Problema Checkpoint SSL Network Extender
Last Updated: Mar 09 2023 12:58, Started by
adiharan
, May 19 2022 18:37
·
0
#19
Posted 25 May 2022 - 21:00
#20
Posted 25 May 2022 - 21:02
#21
Posted 26 May 2022 - 08:14
Da, in mod ie am dorit sa scriu.
Trebuie sa intri in setari iar la default browser pui site-ul de accesare sa ti-l deschida cu ie. Practic, este deschis cu Internet Explorer si merge. Am reusit pe un windows 10 sa fac sa mearga si sitemul nou de dimineata. Ma rog, nu am facut nimic, merge cu setarile actuale. Era misto daca mergea in chrome, mie nu-mi merge. Tu ai facut ceva setari speciale cand a mers in chrome? Edited by Ravy, 26 May 2022 - 08:40. |
#22
Posted 26 May 2022 - 11:12
Nu am facut nicio setare speciala. Doar m-am asigurat ca sunt bifate tsl-urile. Toate.
Acuma imi merge si mie in IE tab. Probabil e o versiune noua, inainte nu mergea. Pentru Chrome, am vazut ca ajuta, atunci cind nu se conecteaza la portal (daca asta patesti si tu) sa dai din c panel repair la Checkpoint mobile access portal. Practic, doar reseteaza cerificatul digital. De cele mai multe ori se repara, dar nu pot pune userii sa faca asta. Asa ca deocamdata mai astept. p.s. Dupa conectare folosesc lansarea aplicatiilor fara browser, direct in Oracle Forms. E mai rapid si mai stabil. Si am scapat cu totul de IE. |
#23
Posted 26 May 2022 - 15:05
Pentru SNX (de la Check Point citire) trebuie Java 8 32-bit! Deci 32 bit only! https://supportcente...tionid=sk113410
Totodata, tot de la CheckPoint vine informatia ca Windows 11 inca nu este suportat Daca in momentul in care (dupa ce s-a descarat fisierul .msi) te redirectioneaza spre sk109125 atunci nu vede variabila de java (ma repet, java 32 bit). Executabilul pentru Mobile Portal Agent nu se poate descarca manual , el este generat de gateway (continand un certificat) Ce-i interesant este ca: Internet Explorer foloseste SSL Network Extender Edge/Chrome folosesc Mobile Access Portal Service |
#24
Posted 26 May 2022 - 16:08
Nu stiu ce sa zic. Mie mi-a mers si pe 11. Acuma iar nu merge. Si in plus, la accesarea portalului se instaleaza automat si Mobile Portal, si Network extender. In Chrome/Edge. Tot mai mult cred ca e ceva cu implementarea in server, si problema nu e locala.
|
#25
Posted 26 May 2022 - 18:45
Este de la ei. Am vb. eu cu unul din cei care lucreaza la portal. A intrat la mine si a incercat sa-l faca si nu a reusit. A zis ca nu este de la statia mea, au verificat si la ei si este o problema de la portal, a mers si nu mai merge. A ramas ca ma anunta cand o sa fie functional, pana atunci merg pe portalul vechi.
|
#26
Posted 26 May 2022 - 19:58
Intr-adevar merge si pe Windows 11 gunoiu ala de Mobile Agent. Ce-i foarte misto este ca SK-ul zice ca ai nevoie de Java Jre 1.8 insa MSI-ul de Mobile Agent crapa spunand ca se uita dupa 1.6 si ca a gasit 1.8 )) Replicat in laborator are acest comportament in R81.10 335 - nu stiu pe ce verisune ruleaza cel de la ANAF.
Ca idee, cei cu windows 11 gasiti logul de la .msi in temp ( %temp% ) de forma MSIxxxxxx.log Cel mai probabil plange ca nu gaseste Java si de aceea va redirectioneaza catre pagina cu SK Un PaloAlto rezolva problema mult mai elegant. Care este portalul vechi ? Ala de merge cu orice browser si orice windows ? Edited by melcu, 26 May 2022 - 19:59. |
#27
Posted 27 May 2022 - 07:18
Portalul vechi merge doar cu ie, in edge rulez in mod ie sa-mi mearga.
https://sslvpn.custo...vpn/Login/Login Sa inteleg ca la tine merge portalul noi? Mie mi-a instalat agent ala dar cand dau conectare nu se intampla nimic, nu primesc nicio eroare dar nici nu se conecteaza. Asta in Chrome si Edge, in mod ie nu-mi vede certificatul. )) Edited by Ravy, 27 May 2022 - 08:17. |
#28
Posted 27 May 2022 - 08:24
"vechiul" este o versiune foarte veche de Check Point dupa cum arata. TLS1.0 ? in 2022 - mie nu mi se deschide pe Firefox sau Chrome.
Nici cu cel nou nu mi-e rusine cu TLS 1.2 ca versiunile noi de Check suporta si TLS 1.3 - dar nu comentam aici. Certificatul o sa le expire in cateva zile ) |
|
#29
Posted 27 May 2022 - 09:47
TLS 1.3 dateaza din 2018 deci e relativ nou si este "Faster and More Secure" decat tot ce a fost inainte, e practic ce ar trebui sa foloseasca orice server in 2022 vorba aia... nu e suportat in win 7.
TLS 1.2 dateaza din 2008, si a aparut la doar 2 ani de la TLS1.1 (2006) care era dezastru cu securitatea (au fost buguri majore de aia e blackistat in orice configuratie moderna)... bine era fain fata de SSL-uri sau 1.0 adica chestii ce dateaza de pe vremea in 95-98-NT-2000-Millenium-Xp etc... Este evident ca orice este sub TLS 1.2 trebuie oprit by default in anul 2022 si asa se si face in windows 10 2004 sau H1+ pe curat problema e ca autoritatile noastre fiscale si care or mai fi inca ruleaza servere antice din generatia NT/2k/old linux care nu pot suporta protocoale mai noi de securitate ca alea trebuie implementate inclusiv in kernel si nu se poate face un upgrade incat sa merite financiar, sistemele vechi nu mai sunt dezvoltate, sunt end of life, trebuie inlocuite. De aceea gasim inca idiotenii de servere care nu merg fara TLS 1.0 sau dianstea... cand ei fac un server nou care suporta protocoale noi de regula inseamna ca inlocuiesc si hardware. Softpedia e la zi acuma, TLS 1.3, SHA256 chei de 128 biti. Anul trecut parca se lega 1.2 doar... daca nu am insel, parca asa vasusem in FF cel putin. TLS 1.2 pana si el contine protocoale perimate gen SHA-1 RC4 DES 3DES AES-CBC MD5 dar inca sunt utilizabile daca sunt setate corect... o sa vina insa si vremea blacklistarii lor si pregatirea noilor generatii Edited by andreic, 27 May 2022 - 09:55. |
#30
Posted 27 May 2022 - 11:54
Cred ca te-au auzit
Am primit de dimineata un update, si deocamdata totul pare sa functioneze. Doamne-ajuta! |
#31
Posted 27 May 2022 - 12:57
cilibiu, on 25 mai 2022 - 18:02, said:
La mine problema este ca nu pot sa ma conectez. Cand incerc sa instalez checkpoint mobile, primesc eroare din poza. De unde pot downloada manual executabilul? Aveti idee de ce nu merge? Hello, Eroarea asta îi apare și colegei mele de birou, în continuare... Ea are probabil o versiune veche de java, poate fi de la asta? Sau trebuie să intru în setările Edge să umblu la ce ați discutat voi mai sus? Portalul vechi îi merge, încă, pe IE, acum am încercat și pe Edge, și pe chrome, și nu vrea nenorocitul ăsta de program să se instaleze... Mulțumesc mult! |
#32
Posted 27 May 2022 - 14:06
adiharan, on 27 mai 2022 - 11:54, said:
Cred ca te-au auzit Am primit de dimineata un update, si deocamdata totul pare sa functioneze. Doamne-ajuta! La mine tot nu functioneaza. Acum se conecteaza in chrome si edge dar nu pot sa deschid ncts si siiv. )) Am reusit sa fac printr-un bat sa-mi functioneze siiv cu ultima versiune de java. NCTS tot nu reusesc sa-l fac sa porneasca, le-am dat acum mail. Edited by Ravy, 27 May 2022 - 14:11. |
#33
Posted 27 May 2022 - 15:00
Am reusit sa replic problema in laborator utilizand un R81.10 Take 330 cu JFH 45 si MAB activat. Autentificarea exclusiv cu certificat + parola.
in %temp%\chsell se afla fisierul de log (cshell.elg) care zice asa: 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] detectProxy, name = internal-test-ssl 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] detectProxy, proxyFullPath = C:\Users\TEMP\AppData\Local\Temp\proxy.ini 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] URI = https://internal-test-ssl 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about to get the system-wide proxy selector... 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about select proxy list from the selector... 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about iterate the proxy list... 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about iterate the proxy #0... 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about to get address from proxy... 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] no proxy - continue 27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] done with the list - there is no proxy 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] ISW_SNX_SPLIT_TUNNELING env does not exist 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Sending INIT_DATA message: 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Gateway IP: 192.168.1.55 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Gateway name: internal-test-ssl 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Gateway port: 443 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Proxy IP: 0.0.0.0 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Proxy port: 0 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Server CN: 192.168.1.55 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] User Name: [email protected] 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Server fingerprint: JISN MDRD UPB FREY POLA SFCF TESS GTR PEAR PAGE TOLL MINE 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Automatic proxy replacement: true 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Sending INIT_DATA_EX message: 27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Allow only packets from sws: false 27/05/2022 14:59:55 INFO [global] (Log log) [CShell] Initialized successfully 27/05/2022 14:59:55 INFO [CShellHTTPHandler] (CShellHTTPHandler proceedHandleRequest) Method name: get_is_connected 27/05/2022 14:59:55 INFO [CShellHTTPHandler] (CShellHTTPHandler proceedHandleRequest) Method name: get_finished 27/05/2022 14:59:56 INFO [global] (Log log) [Messaging] Received DISCONNECTED message, Error 201: Authentication failed 27/05/2022 14:59:56 INFO [CpComponent] (CpComponent run) Received 'Disconnect' message from SNX: ID: 201 MSG:Authentication failed 27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker disconnectTunnel) Can't disconnect tunnel, client director is not defined. 27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker stop) Can't stop disconnect checker, processed handle is not defined. 27/05/2022 14:59:56 INFO [CShellHTTPHandler] (CShellHTTPHandler proceedHandleRequest) Method name: Uninitialize 27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker disconnectTunnel) Can't disconnect tunnel, client director is not defined. 27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker stop) Can't stop disconnect checker, processed handle is not defined. Corelat cu logul din gateway care povesteste: Line 5989: [103854][26 May 14:59:27][SNX] [CVPN_INFO] Cvpn::SnxManager::startSnxSession: Writing to VPN Kernel table paramerers: snxIdBuf=785338440 snxActiveTimeout=43025 [email protected] userDN=CN=testuser,OU=Test,OU=VPN,DC=localhost,DC=ro radiusGroups= Line 6011: [103854][26 May 14:59:27] save_login_info: entry already in table, probably re-auth, extend timeout and update log uid Line 6021: [103854][26 May 14:59:27][SESSION_UTILS] [CVPN_ERROR] VPNSession::VpnSessionServices::updateOmIpAndSessionTimeout: Failed to retrieve a SIS session ID for VPN Session ID: {0x2ecf5048,0x628f5bb4,0xf0200c0,0x3fff95ae} . . . . 2467][26 May 15:00:03][CVPNLOG] log_snx parameters are: Login name: [email protected] description: SNX connection failed Access status: 2 Group(s): ad_group_Test RejectId: 86176105-818882-585b6708 URL: Reason: Error in disconnecting user [2467][26 May 15:00:03][CVPNLOG] cvpn_log_make_username parameters are: full name: (Userdetest) login name: ([email protected]) [2467][26 May 15:00:03][CPLOG] --> CCplogUtils::FillVarArg [2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: Userdetest ([email protected]) [2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: SNX connection failed [2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: ad_group_Test [2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: Error in disconnecting user CheckPoint are o solutie, doua patch-uri dar din pacate ele trebuie furnizate de tech support pentru ca sunt unice pentru fiecare gateway in parte (eu am un singur gateway cu licenta inca 10 zile si nu pot beneficia de el ) ) Misto este ca R81.10 care se presupune ca este buricul targului e incapabil sa ofere o functionalitate care merge de pe vremea Connectra (R65) -> un rahat de tunel peste SSL care iti arunca niste rute in tablea de rutare client. Halal tehnologie.... Nici cu altii nu-mi este rusine (Fortigate cu dude de soft, PaloAlto cu dude de instabilitate (si pret ca porcu')) dar parca Check a luat-o razna rau cu versiunile superioare. Edited by melcu, 27 May 2022 - 15:01. |
|
#34
Posted 27 May 2022 - 22:24
cilibiu, on 27 mai 2022 - 14:06, said:
Mi-au dat mail si mi-au zis ca au remediat problema. La mine tot nu functioneaza. Acum se conecteaza in chrome si edge dar nu pot sa deschid ncts si siiv. )) Am reusit sa fac printr-un bat sa-mi functioneze siiv cu ultima versiune de java. NCTS tot nu reusesc sa-l fac sa porneasca, le-am dat acum mail. Nici nu cred ca va merge siiv-ul in Chrome/Edge. In Edge, poate doar in mod ie. Eu ocolesc problema lansind siiv-ul din bat, prin frmsal. Oricum e mai bine decit in browser. Ceva ceva merge acuma, dar sa nu las portalul conectat cind intra calc. in stand by. Atunci trebuie dezinstalate/reinstalate Mobile Portal si extenderul. Ncts-ul imi merge. Cu Java 1.5. |
#35
Posted 28 May 2022 - 22:30
In Edge merge si sitemul vechi, doar in mod ie.
Sistemul nou merge si in Chrome, si pot sa lansez siiv cu bat, ultima versiune. Din pacate, ncts-ul nu-l pot accesa prin bat. Tu poti sa ocolesti browser-ul la ncts? Daca da, cum? Edited by Ravy, 28 May 2022 - 23:23. |
#36
Posted 29 May 2022 - 12:24
cilibiu, on 28 mai 2022 - 22:30, said:
In Edge merge si sitemul vechi, doar in mod ie. Sistemul nou merge si in Chrome, si pot sa lansez siiv cu bat, ultima versiune. Din pacate, ncts-ul nu-l pot accesa prin bat. Tu poti sa ocolesti browser-ul la ncts? Daca da, cum? Nu-l ocolesc, dar ncts pleaca intr-un form stand alone. N-are treaba cu browser-ul. Ce java folosesti? Incearca sa activezi din java "show console", la advanced. Eu am vrut initial s-o activez doar pentru depanare, dar in mod miraculos si inexplicabil, daca activez consola pleaca ncts-ul... p.s. ma gindesc ca ai alea trei linii adaugate in hosts... Edited by adiharan, 29 May 2022 - 12:25. |
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users