Настройка CheckPoint - [20] :: В помощь системному администратору :: Компьютерный форум Ru.Board

Перейти из форума на сайт.

Новости • Файловые архивы
Поиск • Активные темы • Топ лист
Правила • Кто в on-line?

Вход • Забыли пароль? • Первый раз на этом сайте? • Регистрация

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему

Написать ответ в эту тему

Out

Full Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!

Добавляете, плиз, полезную информацию в шапку.

CheckPoint Firewall
смотреть

Цитата:

CheckPoitn встает под Linux нормально... Я даже по Solaris ставил

Есть кое-какие доки на Ftp из варезной темы..

Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Продолжение темы, http://zalil.ru/32028307 здесь я постарался описать текущую конфигурацию
CheckPoint'a

Да, забыл добавить, пока CheckPoint находиться в триальном периоде, может ли это влиять на его функциональность?

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 08:38 10-11-2011 | Исправлено: ld73, 09:27 10-11-2011

dshf21391 Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору На сайте полно документации. Всё со скриншотами и подробно описано. CheckPoint_R65_VPN_AdminGuide.pdf Configure_LDAP.pdf В триальном периоде всё работает без ограничений.
	Всего записей: 973 \| Зарегистр. 29-06-2005 \| Отправлено: 13:09 10-11-2011 \| Исправлено: dshf21391, 13:12 10-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

dshf21391
Приветствую, делаю как Configure_LDAP.pdf, так вот на стр. 8-10 есть вкладка " Authentication", ее у меня нету, что надо сделать чтобы эта вкладка стала доступной, так же не доступен чекбокс "General"->User Managment, скорей всего дело в нем.

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 21:30 14-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

dshf21391, все-таки не удается до конца настроить соединение клиента.
При создание профайла SecureClient, ошибок не возникает и на стороне сервера регистрация(пользователь/пароль через LDAP AD) проходить нормально, а вот само соединение не выполняется, причем на сервере нету и попыток неудачного соединения (((.
Клиент возвращает сообщение типа: Gateway not responding...
В чем может быть ошибка?

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 10:41 15-11-2011

dshf21391 Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Ошибка может быть в том, что трафик не проходит.
	Всего записей: 973 \| Зарегистр. 29-06-2005 \| Отправлено: 12:39 15-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

dshf21391, проблема была связана с тем что на checkpoint'e на внешнем сетевом интерфейсе был указан не внешний адрес, соответственно клиент получал настройки с сервера где IP не глобальный, манипуляция с конфигом клиента позволила выполнить удаленное соединение.
Но дальнейшие игры checkpoint'ом привели к тому что на данный момент я заблокировал доступ на внутренний интерфейс, отсюда вопрос существует ли возможность сбросить текущую политику, через консоль?

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 15:56 18-11-2011 | Исправлено: ld73, 18:30 18-11-2011

dshf21391 Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Выполнить команду fw unloadlocal.
	Всего записей: 973 \| Зарегистр. 29-06-2005 \| Отправлено: 23:02 18-11-2011

ld73 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Все конечно знают, как но все же fw unloadlocal
	Всего записей: 16 \| Зарегистр. 29-10-2011 \| Отправлено: 00:04 19-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

dshf21391, спасибо!

Добавлено:
dshf21391, извини что все обращения к тебе, но спросить более некого.
И так, VPN есть, тип мобильный клиент(RemoteAccess, IP 10.8.0.1), клиент имеет доступ ресурсам ЛВС, конечно при условии изменения в таблице маршрута хоста в ЛВС.
А вот из ЛВС доставить пакеты до удаленного клиента не удается, честно не понимаю как быть, потому как физически интерфейсов типа PPP|TUN нету.
ЛВС: 192.168.100.0/24
УК: 10.8.0.0/24
Какие будут решения?

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 18:38 19-11-2011

dshf21391 Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Так ты подсетку конкретную выдели под IP клиентов и на неё трафик разреши, который тебе нужен.
	Всего записей: 973 \| Зарегистр. 29-06-2005 \| Отправлено: 22:05 19-11-2011

ld73 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору dshf21391, сетку выделил, а вот как правильно правило написать не знаю, все что делал результата не дало. Можешь конкретный пример показать?
	Всего записей: 16 \| Зарегистр. 29-10-2011 \| Отправлено: 23:44 19-11-2011 \| Исправлено: ld73, 23:57 19-11-2011

dshf21391 Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Из локальной сети на эту подсеть разреши нужный трафик. Смотри в трекере проходит трафик в туннель, или блокируется.
	Всего записей: 973 \| Зарегистр. 29-06-2005 \| Отправлено: 10:45 20-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

dshf21391, вроде так и сделал, в трекере вообще тишина, хотя на правило установило логирование. Само правило:
dst: УКС
src: ЛВС
VPN: Any Traffic
Service: Any
Action: Accept
Track: Log
Install on: Policy Targets

где ошибка?

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 11:50 20-11-2011

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Чудеса какие-то ты рассказываешь. Смотри tracert из локалки. Если он проходит через чекпоинт, то чекпоинт будет его логировать. У тебя вообще хоть какой-то трафик логируется?

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 14:34 20-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

ЛВС CheckPoint внутренний интерфейс 192.168.100.2 :
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.2 192.168.100.26 20
0.0.0.0 0.0.0.0 192.168.100.8 192.168.131.1 30
10.8.0.0 255.255.255.0 192.168.100.2 192.168.100.26 1

===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.10.0.0 255.255.255.0 192.168.100.9 1
10.11.0.0 255.255.255.0 192.168.100.8 1
10.9.0.0 255.255.255.0 192.168.100.8 1
10.8.0.0 255.255.255.0 192.168.100.2 1

C:\tracert 10.8.0.1

Трассировка маршрута к 10.8.0.1 с максимальным числом прыжков 30

1 15 ms <1 мс <1 мс 192.168.100.2
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.

УКС CheckPoint внешний интерфейс 192.168.1.9:
C:\Documents and Settings\Admin>tracert aibdc1

Трассировка маршрута к aibdc1 [192.168.100.75]
с максимальным числом прыжков 30:

1 14 ms 13 ms 14 ms 192.168.1.9
2 14 ms 12 ms 14 ms aibdc1 [192.168.100.75]

Трассировка завершена.

Как я понимаю не происходит проброса пакетов с внутреннего интерфейса на внешний.

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 16:14 20-11-2011 | Исправлено: ld73, 16:22 20-11-2011

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Если пакет от локального хоста дошёл до чекпоинта, что судя по трейсу так и есть "1 15 ms <1 мс <1 мс 192.168.100.2 ", то в логах обязательно будет об этом запись.
Ещё раз спрашиваю, у тебя хоть какие то пакеты логируются? Если из локалки чекпоинт пинговать, то эти пакеты в трекере видно?
Кстати, а маршруты ты с машины из локальной сети чтоли показал?

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 16:21 20-11-2011 | Исправлено: dshf21391, 16:23 20-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

dshf21391, лог есть но только на VPN, сейчас я включил лог на исходящий трафик
ЛВС.
что я вижу:

Number:      32735
Date:     20Nov2011
Time:      16:34:21
Product:      VPN-1 Power/UTM
Interface:      Internal
Origin:     utm-1
Type:      Log
Action:     Encrypt
Protocol:     icmp
Source:     Spec2 (192.168.100.26)
Destination:      RemotePCs (10.8.0.1)
Rule:     4
Current Rule Number:      4-New_Policy
Information:      service_id: icmp-proto
     ICMP: Echo Request
     ICMP Type: 8
     ICMP Code: 0
Community:      RemoteAccess
Encryption Methods:      ESP: 3DES + SHA1 + DEFLATE
Encryption Scheme:     IKE
NAT additional rule number:    0
NAT rule number:     3
Rule UID:      {C18E415E-0E11-43A3-AF4A-1FA3FA67D13E}
SmartDefense Profile:      Default_Protection
Subproduct:      VPN
VPN Feature:      VPN
VPN Peer Gateway:      xxx.yyy.zzz.www
XlateSrc:     utm-1 (192.168.1.9)
Policy Info:     Policy Name: New_Policy
     Created at: Sun Nov 20 16:23:13 2011
     Installed from: utm-1

Это единственный пакет который я вижу

Добавлено:

Цитата:

Кстати, а маршруты ты с машины из локальной сети чтоли показал?

с обоих машин.

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 16:40 20-11-2011 | Исправлено: ld73, 16:44 20-11-2011

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Что значит с обоих, когда таблица роутинга одна? И она с машины из локальной сети, судя по всему.
Ну так пакет ушёл на клиента, всё ок. А то, что клиент не ответил, так там и фаервол может быть включён, например. Да мало ли что ещё.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 18:14 20-11-2011

ld73

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

dshf21391, да сорри почему то думал что обе таблицы дал.
Лог на стороне клиента, содержит сообщения о том что все пакеты идущие из ЛВС были отклонены, потому как не прошли шифрование (((.

Всего записей: 16 | Зарегистр. 29-10-2011 | Отправлено: 22:05 20-11-2011

dshf21391 Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору А vpn-клиент у тебя какой?
	Всего записей: 973 \| Зарегистр. 29-06-2005 \| Отправлено: 22:22 20-11-2011

Открыть новую тему

Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC