HFA, вплоть до Check_Point_NGX_R65_HFA_70.windows, установлены.
Автор: Yohji
Дата сообщения: 16.03.2014 10:59
А как настроить на checkpoint utm1 edge, что бы по айпишникам трафик шел через впн? Например вот для проверки взял бесплатный superfreevpn.com, пытаюсь создать соединение в VPN/VPN Sites и ничего не получается. Где вообще у него pptp соединение сделать(кроме физ портов), что бы потом маршруты настроить было можно.
Автор: dshf21391
Дата сообщения: 17.03.2014 15:37
Yohji
Он PPTP умеет только через себя пропускать. Сам он его не умеет устанавливать.
Автор: MadBear
Дата сообщения: 17.09.2014 09:32
to Yohji

Цитата:
А как настроить на checkpoint utm1 edge, что бы по айпишникам трафик шел через впн? Например вот для проверки взял бесплатный superfreevpn.com, пытаюсь создать соединение в VPN/VPN Sites и ничего не получается. Где вообще у него pptp соединение сделать(кроме физ портов), что бы потом маршруты настроить было можно.

если ты хочешь один из интерфейсов ежа использовать как PPTP - клиент, это делается легко в настройках интерфейса, также йож может быть настроен и как PPTP сервер но только по протоколу L2TP и с авторизацией на нем-же (нужно сделать юзера перед этим), либо с использованием специального Checkpoint-овского клиента (могу ошибаться но он кажется платный), а вообще все эти настройки достаточно стандартны и подробно описанны в мануале.
если есть конкретный пример - пиши.
Автор: dshf21391
Дата сообщения: 17.09.2014 12:27
"может быть настроен и как PPTP сервер но только по протоколу L2TP"
Отлично сказано! Однозначно в мемориз!
Автор: Chronik17
Дата сообщения: 05.01.2015 08:58
Добрый день!
Всех с наступившим новым годом!

Помогите разобраться..

Стоит программа VPN-1 SecureClient NGX R60. Через нее идет доступ к сайту(компьютеру). Перед новым годом заходить на сайт перестала.

Выдает: Policy is expired (это если в утилиту диагностики зайти)
Попробовал поставить на другой компьютер.
Выдает: http://clip2net.com/s/39Ukoc2

Подскажите нужное направление. На сколько понял нужны политики безопасности...
Автор: kondratius
Дата сообщения: 19.02.2015 15:35
Ребят, подскажите, можно ли одно и 5 Mobile access зарезервировать для одного пользователя? Если да, то как это сделать?
Автор: dshf21391
Дата сообщения: 13.04.2015 10:30
kondratius
Нельзя. Это лицензии на количество одновременных подключений.
Автор: retro
Дата сообщения: 26.06.2015 17:23
dshf21391
Привет! Не сохраняется политика, прямо с первого правила, на свежеустановленном Stand-Alone.

Installation Targets    Version    Policy    Type    Details
CP1    R77.30    Network Security        gen_scoped_prop_ex: Failed to gen define ASM_CIFS_WORM_CATCHER. Aborting
CP1    R77.30    Network Security        cmi_prepare_signature_hash: error - No dynamic_attacks set
CP1    R77.30    Network Security        cmi_read_signature_policy: Error Allocating memory during CMI code generation
CP1    R77.30    Network Security        Failed to generate the rulebase
CP1    R77.30    Network Security        Operation ended with errors.
CP1    R77.30    Network Security        Operation ended with errors.

Причем никаких проблем с Distributed нет. На доступных форумах кроме как reboot, ничего нет...
Знакомо?
Автор: aleksander_2005
Дата сообщения: 06.08.2015 12:37
Привет всем. Есть нюанс в настройки CheckPoint не могу не как добиться соединения одного шлюза с другим в исполнении когда Менеджмент и Шлюз разнесены на разные системы.
Архитиктура

1-CheckPoint FW ( ipsec ) ----интернет ----- -2-ChechpointFW (ipsec) ------ 3-ChechkPoint ( Managment Role )

1) SIC установлен работает корректно.
2) 2-й Чекпоинт и Менеджмент общаются по внутреннему IP 192.168***** у менеджмента внешнего IP нету.
3) Создаю VPN ( Star ) , добавляю шлюзы.

Получаю (

Value:Main Mode Could not retrieve CRL.CN=R77-20 VPN Certificate,O=mgmt-R77-20..myich7 в следствии чего

в логах Value:Main Mode Sent Notification to Peer: invalid certificate


Не как не могу добиться чтоб 1-й шлюз смог проверить CRL на менеджменте который расположен за 2-рым шлюзом. Попытка отключить проверку CRL на менеджменте не чего не дало.

Мож можно как-то через DBedit исправить , или как заставить его видеть CRL. В исполнении Все в одном ( шлюз+менеджмент ) такой проблемы нету. В глобальных настройках функция Accept control conection установлено.

Автор: patsev anton
Дата сообщения: 17.08.2015 10:33
Добрый день!
Подскажите, есть ли эмулятор/виртуальная машина или что-нибудь для тестирования/макетирования Check Point 2200 Next Generation Firewall Appliance?
Заранее спасибо.
Автор: dshf21391
Дата сообщения: 21.08.2015 10:13
aleksander_2005
Менеджмент не будет работать с внешними гейтвеями в такой схеме. Нужен реальный IP.

patsev anton
Нет такого в природе. По функицоналу он ничем от Open Server не отличается. Если тебя быстродействие интересует, то в спецификации вроде как всё указано.
Автор: patsev anton
Дата сообщения: 21.08.2015 10:43
dshf21391
Open Server - не нашел на торрентах. Это случайно не GAiA?
Автор: Hostt
Дата сообщения: 21.08.2015 13:59

Цитата:
patsev anton
Open Server - не нашел на торрентах. Это случайно не GAiA?

Нет, Open Server в данном случае - это скорее аппаратная платформа на базе серверов построенных на открытых стандартах, это в отличие Appliances - проприетарных железок.

Здесь: http://www.checkpoint.com/services/techsupport/hcl/ можешь посмотреть сертифицированные Checkponut сервера, сетевые карты и гипервизоры (SPLAT и GAiA).

А здесь железки:
http://www.checkpoint.com/products-solutions/next-generation-firewalls/enterprise-firewall/check-point-security-appliances-comparison/
Автор: chiv
Дата сообщения: 23.09.2015 17:50
Подскажите пожалуйста куда смотреть для решения следующей задачи

Исходные данные:
Есть два Checkpoint 2200 серии, в кластере. Версия 77.10.
По лицензии - только фаервол и кластер. Т.е никаких VPN и прочего.
Настройки минимально необходимые для Firewall Policy и NAT.
Есть сервер - Windows 2008R2, локальная сеть и прочее.

Задача:
нужно настроить VPN подключение для сервера Windows 2008R2, на внешний сервер (используется VPN IPSec, Preshared key)

Симптомы - при подключении стандартный VPN клиент ругается с ошибкой 789: Попытка L2ТР-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.

Сначала думал, что проблема в сервере, благо в интернете о схожих проблемах написано много. Перепробовал варианты с ключами в реестре - увы, не мой случай.
Грешу все таки на правильность настройки Checkpoint.

Кто сталкивался, помогите идеями или решениями.

Спасибо.



Автор: dshf21391
Дата сообщения: 25.09.2015 12:46
chiv
Странный случай. 2200 идут лицензированные с VPN и подругому вроде как не продаются.
А на Windows Server у вас проблема из-за NAT, т.к. IPsec не допускает модификацию пакета.
Автор: chiv
Дата сообщения: 25.09.2015 20:42
Дополнительная информация по моему вопросу.

1. Нашел в Интернете публичный сервис, который предоставляет услуги VPN доступа (дальше - Server2), с параметрами аналогичными параметрам подключения к необходимому мне внешнему серверу (дальше - Server1). А именно - безопасность - L2TP/IPSec, pre-shared key, шифрование не обязательно, Протоколы - CHAP или СНАРv2. Отличия были только в IP, и значениях Login и Password, что естественно.

На двух тестовых Windows 7, в корпоративной сети за этим Checkpoint'ом, а потом и на Windows Server 2008R2 - все подключилось мгновенно. Начал перебирать параметры и выяснил что Server2 использует CHAPv2, а на Server1 - используется CHAP.


Есть подозрения, что не подключается из-за того, что Server1 сидит за NAT'ом, а Server2 - нет.
И еще возможно из-за использования устаревшего CHAP на Server1, или сопутствующего ему криптоалгоритма.

2. Попутно решил проверить веб-доступ к админке у этого сервиса.
Вход по связке - логин-пароль-сертификат. Потом сталкиваюсь с тем, что Firefox отказывается работать из-за использования уязвимого шифрования. Chrom более лоялен и ругается только при заходе в определенные разделы админки.

dshf21391
Подскажите, может ли Checkpoint в принципе сквозь себя пропустить нужный мне VPN L2TP/IPSec если настроить NAT/Policy, или мне необходимо идти в сторону VPN Site-to-Site на самом Checkpoint?
Спасибо.
Автор: dshf21391
Дата сообщения: 28.09.2015 14:11
В принципе Checkpoint может нормально пропускать IPsec, надо смотреть настройки NAT. Но я бы предпочёл настроить VPN на самом гейтвее.
Автор: chiv
Дата сообщения: 30.09.2015 20:02
dshf21391

Я пошел по пути Site-to-Site. Попутно нашел инструкцию, может кому еще пригодиться - How to set up a Site-to-Site VPN with a 3rd-party remote gateway
Создал у себя CPVPN-gw, создал удаленный RMVPN-gw в группе совместимых устройств.
Создал удаленную сеть (RemoteNet-VPN), и прицепил ее в свойствах (RMVPN-gw) - топология - VPN Domain - указанные вручную.
В своем CPVPN-gw в свойствах - топология - VPN Domain - указанные вручную (LocalNet-VPN)

VPN Status = OK, якобы туннель поднялся.
С той стороны меня увидели.

Но у меня есть условие что бы моя сеть НАТилась под ip=172.5.3.46

Я правильно понимаю, что мне нужно прописать в свойствах своего CPVPN-gw - VPN IPSEC - Link Selection - Statically NATed IP = 172.5.3.46

Или нет?


Автор: dshf21391
Дата сообщения: 01.10.2015 09:27
Не, тебе просто надо создать объекты: свою сеть и этот ип. В правилах NAT создать для сети правило скрывать за этим IP в нужном тебе направлении.
Автор: chiv
Дата сообщения: 01.10.2015 09:47
Правильно ли я понял, что в правилах НАТ для сети нужно переключить в СТАТИК НАТ и ввести этот IP = 172.5.3.46?

Просто при такой настройке у меня на сервере пропадает выход в интернет.
Автор: dshf21391
Дата сообщения: 02.10.2015 10:46
chiv
Не, тебе дестинейшн надо указать не All, а удалённую сеть. Создай объект удалённой сети.
Автор: chiv
Дата сообщения: 08.10.2015 12:23
Вопрос решился.
Возможно кому понадобится мой опыт. Упрощенно опишу так:
----------------------------------------
Дано:
Моя часть инфраструктуры:
1. Кластер из 2-х Checkpoint 2200 серий, он же как бы ядро инфраструктуры, один из его внешних адресов IP=222.22.22.22.
2. Локальная сеть с VLANами:
- 10.10.0.0/16, GW IP=10.10.0.5
- 10.35.25.0/24, GW IP=10.35.25.5
- 10.35.26.0/24, GW IP=10.35.26.5
- 10.35.27.0/24, GW IP=10.35.27.5
- 10.35.28.0/24, GW IP=10.35.28.5
- .............
3. одном из VLAN находиться сервер - SRV1 c IP=10.35.25.20

Чужая часть инфраструктуры:
4. VPN-сервер с внешним IP=111.11.11.11, для установки VPN туннеля. (L2TP/IPSec, Pre-shared key, своими настройками шифрования). Для успешного подключения vы должны представляться как 222.22.22.22. VPN - Site-to-Site
5. Cервер SMPP-Server с внутренним IP=172.25.50.100
6. При установке VPN-туннеля я должен подключаться к сторонней сети с IP=172.25.53.145

---------------------------------------
Поскольку у меня условия подключения согласно пунктам 3, 5, 6, то

1. Создаю для SRV1 c IP=10.35.25.20 в Network Object сеть LAN_10.35.25.x с параметрами 10.35.25.20, mask=255.255.255.255, потом во вкладке NAT ставлю STATIC и IP4= 172.25.53.145

2. Для SMPP-Server в Network Object создаю сеть LAN_SMPP с параметрами 172.25.50.100, mask=255.255.255.255

3. Пользуясь How to set up a Site-to-Site VPN with a 3rd-party remote gateway создаю у себя на кластере VPN-GW1
3.1 Topology => VPN Domain => Manually defined = LAN_10.35.25.x
3.2 Link Selection => Manual Set IP => 222.22.22.22
3.3 VPN Advanced оставляю все по умолчанию.

4. Создаю в Interoperable device VPN-GW2
4.1 General Properties Name = VPN_Server, IP=111.11.11.11
4.2 Topology => VPN Domain => Manually defined = LAN_SMPP
4.3 Link Selection, VPN advanced - все по умолчанию.

5. Вкладка IPSec VPN
5.1 Создаю Meshed Community
5.2 Participating Gateways => Добавляю свой кластер и VPN-GW2
5.3 Encryption => забиваю все настройки из пункта 4.
5.4 Tunnel Management => VPN Tunnel Sharing => One VPN tunnel per each pair of hosts
5.5 Advanced Setting => Shared Secret из пункта 4.
5.6 Дальше все настройки по умолчанию.

6. В Firewall => Policy Создал разрешающее правило для моего комьюнити

7. Install Policy => Применить.

Все заработало. Удаленный сервер отвечает, SMPP работает.

В процессе пользовался следующим:
1. Troubleshooting "No valid SA" error
2. "No valid SA" logs in SmartView Tracker when creating IPsec VPN tunnel with an interoperable device
3. Site-to-Site VPN tunnel fails with various error messages
4. IPsec & IKE
5. VPN between Check Point Security Gateway and Cisco ASA/PIX fails: "No valid SA"
6. Site to Site VPN with double NAT
7. VPN trouble between Checkpoint and Astaro


ЗЫ: огромное спасибо dshf21391 за участие и подсказки.


Автор: Akhmerov88
Дата сообщения: 08.09.2016 14:43
Люди добрые - возникла необходимость в очень старой программе - ssl network extender версии 7.01.0000
Может у кого осталась она ?
а то что-то сколько ищу все найти не получается.
Автор: dshf21391
Дата сообщения: 08.09.2016 17:04
Это не программа. Это через браузер когда SSL VPN подключаешься к чекпоинту, то такой компонент загружается.

Страницы: 1234567891011121314151617

Предыдущая тема: Win2000Pro! Помогите через нее раздать И-нет


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.