Problema VPN site-to-site CheckPoint - Cisco

Buna seara,

Incerc crearea unui vpn site to site intre un router Cisco si un Checkpoint, am acces doar la Cisco, configurarea pe Checkpoint este facuta de altcineva. Scopul este ca din reteaua X din spatele Cisco sa avem conectivitate catre reteaua Y din spatele Checkpoint. Am ajuns la un acord sa configuram reteaua Y in domeniul de criptare atat subnet-level cat si host-level.
Mentionez ca domeniul de criptare contine si range-uri IP precum urmatoarele:
192.168.1.0/25
192.168.1.200/32
192.168.1.201/32
etc.

Nu pot reduce numarul de intrari configurate folosind un /24 (192.168.1.0/24) deoarece am adrese din acest subnet deja folosite pentru un alt tunel VPN iar pe un router Cisco nu am ce face in acest sens. Cel care administreaza Checkpoint refuza sa faca NAT pentru a putea folosi eu un alt subnet ca /24.

Problema este ca nu se ridica faza a doua. Din cate am inteles, pe Checkpoint ar exista o problema generala cand sunt folositi alti vendori la celalalt capat al VPN-ului, astfel incat intr-o situatie asemanatoare cu a mea, cand sunt folosite adrese IP host-level, se incearca "unirea" acestora intr-un subnet. Astfel incat, Checkpoint incearca sa foloseasca 192.168.1.0/24, desi la mine nu este configurat asa ceva, facand asta evident ca nu functioneaza faza a doua, deoarece domeniul de criptare trebuie sa fie identic in ambele parti (atat pe Cisco cat si pe Checkpoint). Din cate am inteles, aceasta optiune s-ar putea dezactiva astfel incat sa se foloseasca exact domeniul de criptare configurat pe Checkpoint insa habar nu am de unde sa ii pot spune exact persoanei respective sa o faca.

Pentru cine a intampinat astfel de probleme, este posibil sa fie vorba despre VPN Tunnel Sharing pe Checkpoint? Am gasit urmatoarele in documentatia Checkpoint disponibila pe site-ul lor:

VPN Tunnel Sharing provides greater interoperability and scalability by controlling the number of VPN tunnels created between peer Security Gateways. Configuration of VPN Tunnel Sharing can be set on both the VPN community and Security Gateway object.

One VPN Tunnel per each pair of hosts - A VPN tunnel is created for every session initiated between every pair of hosts.
One VPN Tunnel per subnet pair- Once a VPN tunnel has been opened between two subnets, subsequent sessions between the same subnets will share the same VPN tunnel. This is the default setting and is compliant with the IPSec industry standard.
One VPN Tunnel per Security Gateway pair- One VPN tunnel is created between peer Security Gateways and shared by all hosts behind each peer Security Gateway.

Sa fie a doua optiune selectata la el si sa fie aceasta problema? "One VPN Tunnel per subnet pair- Once a VPN tunnel has been opened between two subnets, subsequent sessions between the same subnets will share the same VPN tunnel. This is the default setting and is compliant with the IPSec industry standard."

Nu pot verifica foarte multe impreuna cu admin-ul Checkpoint-ului, pe scurt ei sunt foarte importanti si foarte putin disponibili la modificari/troubleshooting, deci incerc sa gasesc solutia pentru a le-o putea oferi direct.

Orice sfat este binevenit.
Multumesc.

Mai demult cand am facut site2site intre Checkpoint si Cisco parca imi amintesc ca a trebuit sa opresc pe Cisco lifetime (kilobytes) din phase 2 deoarece pe Checkpoint nu se poate seta.

Iti multumesc pentru raspuns.
Se poate seta IKE Security Associations atat pentru phase 1 cat si pentru phase 2 pe Checkpoint, cred ca te referi la lifesize (kilobytes) insa aceasta informatie nu cred ca este obligatoriu sa se potriveasca la ambele capete, am incercat intre Cisco - Fortigate si Cisco - Juniper (atat pe Fortigate cat si pe Juniper erau setate 0 pe cand pe Cisco era setat default-ul, care nu 0) si nu am avut probleme.

Totusi, cred ca problema este alta in cazul acesta.

http://check-point-f...-vpns-with.html