Это жуткий байан. Ни разу не актуально уже.
» Настройка CheckPoint
спасибо, не надо
буду дальше искать книгу Check Point NGX R65 Security Administration
буду дальше искать книгу Check Point NGX R65 Security Administration
Уважаемые!
Кто-нибудь сталкивался с проблемой утечки памяти в NGX R65 под винду
все HFA, вплоть до Check_Point_NGX_R65_HFA_70.windows, установлены.
Кто-нибудь сталкивался с проблемой утечки памяти в NGX R65 под винду
все HFA, вплоть до Check_Point_NGX_R65_HFA_70.windows, установлены.
А как настроить на checkpoint utm1 edge, что бы по айпишникам трафик шел через впн? Например вот для проверки взял бесплатный superfreevpn.com, пытаюсь создать соединение в VPN/VPN Sites и ничего не получается. Где вообще у него pptp соединение сделать(кроме физ портов), что бы потом маршруты настроить было можно.
Yohji
Он PPTP умеет только через себя пропускать. Сам он его не умеет устанавливать.
Он PPTP умеет только через себя пропускать. Сам он его не умеет устанавливать.
to Yohji
Цитата:
если ты хочешь один из интерфейсов ежа использовать как PPTP - клиент, это делается легко в настройках интерфейса, также йож может быть настроен и как PPTP сервер но только по протоколу L2TP и с авторизацией на нем-же (нужно сделать юзера перед этим), либо с использованием специального Checkpoint-овского клиента (могу ошибаться но он кажется платный), а вообще все эти настройки достаточно стандартны и подробно описанны в мануале.
если есть конкретный пример - пиши.
Цитата:
А как настроить на checkpoint utm1 edge, что бы по айпишникам трафик шел через впн? Например вот для проверки взял бесплатный superfreevpn.com, пытаюсь создать соединение в VPN/VPN Sites и ничего не получается. Где вообще у него pptp соединение сделать(кроме физ портов), что бы потом маршруты настроить было можно.
если ты хочешь один из интерфейсов ежа использовать как PPTP - клиент, это делается легко в настройках интерфейса, также йож может быть настроен и как PPTP сервер но только по протоколу L2TP и с авторизацией на нем-же (нужно сделать юзера перед этим), либо с использованием специального Checkpoint-овского клиента (могу ошибаться но он кажется платный), а вообще все эти настройки достаточно стандартны и подробно описанны в мануале.
если есть конкретный пример - пиши.
"может быть настроен и как PPTP сервер но только по протоколу L2TP"
Отлично сказано! Однозначно в мемориз!
Отлично сказано! Однозначно в мемориз!
Добрый день!
Всех с наступившим новым годом!
Помогите разобраться..
Стоит программа VPN-1 SecureClient NGX R60. Через нее идет доступ к сайту(компьютеру). Перед новым годом заходить на сайт перестала.
Выдает: Policy is expired (это если в утилиту диагностики зайти)
Попробовал поставить на другой компьютер.
Выдает: http://clip2net.com/s/39Ukoc2
Подскажите нужное направление. На сколько понял нужны политики безопасности...
Всех с наступившим новым годом!
Помогите разобраться..
Стоит программа VPN-1 SecureClient NGX R60. Через нее идет доступ к сайту(компьютеру). Перед новым годом заходить на сайт перестала.
Выдает: Policy is expired (это если в утилиту диагностики зайти)
Попробовал поставить на другой компьютер.
Выдает: http://clip2net.com/s/39Ukoc2
Подскажите нужное направление. На сколько понял нужны политики безопасности...
Ребят, подскажите, можно ли одно и 5 Mobile access зарезервировать для одного пользователя? Если да, то как это сделать?
kondratius
Нельзя. Это лицензии на количество одновременных подключений.
Нельзя. Это лицензии на количество одновременных подключений.
dshf21391
Привет! Не сохраняется политика, прямо с первого правила, на свежеустановленном Stand-Alone.
Installation Targets Version Policy Type Details
CP1 R77.30 Network Security gen_scoped_prop_ex: Failed to gen define ASM_CIFS_WORM_CATCHER. Aborting
CP1 R77.30 Network Security cmi_prepare_signature_hash: error - No dynamic_attacks set
CP1 R77.30 Network Security cmi_read_signature_policy: Error Allocating memory during CMI code generation
CP1 R77.30 Network Security Failed to generate the rulebase
CP1 R77.30 Network Security Operation ended with errors.
CP1 R77.30 Network Security Operation ended with errors.
Причем никаких проблем с Distributed нет. На доступных форумах кроме как reboot, ничего нет...
Знакомо?
Привет! Не сохраняется политика, прямо с первого правила, на свежеустановленном Stand-Alone.
Installation Targets Version Policy Type Details
CP1 R77.30 Network Security gen_scoped_prop_ex: Failed to gen define ASM_CIFS_WORM_CATCHER. Aborting
CP1 R77.30 Network Security cmi_prepare_signature_hash: error - No dynamic_attacks set
CP1 R77.30 Network Security cmi_read_signature_policy: Error Allocating memory during CMI code generation
CP1 R77.30 Network Security Failed to generate the rulebase
CP1 R77.30 Network Security Operation ended with errors.
CP1 R77.30 Network Security Operation ended with errors.
Причем никаких проблем с Distributed нет. На доступных форумах кроме как reboot, ничего нет...
Знакомо?
Привет всем. Есть нюанс в настройки CheckPoint не могу не как добиться соединения одного шлюза с другим в исполнении когда Менеджмент и Шлюз разнесены на разные системы.
Архитиктура
1-CheckPoint FW ( ipsec ) ----интернет ----- -2-ChechpointFW (ipsec) ------ 3-ChechkPoint ( Managment Role )
1) SIC установлен работает корректно.
2) 2-й Чекпоинт и Менеджмент общаются по внутреннему IP 192.168***** у менеджмента внешнего IP нету.
3) Создаю VPN ( Star ) , добавляю шлюзы.
Получаю
(
Value:Main Mode Could not retrieve CRL.CN=R77-20 VPN Certificate,O=mgmt-R77-20..myich7 в следствии чего
в логах Value:Main Mode Sent Notification to Peer: invalid certificate
Не как не могу добиться чтоб 1-й шлюз смог проверить CRL на менеджменте который расположен за 2-рым шлюзом. Попытка отключить проверку CRL на менеджменте не чего не дало.
Мож можно как-то через DBedit исправить , или как заставить его видеть CRL. В исполнении Все в одном ( шлюз+менеджмент ) такой проблемы нету. В глобальных настройках функция Accept control conection установлено.
Архитиктура
1-CheckPoint FW ( ipsec ) ----интернет ----- -2-ChechpointFW (ipsec) ------ 3-ChechkPoint ( Managment Role )
1) SIC установлен работает корректно.
2) 2-й Чекпоинт и Менеджмент общаются по внутреннему IP 192.168***** у менеджмента внешнего IP нету.
3) Создаю VPN ( Star ) , добавляю шлюзы.
Получаю
( Value:Main Mode Could not retrieve CRL.CN=R77-20 VPN Certificate,O=mgmt-R77-20..myich7 в следствии чего
в логах Value:Main Mode Sent Notification to Peer: invalid certificate
Не как не могу добиться чтоб 1-й шлюз смог проверить CRL на менеджменте который расположен за 2-рым шлюзом. Попытка отключить проверку CRL на менеджменте не чего не дало.
Мож можно как-то через DBedit исправить , или как заставить его видеть CRL. В исполнении Все в одном ( шлюз+менеджмент ) такой проблемы нету. В глобальных настройках функция Accept control conection установлено.
Добрый день!
Подскажите, есть ли эмулятор/виртуальная машина или что-нибудь для тестирования/макетирования Check Point 2200 Next Generation Firewall Appliance?
Заранее спасибо.
Подскажите, есть ли эмулятор/виртуальная машина или что-нибудь для тестирования/макетирования Check Point 2200 Next Generation Firewall Appliance?
Заранее спасибо.
aleksander_2005
Менеджмент не будет работать с внешними гейтвеями в такой схеме. Нужен реальный IP.
patsev anton
Нет такого в природе. По функицоналу он ничем от Open Server не отличается. Если тебя быстродействие интересует, то в спецификации вроде как всё указано.
Менеджмент не будет работать с внешними гейтвеями в такой схеме. Нужен реальный IP.
patsev anton
Нет такого в природе. По функицоналу он ничем от Open Server не отличается. Если тебя быстродействие интересует, то в спецификации вроде как всё указано.
dshf21391
Open Server - не нашел на торрентах. Это случайно не GAiA?
Open Server - не нашел на торрентах. Это случайно не GAiA?
Цитата:
patsev anton
Open Server - не нашел на торрентах. Это случайно не GAiA?
Нет, Open Server в данном случае - это скорее аппаратная платформа на базе серверов построенных на открытых стандартах, это в отличие Appliances - проприетарных железок.
Здесь: http://www.checkpoint.com/services/techsupport/hcl/ можешь посмотреть сертифицированные Checkponut сервера, сетевые карты и гипервизоры (SPLAT и GAiA).
А здесь железки:
http://www.checkpoint.com/products-solutions/next-generation-firewalls/enterprise-firewall/check-point-security-appliances-comparison/
Подскажите пожалуйста куда смотреть для решения следующей задачи
Исходные данные:
Есть два Checkpoint 2200 серии, в кластере. Версия 77.10.
По лицензии - только фаервол и кластер. Т.е никаких VPN и прочего.
Настройки минимально необходимые для Firewall Policy и NAT.
Есть сервер - Windows 2008R2, локальная сеть и прочее.
Задача:
нужно настроить VPN подключение для сервера Windows 2008R2, на внешний сервер (используется VPN IPSec, Preshared key)
Симптомы - при подключении стандартный VPN клиент ругается с ошибкой 789: Попытка L2ТР-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
Сначала думал, что проблема в сервере, благо в интернете о схожих проблемах написано много. Перепробовал варианты с ключами в реестре - увы, не мой случай.
Грешу все таки на правильность настройки Checkpoint.
Кто сталкивался, помогите идеями или решениями.
Спасибо.
Исходные данные:
Есть два Checkpoint 2200 серии, в кластере. Версия 77.10.
По лицензии - только фаервол и кластер. Т.е никаких VPN и прочего.
Настройки минимально необходимые для Firewall Policy и NAT.
Есть сервер - Windows 2008R2, локальная сеть и прочее.
Задача:
нужно настроить VPN подключение для сервера Windows 2008R2, на внешний сервер (используется VPN IPSec, Preshared key)
Симптомы - при подключении стандартный VPN клиент ругается с ошибкой 789: Попытка L2ТР-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
Сначала думал, что проблема в сервере, благо в интернете о схожих проблемах написано много. Перепробовал варианты с ключами в реестре - увы, не мой случай.
Грешу все таки на правильность настройки Checkpoint.
Кто сталкивался, помогите идеями или решениями.
Спасибо.
chiv
Странный случай. 2200 идут лицензированные с VPN и подругому вроде как не продаются.
А на Windows Server у вас проблема из-за NAT, т.к. IPsec не допускает модификацию пакета.
Странный случай. 2200 идут лицензированные с VPN и подругому вроде как не продаются.
А на Windows Server у вас проблема из-за NAT, т.к. IPsec не допускает модификацию пакета.
Дополнительная информация по моему вопросу.
1. Нашел в Интернете публичный сервис, который предоставляет услуги VPN доступа (дальше - Server2), с параметрами аналогичными параметрам подключения к необходимому мне внешнему серверу (дальше - Server1). А именно - безопасность - L2TP/IPSec, pre-shared key, шифрование не обязательно, Протоколы - CHAP или СНАРv2. Отличия были только в IP, и значениях Login и Password, что естественно.
На двух тестовых Windows 7, в корпоративной сети за этим Checkpoint'ом, а потом и на Windows Server 2008R2 - все подключилось мгновенно. Начал перебирать параметры и выяснил что Server2 использует CHAPv2, а на Server1 - используется CHAP.
Есть подозрения, что не подключается из-за того, что Server1 сидит за NAT'ом, а Server2 - нет.
И еще возможно из-за использования устаревшего CHAP на Server1, или сопутствующего ему криптоалгоритма.
2. Попутно решил проверить веб-доступ к админке у этого сервиса.
Вход по связке - логин-пароль-сертификат. Потом сталкиваюсь с тем, что Firefox отказывается работать из-за использования уязвимого шифрования. Chrom более лоялен и ругается только при заходе в определенные разделы админки.
dshf21391
Подскажите, может ли Checkpoint в принципе сквозь себя пропустить нужный мне VPN L2TP/IPSec если настроить NAT/Policy, или мне необходимо идти в сторону VPN Site-to-Site на самом Checkpoint?
Спасибо.
1. Нашел в Интернете публичный сервис, который предоставляет услуги VPN доступа (дальше - Server2), с параметрами аналогичными параметрам подключения к необходимому мне внешнему серверу (дальше - Server1). А именно - безопасность - L2TP/IPSec, pre-shared key, шифрование не обязательно, Протоколы - CHAP или СНАРv2. Отличия были только в IP, и значениях Login и Password, что естественно.
На двух тестовых Windows 7, в корпоративной сети за этим Checkpoint'ом, а потом и на Windows Server 2008R2 - все подключилось мгновенно. Начал перебирать параметры и выяснил что Server2 использует CHAPv2, а на Server1 - используется CHAP.
Есть подозрения, что не подключается из-за того, что Server1 сидит за NAT'ом, а Server2 - нет.
И еще возможно из-за использования устаревшего CHAP на Server1, или сопутствующего ему криптоалгоритма.
2. Попутно решил проверить веб-доступ к админке у этого сервиса.
Вход по связке - логин-пароль-сертификат. Потом сталкиваюсь с тем, что Firefox отказывается работать из-за использования уязвимого шифрования. Chrom более лоялен и ругается только при заходе в определенные разделы админки.
dshf21391
Подскажите, может ли Checkpoint в принципе сквозь себя пропустить нужный мне VPN L2TP/IPSec если настроить NAT/Policy, или мне необходимо идти в сторону VPN Site-to-Site на самом Checkpoint?
Спасибо.
В принципе Checkpoint может нормально пропускать IPsec, надо смотреть настройки NAT. Но я бы предпочёл настроить VPN на самом гейтвее.
dshf21391
Я пошел по пути Site-to-Site. Попутно нашел инструкцию, может кому еще пригодиться - How to set up a Site-to-Site VPN with a 3rd-party remote gateway
Создал у себя CPVPN-gw, создал удаленный RMVPN-gw в группе совместимых устройств.
Создал удаленную сеть (RemoteNet-VPN), и прицепил ее в свойствах (RMVPN-gw) - топология - VPN Domain - указанные вручную.
В своем CPVPN-gw в свойствах - топология - VPN Domain - указанные вручную (LocalNet-VPN)
VPN Status = OK, якобы туннель поднялся.
С той стороны меня увидели.
Но у меня есть условие что бы моя сеть НАТилась под ip=172.5.3.46
Я правильно понимаю, что мне нужно прописать в свойствах своего CPVPN-gw - VPN IPSEC - Link Selection - Statically NATed IP = 172.5.3.46
Или нет?
Я пошел по пути Site-to-Site. Попутно нашел инструкцию, может кому еще пригодиться - How to set up a Site-to-Site VPN with a 3rd-party remote gateway
Создал у себя CPVPN-gw, создал удаленный RMVPN-gw в группе совместимых устройств.
Создал удаленную сеть (RemoteNet-VPN), и прицепил ее в свойствах (RMVPN-gw) - топология - VPN Domain - указанные вручную.
В своем CPVPN-gw в свойствах - топология - VPN Domain - указанные вручную (LocalNet-VPN)
VPN Status = OK, якобы туннель поднялся.
С той стороны меня увидели.
Но у меня есть условие что бы моя сеть НАТилась под ip=172.5.3.46
Я правильно понимаю, что мне нужно прописать в свойствах своего CPVPN-gw - VPN IPSEC - Link Selection - Statically NATed IP = 172.5.3.46
Или нет?
Не, тебе просто надо создать объекты: свою сеть и этот ип. В правилах NAT создать для сети правило скрывать за этим IP в нужном тебе направлении.
Правильно ли я понял, что в правилах НАТ для сети нужно переключить в СТАТИК НАТ и ввести этот IP = 172.5.3.46?
Просто при такой настройке у меня на сервере пропадает выход в интернет.
Просто при такой настройке у меня на сервере пропадает выход в интернет.
chiv
Не, тебе дестинейшн надо указать не All, а удалённую сеть. Создай объект удалённой сети.
Не, тебе дестинейшн надо указать не All, а удалённую сеть. Создай объект удалённой сети.
Вопрос решился.
Возможно кому понадобится мой опыт. Упрощенно опишу так:
----------------------------------------
Дано:
Моя часть инфраструктуры:
1. Кластер из 2-х Checkpoint 2200 серий, он же как бы ядро инфраструктуры, один из его внешних адресов IP=222.22.22.22.
2. Локальная сеть с VLANами:
- 10.10.0.0/16, GW IP=10.10.0.5
- 10.35.25.0/24, GW IP=10.35.25.5
- 10.35.26.0/24, GW IP=10.35.26.5
- 10.35.27.0/24, GW IP=10.35.27.5
- 10.35.28.0/24, GW IP=10.35.28.5
- .............
3. одном из VLAN находиться сервер - SRV1 c IP=10.35.25.20
Чужая часть инфраструктуры:
4. VPN-сервер с внешним IP=111.11.11.11, для установки VPN туннеля. (L2TP/IPSec, Pre-shared key, своими настройками шифрования). Для успешного подключения vы должны представляться как 222.22.22.22. VPN - Site-to-Site
5. Cервер SMPP-Server с внутренним IP=172.25.50.100
6. При установке VPN-туннеля я должен подключаться к сторонней сети с IP=172.25.53.145
---------------------------------------
Поскольку у меня условия подключения согласно пунктам 3, 5, 6, то
1. Создаю для SRV1 c IP=10.35.25.20 в Network Object сеть LAN_10.35.25.x с параметрами 10.35.25.20, mask=255.255.255.255, потом во вкладке NAT ставлю STATIC и IP4= 172.25.53.145
2. Для SMPP-Server в Network Object создаю сеть LAN_SMPP с параметрами 172.25.50.100, mask=255.255.255.255
3. Пользуясь How to set up a Site-to-Site VPN with a 3rd-party remote gateway создаю у себя на кластере VPN-GW1
3.1 Topology => VPN Domain => Manually defined = LAN_10.35.25.x
3.2 Link Selection => Manual Set IP => 222.22.22.22
3.3 VPN Advanced оставляю все по умолчанию.
4. Создаю в Interoperable device VPN-GW2
4.1 General Properties Name = VPN_Server, IP=111.11.11.11
4.2 Topology => VPN Domain => Manually defined = LAN_SMPP
4.3 Link Selection, VPN advanced - все по умолчанию.
5. Вкладка IPSec VPN
5.1 Создаю Meshed Community
5.2 Participating Gateways => Добавляю свой кластер и VPN-GW2
5.3 Encryption => забиваю все настройки из пункта 4.
5.4 Tunnel Management => VPN Tunnel Sharing => One VPN tunnel per each pair of hosts
5.5 Advanced Setting => Shared Secret из пункта 4.
5.6 Дальше все настройки по умолчанию.
6. В Firewall => Policy Создал разрешающее правило для моего комьюнити
7. Install Policy => Применить.
Все заработало. Удаленный сервер отвечает, SMPP работает.
В процессе пользовался следующим:
1. Troubleshooting "No valid SA" error
2. "No valid SA" logs in SmartView Tracker when creating IPsec VPN tunnel with an interoperable device
3. Site-to-Site VPN tunnel fails with various error messages
4. IPsec & IKE
5. VPN between Check Point Security Gateway and Cisco ASA/PIX fails: "No valid SA"
6. Site to Site VPN with double NAT
7. VPN trouble between Checkpoint and Astaro
ЗЫ: огромное спасибо dshf21391 за участие и подсказки.
Возможно кому понадобится мой опыт. Упрощенно опишу так:
----------------------------------------
Дано:
Моя часть инфраструктуры:
1. Кластер из 2-х Checkpoint 2200 серий, он же как бы ядро инфраструктуры, один из его внешних адресов IP=222.22.22.22.
2. Локальная сеть с VLANами:
- 10.10.0.0/16, GW IP=10.10.0.5
- 10.35.25.0/24, GW IP=10.35.25.5
- 10.35.26.0/24, GW IP=10.35.26.5
- 10.35.27.0/24, GW IP=10.35.27.5
- 10.35.28.0/24, GW IP=10.35.28.5
- .............
3. одном из VLAN находиться сервер - SRV1 c IP=10.35.25.20
Чужая часть инфраструктуры:
4. VPN-сервер с внешним IP=111.11.11.11, для установки VPN туннеля. (L2TP/IPSec, Pre-shared key, своими настройками шифрования). Для успешного подключения vы должны представляться как 222.22.22.22. VPN - Site-to-Site
5. Cервер SMPP-Server с внутренним IP=172.25.50.100
6. При установке VPN-туннеля я должен подключаться к сторонней сети с IP=172.25.53.145
---------------------------------------
Поскольку у меня условия подключения согласно пунктам 3, 5, 6, то
1. Создаю для SRV1 c IP=10.35.25.20 в Network Object сеть LAN_10.35.25.x с параметрами 10.35.25.20, mask=255.255.255.255, потом во вкладке NAT ставлю STATIC и IP4= 172.25.53.145
2. Для SMPP-Server в Network Object создаю сеть LAN_SMPP с параметрами 172.25.50.100, mask=255.255.255.255
3. Пользуясь How to set up a Site-to-Site VPN with a 3rd-party remote gateway создаю у себя на кластере VPN-GW1
3.1 Topology => VPN Domain => Manually defined = LAN_10.35.25.x
3.2 Link Selection => Manual Set IP => 222.22.22.22
3.3 VPN Advanced оставляю все по умолчанию.
4. Создаю в Interoperable device VPN-GW2
4.1 General Properties Name = VPN_Server, IP=111.11.11.11
4.2 Topology => VPN Domain => Manually defined = LAN_SMPP
4.3 Link Selection, VPN advanced - все по умолчанию.
5. Вкладка IPSec VPN
5.1 Создаю Meshed Community
5.2 Participating Gateways => Добавляю свой кластер и VPN-GW2
5.3 Encryption => забиваю все настройки из пункта 4.
5.4 Tunnel Management => VPN Tunnel Sharing => One VPN tunnel per each pair of hosts
5.5 Advanced Setting => Shared Secret из пункта 4.
5.6 Дальше все настройки по умолчанию.
6. В Firewall => Policy Создал разрешающее правило для моего комьюнити
7. Install Policy => Применить.
Все заработало. Удаленный сервер отвечает, SMPP работает.
В процессе пользовался следующим:
1. Troubleshooting "No valid SA" error
2. "No valid SA" logs in SmartView Tracker when creating IPsec VPN tunnel with an interoperable device
3. Site-to-Site VPN tunnel fails with various error messages
4. IPsec & IKE
5. VPN between Check Point Security Gateway and Cisco ASA/PIX fails: "No valid SA"
6. Site to Site VPN with double NAT
7. VPN trouble between Checkpoint and Astaro
ЗЫ: огромное спасибо dshf21391 за участие и подсказки.
Люди добрые - возникла необходимость в очень старой программе - ssl network extender версии 7.01.0000
Может у кого осталась она ?
а то что-то сколько ищу все найти не получается.
Может у кого осталась она ?
а то что-то сколько ищу все найти не получается.
Это не программа. Это через браузер когда SSL VPN подключаешься к чекпоинту, то такой компонент загружается.
Страницы: 1234567891011121314151617
Предыдущая тема: Win2000Pro! Помогите через нее раздать И-нет
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.