Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Conectare TV, telefon și pc ...

PROIECT CASUTA MICA IN JUR DE 40M...

Vecini cu chef de renovari.
 La multi ani @TheSignMetro64!

Exista firme DDD dezinsectie Bucu...

Masina noua - plata finala

Laptop 17" - baterie buna
 Uree 239 analize catel

Programare Sala Tulcea

Tensiune mica Smart Forfour 2017

Reglaj a
 Desparțire de sotie

Problema combina frigorifica

Persoanele care nu se scalda (in ...

Redmi K50 in Reteaua Digi
 

Problema VPN site-to-site CheckPoint - Cisco

- - - - -
  • Please log in to reply
3 replies to this topic

#1
AlexStefan10

AlexStefan10

    Junior Member

  • Grup: Members
  • Posts: 202
  • Înscris: 04.10.2015
Buna seara,

Incerc crearea unui vpn site to site intre un router Cisco si un Checkpoint, am acces doar la Cisco, configurarea pe Checkpoint este facuta de altcineva. Scopul este ca din reteaua X din spatele Cisco sa avem conectivitate catre reteaua Y din spatele Checkpoint. Am ajuns la un acord sa configuram reteaua Y in domeniul de criptare atat subnet-level cat si host-level.
Mentionez ca domeniul de criptare contine si range-uri IP precum urmatoarele:
192.168.1.0/25
192.168.1.200/32
192.168.1.201/32
etc.

Nu pot reduce numarul de intrari configurate folosind un /24 (192.168.1.0/24) deoarece am adrese din acest subnet deja folosite pentru un alt tunel VPN iar pe un router Cisco nu am ce face in acest sens. Cel care administreaza Checkpoint refuza sa faca NAT pentru a putea folosi eu un alt subnet ca /24.

Problema este ca nu se ridica faza a doua. Din cate am inteles, pe Checkpoint ar exista o problema generala cand sunt folositi alti vendori la celalalt capat al VPN-ului, astfel incat intr-o situatie asemanatoare cu a mea, cand sunt folosite adrese IP host-level, se incearca "unirea" acestora intr-un subnet. Astfel incat, Checkpoint incearca sa foloseasca 192.168.1.0/24, desi la mine nu este configurat asa ceva, facand asta evident ca nu functioneaza faza a doua, deoarece domeniul de criptare trebuie sa fie identic in ambele parti (atat pe Cisco cat si pe Checkpoint). Din cate am inteles, aceasta optiune s-ar putea dezactiva astfel incat sa se foloseasca exact domeniul de criptare configurat pe Checkpoint insa habar nu am de unde sa ii pot spune exact persoanei respective sa o faca.

Pentru cine a intampinat astfel de probleme, este posibil sa fie vorba despre VPN Tunnel Sharing pe Checkpoint? Am gasit urmatoarele in documentatia Checkpoint disponibila pe site-ul lor:

VPN Tunnel Sharing provides greater interoperability and scalability by controlling the number of VPN tunnels created between peer Security Gateways. Configuration of VPN Tunnel Sharing can be set on both the VPN community and Security Gateway object.

One VPN Tunnel per each pair of hosts - A VPN tunnel is created for every session initiated between every pair of hosts.
One VPN Tunnel per subnet pair- Once a VPN tunnel has been opened between two subnets, subsequent sessions between the same subnets will share the same VPN tunnel. This is the default setting and is compliant with the IPSec industry standard.
One VPN Tunnel per Security Gateway pair- One VPN tunnel is created between peer Security Gateways and shared by all hosts behind each peer Security Gateway.

Sa fie a doua optiune selectata la el si sa fie aceasta problema? "One VPN Tunnel per subnet pair- Once a VPN tunnel has been opened between two subnets, subsequent sessions between the same subnets will share the same VPN tunnel. This is the default setting and is compliant with the IPSec industry standard."

Nu pot verifica foarte multe impreuna cu admin-ul Checkpoint-ului, pe scurt ei sunt foarte importanti si foarte putin disponibili la modificari/troubleshooting, deci incerc sa gasesc solutia pentru a le-o putea oferi direct.

Orice sfat este binevenit.
Multumesc.

#2
654321

654321

    Senior Member

  • Grup: Senior Members
  • Posts: 4,817
  • Înscris: 12.03.2007
Mai demult cand am facut site2site intre Checkpoint si Cisco parca imi amintesc ca a trebuit sa opresc pe Cisco lifetime (kilobytes) din phase 2 deoarece pe Checkpoint nu se poate seta.

#3
AlexStefan10

AlexStefan10

    Junior Member

  • Grup: Members
  • Posts: 202
  • Înscris: 04.10.2015
Iti multumesc pentru raspuns.
Se poate seta IKE Security Associations atat pentru phase 1 cat si pentru phase 2 pe Checkpoint, cred ca te referi la lifesize (kilobytes) insa aceasta informatie nu cred ca este obligatoriu sa se potriveasca la ambele capete, am incercat intre Cisco - Fortigate si Cisco - Juniper (atat pe Fortigate cat si pe Juniper erau setate 0 pe cand pe Cisco era setat default-ul, care nu 0) si nu am avut probleme.

Totusi, cred ca problema este alta in cazul acesta.

#4
654321

654321

    Senior Member

  • Grup: Senior Members
  • Posts: 4,817
  • Înscris: 12.03.2007
http://check-point-f...-vpns-with.html

Anunturi

Neurochirurgie minim invazivă Neurochirurgie minim invazivă

"Primum non nocere" este ideea ce a deschis drumul medicinei spre minim invaziv.

Avansul tehnologic extraordinar din ultimele decenii a permis dezvoltarea tuturor domeniilor medicinei. Microscopul operator, neuronavigația, tehnicile anestezice avansate permit intervenții chirurgicale tot mai precise, tot mai sigure. Neurochirurgia minim invazivă, sau prin "gaura cheii", oferă pacienților posibilitatea de a se opera cu riscuri minime, fie ele neurologice, infecțioase, medicale sau estetice.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate