Настройка CheckPoint - [26] :: В помощь системному администратору

Вопрос решился.
Возможно кому понадобится мой опыт. Упрощенно опишу так:
----------------------------------------
Дано:
Моя часть инфраструктуры:
1. Кластер из 2-х Checkpoint 2200 серий, он же как бы ядро инфраструктуры, один из его внешних адресов IP=222.22.22.22.
2. Локальная сеть с VLANами:
- 10.10.0.0/16, GW IP=10.10.0.5
- 10.35.25.0/24, GW IP=10.35.25.5
- 10.35.26.0/24, GW IP=10.35.26.5
- 10.35.27.0/24, GW IP=10.35.27.5
- 10.35.28.0/24, GW IP=10.35.28.5
- .............
3. одном из VLAN находиться сервер - SRV1 c IP=10.35.25.20

Чужая часть инфраструктуры:
4. VPN-сервер с внешним IP=111.11.11.11, для установки VPN туннеля. (L2TP/IPSec, Pre-shared key, своими настройками шифрования). Для успешного подключения vы должны представляться как 222.22.22.22. VPN - Site-to-Site
5. Cервер SMPP-Server с внутренним IP=172.25.50.100
6. При установке VPN-туннеля я должен подключаться к сторонней сети с IP=172.25.53.145

---------------------------------------
Поскольку у меня условия подключения согласно пунктам 3, 5, 6, то

1. Создаю для SRV1 c IP=10.35.25.20 в Network Object сеть LAN_10.35.25.x с параметрами 10.35.25.20, mask=255.255.255.255, потом во вкладке NAT ставлю STATIC и IP4= 172.25.53.145

2. Для SMPP-Server в Network Object создаю сеть LAN_SMPP с параметрами 172.25.50.100, mask=255.255.255.255

3. Пользуясь How to set up a Site-to-Site VPN with a 3rd-party remote gateway создаю у себя на кластере VPN-GW1
3.1 Topology => VPN Domain => Manually defined = LAN_10.35.25.x
3.2 Link Selection => Manual Set IP => 222.22.22.22
3.3 VPN Advanced оставляю все по умолчанию.

4. Создаю в Interoperable device VPN-GW2
4.1 General Properties Name = VPN_Server, IP=111.11.11.11
4.2 Topology => VPN Domain => Manually defined = LAN_SMPP
4.3 Link Selection, VPN advanced - все по умолчанию.

5. Вкладка IPSec VPN
5.1 Создаю Meshed Community
5.2 Participating Gateways => Добавляю свой кластер и VPN-GW2
5.3 Encryption => забиваю все настройки из пункта 4.
5.4 Tunnel Management => VPN Tunnel Sharing => One VPN tunnel per each pair of hosts
5.5 Advanced Setting => Shared Secret из пункта 4.
5.6 Дальше все настройки по умолчанию.

6. В Firewall => Policy Создал разрешающее правило для моего комьюнити

7. Install Policy => Применить.

Все заработало. Удаленный сервер отвечает, SMPP работает.

В процессе пользовался следующим:
1. Troubleshooting "No valid SA" error
2. "No valid SA" logs in SmartView Tracker when creating IPsec VPN tunnel with an interoperable device
3. Site-to-Site VPN tunnel fails with various error messages
4. IPsec & IKE
5. VPN between Check Point Security Gateway and Cisco ASA/PIX fails: "No valid SA"
6. Site to Site VPN with double NAT
7. VPN trouble between Checkpoint and Astaro

ЗЫ: огромное спасибо dshf21391 за участие и подсказки.

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32