Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

Out



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ!!!! Есть проблема..... Есть CheckPoint и.... как его настраивать никто не знает.... В сети нигде описалова конкретного нет.... Может кто помогёт личным опытом... или может кто кинет линку на доки (желательно по русски) по этому зверю!!!
Заранее спасибо....!
 
 


 
Добавляете, плиз, полезную информацию в шапку.
 
 
CheckPoint Firewall
смотреть

Цитата:
CheckPoitn встает под Linux нормально... Я даже по Solaris ставил  

 
Есть кое-какие доки на Ftp из варезной темы..

Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
VPN на чекпоинте может работать либо по IPSec, либо SSL-туннель.
В твоём варианте надо смотреть логи трафика на чекпоинте, по какой причине он блокирует трафик от клиента. Как вариант - нет соответствующего разрешающего правила.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 12:11 05-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
VPN на чекпоинте может работать либо по IPSec, либо SSL-туннель.  
В твоём варианте надо смотреть логи трафика на чекпоинте, по какой причине он блокирует трафик от клиента. Как вариант - нет соответствующего разрешающего правила.

Вот скрин из подключения, видно что есе нормально подключается.
http://images.vfl.ru/ii/1493977204/81ac3049/17112251.png
 
А логи где смотреть? в разделе, где логи пишутся, не вижу никаких VPN подключений . может он в другом месте хранится?

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 12:42 05-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
В твоём скрине видно, что подключился по IPSec. И да, подключился, это не значит, что автоматически имеет доступ ко всем ресурсам сети.
По поводу логов не подскажу, я через Tracker обычно их смотрю, но у тебя Standalone конфигурация. Я х/з как там трафик мониторить. Но правила то для клиентов VPN ты добавлял?

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 16:52 05-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dshf21391
 

Цитата:
В твоём скрине видно, что подключился по IPSec. И да, подключился, это не значит, что автоматически имеет доступ ко всем ресурсам сети.  

Пробовал подключить удаленный компьютер, тоже все нормально подключился.  
там намного интереснее. IP определяется твой, но доступ имеет к терминалу (что самое главное).  
однако в логах вот что нашел. Не знаю это нормально или нет?  
http://images.vfl.ru/ii/1493986830/1ba19d9c/17114400.jpg
 

Цитата:
 Но правила то для клиентов VPN ты добавлял?

Нет. А какие правила нужна создать и для кого/чего?  

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 19:26 05-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В логах вроде всё нормально, а правило обычно для доступа клиентов впн к ресурсам локальной сети.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 12:03 08-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А вы пользуйтесь фирменными прогами VPN клиентами ? а именно "endpoint connect" ?  
при подключении пишет, что политика безопасности не настроена.  
 
   
 
 
речь о какой политике идет ? и где ее настроить? в клиенте вроде нет никаких особых настроек.  

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 23:19 09-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это не в клиенте делается, а на фаерволе. Я со standalone решениями не работал, к сожалению. Не могу ничего сказать.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 10:20 10-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dshf21391
 
да, обратился к саппорту., сказали, что у меня Gaia Embedded, и у меня урезаны некоторые функции. а жаль так что это у меня не получится настроить. надо использовать простой клиент VPN подключения, securemote, но там какие то аномалии происходит..  
У меня он показывает , что получает IP адрес из какого то DHCP сервера, из подсети 192.168.2.0/24
Хотя с настрйках чекпоинта указан, что они должны получить IP адреса из подсети 172.16.10.0.
скрин: http://images.vfl.ru/ii/1494510354/bc49cbb8/17187070.jpg
 
да и в локальной сети нет у меня DHCP сервер, eще и с подсети 192.168.2.0

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 21:44 11-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
По поводу урезанного функционала я сразу предупреждал, т.к. мы тоже обломались с использованием некоторых фич. Слава богу есть хитрый способ установить на опен-сервер полноценную gaia и прикрепить данную лицензию к нему.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 08:53 12-05-2017
Aluf

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
dshf21391

SecureRemote - - и отличается главным образом от Endpoint тем что НЕ поддерживает Office Mode , то есть не смотря на конфигурацию на фаерволле клиент не получит IP address, Что как правило будет делать проблемы доступа к удаленной сети. Устанавливать надо  Endpoint Client.
Ну и разница насколько я помню на Endpoint Office Mode нужна своя лицензия в отличие от SecureRemote , но  UTMs идут по умолчанию (даже если нет отдельной лицензии) до 5 клиентов.
Endpoint Policy - Когда-то называлась Desktop Policy, не сильно критичная фича - позволяет например проверить хост До подключения на наличе антивируса, после подключения устанавливает на хосте политику  - т.е. фаерволл с правилами отдельно задаными на фаерволле, и да Gaia Embedded (UTMs < 2xxx) не поддерживает это.

Всего записей: 167 | Зарегистр. 28-12-2003 | Отправлено: 09:21 13-05-2017 | Исправлено: Aluf, 09:22 13-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Aluf
 
Как все запутано однако... А я думаю что за зомби DHCP , который раздает вообще левые IP адреса, хотя с ними тиже все нормально работает.  
Я скачал установочник "E80.64_CheckPointVPN.msi" из официального сайта.  
 
Вот при установке:  
 
   
 
Выбрал и первый вариант и третий. Первый (endpoint) массивный видно, 2 раза синий экран словил на win7, но держит канал стабильно. ну и предупреждение насчет политики безопасности.
А третий вариант облегченный, но связь обрывается часто. не знаю с чем связано это. Ну и непонятно каким образом он работает. IP адреса берет хрен знает откуда, в логах вообще ничего нет , напоминающая , что по VPN кто то подключился, ну кроме одной записи , где говорится, что с WAN интерфейса какой то ключ установился.. Хотя при "Endpoint" в логах много записей было, где говорилась, что идет шифрованный трафик и VPN IP адресов.  
Мобильную версию посатвили на телефоны, все нормально. IP получает с office mode.  
 
 
Может вы вкурсе какой VPN клиент установить нам тогда? может есть другие версии еще ?  

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 18:26 13-05-2017
Aluf

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да с SecureRemote головная боль, хотя официальная версия говорит что  Office Mode нужен только когда внутренняя сеть хоста совпадает с удалeнной внутрнней сетью
но фактичеси за NAT-ом работает оч плохо, если хост имеет IP address  прямо на хосте от провайдера то да работать будет.
С версиями Endpoint (VPN) - только из личного опыта на конкретных хостах , тут как раз самое новое не всегда самое лучшее. Я например и на Windows 10 пользую Е75.30 .
http://imgur.com/yz9hWPG

Всего записей: 167 | Зарегистр. 28-12-2003 | Отправлено: 11:08 14-05-2017 | Исправлено: Aluf, 11:10 14-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Aluf
 

Цитата:
Да с SecureRemote головная боль, хотя официальная версия говорит что  Office Mode нужен только когда внутренняя сеть хоста совпадает с удалeнной внутрнней сетью  

вот она как.. Хотя мне тех.поддержка фоворила, что такого не может быть (ну что у меня IP адреса из другой подсети). У меня в проверке у хоста была подсеть 192.168.0.0, на удаленном - 192.168.1.0.  
Securemote выдал 192.168.2.0, a endpoint выдал из office mode. Не знаю что как с чем связано.  
У меня все за NAT_ом всеравно.  
Наше оборудование поддерживает около 250 VPN подключений. лицензия дает столько. Однако из за урезанной системы много настроек оказывается недоступны.  
Хотя саппорт что то там намекнул по поводу SSH подключения и "expert" мода, но я не знаю как зайти под expert mode.  
 

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 21:52 14-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
В CLI набрать expert и ввести пароль.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 10:09 15-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dshf21391
 
ымм, что за CLI , и пароль на expert откуда брать?  
Не забываем, что у нас standalone девайс, возможно нет такой возможности.

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 23:15 15-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
По ssh подключиться. CLI - command line interface.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 11:36 16-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dshf21391
 
А логин пароль от WebUI будет expert mode ?  
У меня нет других паролей. к аппарату идет IP адрес и логин/пасс по умолчанию admin/
все, больше никаких данных

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 19:09 16-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
По идее пароль такой же. Если не задан, то он предложет задать, или поменять.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 19:47 16-05-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в эти дни уже запустил всю локалку через чекпоинт. заметил, что в флейде IPS накапливаются "ивенты". зашел в лог, и по фильтрам IPS вот что нашел:
это общий лог
http://images.vfl.ru/ii/1495040202/1b76a185/17259899.jpg
 
а это подробный вариант одного из вариантов:
http://images.vfl.ru/ii/1495040624/49315c35/17259941.jpg
 
Я поискал что это за странное поведение, нашел у них же на оф. сайте объяснение/решение, но так и не понял что это такое и что надо делать.  
на сайте это дело описано под маркой sk66576
 
Вот скрины для тех, у кого нет подписки для просмотра страницы:
http://images.vfl.ru/ii/1495041590/389b9062/17260093.jpg
http://images.vfl.ru/ii/1495041622/9ca6bedd/17260097.jpg
http://images.vfl.ru/ii/1495041645/a2827796/17260099.jpg
http://images.vfl.ru/ii/1495041673/c47a221d/17260102.jpg
 
Я плохо понимаю по английски. Можете сказать пожалуйста, что это за блокировки и как лечится? ну или вообще, стоит ли беспокоится?

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 20:31 17-05-2017
dshf21391



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Пишут хотфикс надо скачать и поставить.

Всего записей: 973 | Зарегистр. 29-06-2005 | Отправлено: 21:27 17-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка CheckPoint


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru