» Настройка CheckPoint

ClusterXL установлена галочка в настройках кластера в SmartDashboard

а командной строке вот так:

[Expert@CheckPoint-1]# cpconfig
This program will let you re-configure
your Check Point products configuration.


Configuration Options:
----------------------
(1) Licenses and contracts
(2) Administrator
(3) GUI Clients
(4) SNMP Extension
(5) PKCS#11 Token
(6) Random Pool
(7) Certificate Authority
(8) Certificate's Fingerprint
(9) Disable Check Point SecureXL
(10) Automatic start of Check Point Products

(11) Exit

Enter your choice (1-11) :

А версия какая?

This is Check Point SecurePlatform R75.40 Build 069

также не получается через один ходить, без кластера, нат включен, на пинги тоже не отвечает..

доктор, больной жить будет?)

sdm07
А у тебя SPLAT или Gaia?
Там на SPLAT должно быть Enable cluster membership for this gateway в cpconfig.

Добавлено:
https://www.cpug.org/forums/installing-upgrading/9786-how-do-i-start-my-ha-module.html

У меня SPLAT


Цитата:

Там на SPLAT должно быть Enable cluster membership for this gateway в cpconfig.

похоже что в 75ой версии немного по другому

Рекомендация с стороннего форума:
Run cpconfig, enable ClusterXL, reboot, install policy.

Помогите разобраться с последним: "install policy"
о какой политике идет речь? где ее взять? как создать? где это описывается в мануалах?

пробовал создать правило в файерволе всем все разрешено, не помогло.

Ну так правило создал и применяй эту полиси. Насчёт enable ClusterXL - ты его включил? Ещё раз повторяю, это не то же самое, что SecureXL.

Цитата:

Ну так правило создал и применяй эту полиси

вопрос наверное не самый сложный, как?


Цитата:

Насчёт enable ClusterXL - ты его включил? Ещё раз повторяю, это не то же самое, что SecureXL

как проверить включен ли ClusterXL ?

cphastart
проверить cphaprob stat

[Expert@CheckPoint-1]# cphaprob stat

HA module not started.

[Expert@CheckPoint-1]# cphastart
Note: This machine is not defined as a part of any Cluster.
It is possible that the IP of this machine as it appears in your hosts
file differs from the general IP of this machine in the Management server.
Alternatively, Check your Cluster configuration in the Management server.
If this machine is no longer part of a Cluster, please disable Check Point ClusterXL
or State Synchronization on it.
[Expert@CheckPoint-1]#

спасибо за помощь, но данный ресурс не помог..

может есть какой то перечень обязательных условий необходимых для старта HA модуля?

А в документации не написано?

Помогите настроить VPN на CP248 V75.4
Делаю следующее:
- добавляю шлюз в Remote Access
- делаю support L2TP
- включаю OfficeMode для группы VPN, в которой находится пользователь VPN.
всё остальное по-умолчанию

Пробую подключиться L2TP клиентом с другого маршрутизатора, тишина, даже в логах ничего нету.
Что-то я не донастроил, а что, не пойму..
буду рад помощи!

sergartemyev
Включи в глобальных настройках опцию Log implied rules. И смотри что в правилах у тебя везде log стоит.

ага, с этим разобрался.
с виндового компьютера подключился.
Теперь проблема заставить подключаться MikroTik.
Может у кого-то был опыт подключения Mikrotik и Chekpoint?
Дело в том, что в нём настраивается отдельно IPSEC туннель и L2TP клиент, и настроек куча, форумы по железякам смотрел, пока ничего не нашёл.

Настраивай чистый IPsec с него. Без L2TP.

Тогда на чекпоинте настраивать MyIntranet, а из RemoteAccess убрать?

Загадками изъясняться изволите?
Делай комьюнити новое и настраивай, как в мануале написано.

Ну это два комьюнити по умолчанию в 75.40.
Т.е. настраивать на чекпоинте Meshed community вместо Star?

Создавай такую, которая тебе нужна. Если тебя стар не устраивает, то создавай смешенную. Но, насколько я знаю, в случае VPN с другими девайсами на чекпоинте лучше использовать звезду.

Добрый день. Может кто-то сможет подсказать. Есть внутренняя сеть закрытаю шлюзом Chekpoint R57. И есть необходимость из внутренней сети клиенту подключиться к удалённой vpn-сети используя checkpoint secureclient. В логах вроде пакет IKE проходит для авторизации, но дальше глухо... клиент прекращает работу по таймауту.
Подскажите какие настройки могут влиять на такое соединения на моём фаейрволе?

Помимо IKE, надо ещё IPsec разрешать.

Цитата:

Помимо IKE, надо ещё IPsec разрешать.

В целях эксперемента, я разрешил весь исходящий трафик от данного хоста во внешнуюю сеть. Блокированных соединений в логах не появлялось, только успешные соединения IKE. Вот поэтому у меня и возникают мысли о возможной где-то включенной/выключеной настройке которая блокирует или перенапрявляет vpn трафик от клиентов из внутренней сети. Быстрый поиск по настройкам ничего, к сожалению, не дал.

Я что то не понял? Клиенты снаружи, или внутри? Если внутри, то куда они подключаются?

Где через консоль , прописать параметры сетки ... а то я щас на VMware ESX тринируюсь постояно сетка слитает. После перезапуска интерфейсы есть а IP нету

В sysconfig.

Помогите разобраться с настройка CP необходимо настроить перенаправление http запросов на фаерволе с интерфейса eth7 (сеть x.x.x.x/24) на ip-адрес x.x.x.x

Надо создать сервис http_mapped и использовать его в правилах.

Уважаемый dshf21391! А можно поподробней, если есть возможность то скриншоты выложить?

Добавлено:
dshf21391 с http разобрался спасибо! может Вы поможете еще с одним вопросом, практически тоже самое только необходимо перенаправить все запросы с eth7 (сеть x.x.x.x/24) на сервер y.y.y.y?

Только создавать разные mapped сервисы. Но работать всё точно не будет. Только некоторые сервисы.