» Настройка CheckPoint

Может надо было при инсталляции драйвер модема поставить? Это чисто предположение. Но, скорее всего, ответ - никак. Ставь Kerio Winroute Firewall

На железячных решениях от Checkpoint я встречал com-проты для подключения модемов, но настраивать ни разу не приходилось

Нда, поковырялся я в SPLAT'е.....
Вроде всё нормально, поднимается PPP модем звонит, интерфейс поднимается. В общем всё как в обчном Linux'e.
но вот проблема, не загружается комп, когда в COM-порт воткнут включенный модем.
В debug mode загружается, а в нормальной зависает и всё. Никаких ошибок, ничего.
Так что пока бросил и живу на Winroute....

Настроил l2tp с preshared key, как написано в инструкции к HFA 30. Всё подключается, но при этом трафик идёт мимо: на чекпоинт приходят закриптованные пакеты, декриптуются и проверяются на общие правила, а не на правила VPN.
Пробовал на разных клиентах - результат один.
Никто с l2tp не заморачивался на чекпоинте?

andreyp2


Цитата:

Могу я поставить SPLAT Pro с лицензиями, которые нашёл тут на сайте (в соответствующей теме)?

Все облазил. ГДЕ?

ikoskin
В варезнике. Тут тема по настройке.

Кто сталкивался с такой проблемой:

Исходные данные:
Version: NGX (R65)
OS: SecurePlatform

Был провайдер №1 все было настроено и работало, но канал был 2М и нам не хватало скорости. Заключили договор с провайдером №2, канал 10М, подключил 3ю сетевую, настроил топологию, перенастроил default gateway, заработало, было все хорошо до тех пор пока не обратили внимание на почту. Мх записи настроены на провайдера №1, а изменить или добавить пока нет возможности.

Как сделать что-бы почта всегда ходила через провайдера №1, а все остальные пользователи и службы через провайдера №2.

В данный момент решил проблему установкой линукса (в него подключен Провайдер №1) перед CheckPointom на нам все, что связано с почтой, заворачиваю на провайдера №1 остальное идет на фаервол и там уже по правилам выходит в инет через Провайдера №2.

Хотелось бы что-бы все ходило через ЧекПоит, а как настроить не знаю

gek75
Ответ - никак. Без использования почтового релея у тебя такая схема работать не будет. SPLAT не умеет роутить трафик в зависимости от протокола.

dshf21391
А например портом, для почты он 25, вот как-то и настроить что-бы все что связано с 25 портом отправлял туда-то (Провайдер 1).

gek75
Придумай новый способ маршрутизации в зависимости от порта, вынеси его на обсуждение, потом соответствующий RFC выпустят и может быть кто-то даже за реализацию возмётся.

а как вообще настроить 2 канала в чекпоинте? какие компоненты доставить при стандарном ng R60 ? можно ли добавлять и менять конфигуруцию и ИП ? не слетит ничего?

TokImota

2 внешних канала можно настроить через ISP Redundancy. Дополнительно ничего доставлять не надо, это стандартная вещь. Лицензия тоже не нужна на это.
Но ISP Redundancy имеет существенные ограничения и использовать эту функцию получится не всегда. Все зависит от конкретных условий.
В доке и хелпе все достаточно подробно описано.
Применительно к SecurePlatform - в ее состав включен пакет iproute2, но официально он Check Point'ом не поддерживается.
По собственному опыту могу сказать, что работает он в связке с Check Point некорректно.

dshf21391

Цитата:

Придумай новый способ маршрутизации в зависимости от порта...
...может быть кто-то даже за реализацию возмётся.

CheckPoint VPN Edge firmware 8.0
в рамках Policy based routing реализован Service based routing

Тогда надо купит Edge. Там помоему около USD2700 Unlimited версия стоит.

Advanced route спасёт отцов маршрутизации. С помощью сей приблуды (она есть в SPLAT) можно всё настроить
P.S. В терминах CP - Source Base Routing

Помоему оно только в SPLAT Pro как раз.

раздал инет на виртуалку ... всё работает кроме "Check Point VPN-1 SecureClient"

пытается соединится с сервером и не выходит (думает на "Connecting to gateway..." после обрывается)

Checking network connectivity...
Preparing connection...
Connecting to gateway...
Gateway not responding
Connection failed

mouser
Потому что небось за NATом клиент находится.

dshf21391
а как без NATа ???

Без NATа всё прекрасно работает как раз. Это если из-за NAT то надо настраивать сам чекпоинт и SecurClient.

могу только клиента подкорректировать

Если на гейтвее нет соответствующих настроек, то корректировки клиента будет недостаточно. Либо там прямой IP получать.

бл... а что можно подобное поставить ... есть ли сервер под XP PPPoE ???

Кто знает, зачем CheckPoint использует службу Routing and Remote service, ISA, например, ее вообще отключает ?

--------------------- -----------------

( ) ( )

( LAN )----------FW----------( Internet )

( ) ( )

( o-Term serv ) ( )

( ) ( )

----------------------- -----------------

|

modem

|

|

modem

|

-----------------

( LAN2 )

------------------





LAN - локальная сеть , некоторые пользователи которой имеют доступ в Интернет (разграничение по IP адресам ), в этой же сети находится Terminal server, пользователи сети удаленного офиса LAN2 подключаются к терминальному серверу и работают в терминальной сессии.

Необходимо некоторым терминальным пользователям дать доступ в Интернет (ip-адрес у этих пользователей будет один и тот же - адрес Terminal server). Как возможно это сделать?

имеющиеся возможности аутентификации (в частности client и session authentication) всё равно в конечном итоге, насколько я протестировал, завязаны на ip, то есть проверка имени пользователя и пароля действительно происходит, но пройдя проверку один пользователь открывает доступ в Интернет для всех остальных терминальных пользователей.

Заранее спасибо за ответы.

Народ а тут прошивок свежих на CheckPoint VPN-1 Edge W не пробегало ? И вообще никто не знает как её активировать чтобы заработали антиспамы-антивирусы ? все доки и ключи от неё ессно утеряны ...

UPD: Сорри за дублёж, просто малоли, вопрос подходит и в ту и в эту тему, вероятность, что ктото ходит сюда, но не ходит туда - есть!

Не хорошо дублировать посты в разных темах http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=0330&start=860#lt

Может кто-то сталкивался с проблемой vpn-клиента под линукс? Ещё, как не пытался по докам настроить l2tp на чекпоинте, так ничего и не вышло. Может кто-то настраивал и поделится информацией? Буду очень признателен.

Настроил l2tp благодаря топику с форума чекпоинта https://forums.checkpoint.com/forums/thread.jspa?threadID=8833&tstart=0

может ли кто помочь, при скачивании с фтп серверов выдает такую ошибку, 550 data write to CVP server error. При чем с некоторых серверов скачивает нормально, а на некоторых заходит в папку находит файл но при скачивании выдает эту ошибку. Мне нужно только узнать в чем заключается ошибка. Почему CVP server такую ошибку выдает и как ее можно исправить.

Цитата:

Почему CVP server такую ошибку выдает и как ее можно исправить.

Какой у тебя CVP используется? Там касперский? Скорее всего в нем проблемы. Попробуй временно отключить CVP и скачать файлы.