Problema Checkpoint SSL Network Extender

adiharan, on 25 mai 2022 - 20:54, said:

Am incercat cu chrome si nu merge.

cilibiu, on 25 mai 2022 - 20:48, said:

Vrei sa spui in mod IE, probabil. Oricum, eu n-am reusit sa-l fac sa mearga in Edge. Sistemul vechi. Cel nou merge - cind merge

Edited by Ravy, 25 May 2022 - 22:27.

Da, in mod ie am dorit sa scriu.

Trebuie sa intri in setari iar la default browser pui site-ul de accesare sa ti-l deschida cu ie.
Practic, este deschis cu Internet Explorer si merge.

Am reusit pe un windows 10 sa fac sa mearga si sitemul nou de dimineata.
Ma rog, nu am facut nimic, merge cu setarile actuale.

Era misto daca mergea in chrome, mie nu-mi merge.
Tu ai facut ceva setari speciale cand a mers in chrome?

Edited by Ravy, 26 May 2022 - 08:40.

Nu am facut nicio setare speciala. Doar m-am asigurat ca sunt bifate tsl-urile. Toate.
Acuma imi merge si mie in IE tab. Probabil e o versiune noua, inainte nu mergea.

Pentru Chrome, am vazut ca ajuta, atunci cind nu se conecteaza la portal (daca asta patesti si tu) sa dai din c panel repair la Checkpoint mobile access portal. Practic, doar reseteaza cerificatul digital. De cele mai multe ori se repara, dar nu pot pune userii sa faca asta. Asa ca deocamdata mai astept.

p.s.
Dupa conectare folosesc lansarea aplicatiilor fara browser, direct in Oracle Forms. E mai rapid si mai stabil. Si am scapat cu totul de IE.

Pentru SNX (de la Check Point citire) trebuie Java 8 32-bit!  Deci 32 bit only! https://supportcente...tionid=sk113410
Totodata, tot de la CheckPoint vine informatia ca Windows 11 inca nu este suportat Daca in momentul in care (dupa ce s-a descarat fisierul .msi) te redirectioneaza spre sk109125  atunci nu vede variabila de java (ma repet, java 32 bit).
Executabilul pentru Mobile Portal Agent nu se poate descarca manual , el este generat de gateway (continand un certificat)

Ce-i interesant este ca:

Internet Explorer foloseste  SSL Network Extender
Edge/Chrome  folosesc Mobile Access Portal Service

Nu stiu ce sa zic. Mie mi-a mers si pe 11. Acuma iar nu merge. Si in plus, la accesarea portalului se instaleaza automat si Mobile Portal, si Network extender. In Chrome/Edge. Tot mai mult cred ca e ceva cu implementarea in server, si problema nu e locala.

Este de la ei. Am vb. eu cu unul din cei care lucreaza la portal. A intrat la mine si a incercat sa-l faca si nu a reusit. A zis ca nu este de la statia mea, au verificat si la ei si este o problema de la portal, a mers si nu mai merge. A ramas ca ma anunta cand o sa fie functional, pana atunci merg pe portalul vechi.

Intr-adevar merge si pe Windows 11 gunoiu ala de Mobile Agent. Ce-i foarte misto este ca SK-ul zice ca ai nevoie de Java Jre 1.8  insa  MSI-ul de Mobile Agent crapa spunand ca se uita dupa 1.6 si ca a gasit 1.8 )) Replicat in laborator are acest comportament in R81.10 335 - nu stiu pe ce verisune ruleaza cel de la ANAF.

Ca idee, cei cu windows 11 gasiti logul de la .msi in temp ( %temp% ) de forma  MSIxxxxxx.log   Cel mai probabil plange ca nu gaseste Java si de aceea va redirectioneaza catre pagina cu SK


Un PaloAlto rezolva problema mult mai elegant.  Care este portalul vechi ? Ala de merge cu orice browser si orice windows ?

Edited by melcu, 26 May 2022 - 19:59.

Portalul vechi merge doar cu ie, in edge rulez in mod ie sa-mi mearga.

https://sslvpn.custo...vpn/Login/Login

Sa inteleg ca la tine merge portalul noi?
Mie mi-a instalat agent ala dar cand dau conectare nu se intampla nimic, nu primesc nicio eroare dar nici nu se conecteaza. Asta in Chrome si Edge, in mod ie nu-mi vede certificatul. ))

Edited by Ravy, 27 May 2022 - 08:17.

"vechiul" este o versiune foarte veche de Check Point dupa cum arata. TLS1.0 ? in 2022 - mie nu mi se deschide pe Firefox sau Chrome.
Nici cu cel nou nu mi-e rusine cu TLS 1.2 ca versiunile noi de Check suporta si TLS 1.3 - dar nu comentam aici.  Certificatul o sa le expire in cateva zile )

TLS 1.3 dateaza din 2018 deci e relativ nou si este "Faster and More Secure" decat tot ce a fost inainte, e practic ce ar trebui sa foloseasca orice server in 2022 vorba aia... nu e suportat in win 7.
TLS 1.2 dateaza din 2008, si a aparut la doar 2 ani de la TLS1.1 (2006) care era dezastru cu securitatea (au fost buguri majore de aia e blackistat in orice configuratie moderna)... bine era fain fata de SSL-uri sau 1.0 adica chestii ce dateaza de pe vremea in 95-98-NT-2000-Millenium-Xp etc...

Este evident ca orice este sub TLS 1.2 trebuie oprit by default in anul 2022 si asa se si face in windows 10 2004 sau H1+ pe curat problema e ca autoritatile noastre fiscale si care or mai fi inca ruleaza servere antice din generatia NT/2k/old linux care nu pot suporta protocoale mai noi de securitate ca alea trebuie implementate inclusiv in kernel si nu se poate face un upgrade incat sa merite financiar, sistemele vechi nu mai sunt dezvoltate, sunt end of life, trebuie inlocuite. De aceea gasim inca idiotenii de servere care nu merg fara TLS 1.0 sau dianstea... cand ei fac un server nou care suporta protocoale noi de regula inseamna ca inlocuiesc si hardware.
Softpedia e la zi acuma, TLS 1.3, SHA256 chei de 128 biti. Anul trecut parca se lega 1.2 doar... daca nu am insel, parca asa vasusem in FF cel putin.

TLS 1.2 pana si el contine protocoale perimate gen SHA-1 RC4 DES 3DES AES-CBC MD5 dar inca sunt utilizabile daca sunt setate corect... o sa vina insa si vremea blacklistarii lor si pregatirea noilor generatii

Edited by andreic, 27 May 2022 - 09:55.

Cred ca te-au auzit
Am primit de dimineata un update, si deocamdata totul pare sa functioneze.
Doamne-ajuta!

cilibiu, on 25 mai 2022 - 18:02, said:

Hello,

Eroarea asta îi apare și colegei mele de birou, în continuare... Ea are probabil o versiune veche de java, poate fi de la asta? Sau trebuie să intru în setările Edge să umblu la ce ați discutat voi mai sus? Portalul vechi îi merge, încă, pe IE, acum am încercat și pe Edge, și pe chrome, și nu vrea nenorocitul ăsta de program să se instaleze...

Mulțumesc mult!

adiharan, on 27 mai 2022 - 11:54, said:

Mi-au dat mail si mi-au zis ca au remediat problema.
La mine tot nu functioneaza.
Acum se conecteaza in chrome si edge dar nu pot sa deschid ncts si siiv. ))

Am reusit sa fac printr-un bat sa-mi functioneze siiv cu ultima versiune de java.

NCTS tot nu reusesc sa-l fac sa porneasca, le-am dat acum mail.

Edited by Ravy, 27 May 2022 - 14:11.

Am reusit sa replic problema in laborator utilizand un R81.10 Take 330 cu JFH 45  si MAB activat. Autentificarea exclusiv cu certificat + parola.
in %temp%\chsell  se afla fisierul de log (cshell.elg) care zice asa:

27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] detectProxy, name = internal-test-ssl
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] detectProxy, proxyFullPath = C:\Users\TEMP\AppData\Local\Temp\proxy.ini
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] URI = https://internal-test-ssl
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about to get the  system-wide proxy selector...
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about select proxy list from the selector...
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about iterate the proxy list...
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about iterate the proxy #0...
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] about to get address from proxy...
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] no proxy - continue
27/05/2022 14:59:55 INFO [global] (Log log) [Proxy] done with the list - there is no proxy
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] ISW_SNX_SPLIT_TUNNELING env does not exist
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Sending INIT_DATA message:
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Gateway IP: 192.168.1.55
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Gateway name:  internal-test-ssl
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Gateway port: 443
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Proxy IP: 0.0.0.0
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Proxy port: 0
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Server CN: 192.168.1.55
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  User Name: [email protected]
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Server fingerprint: JISN MDRD UPB FREY POLA SFCF TESS GTR PEAR PAGE TOLL MINE
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Automatic proxy replacement: true
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging] Sending INIT_DATA_EX message:
27/05/2022 14:59:55 INFO [global] (Log log) [Messaging]  Allow only packets from sws: false
27/05/2022 14:59:55 INFO [global] (Log log) [CShell] Initialized successfully
27/05/2022 14:59:55 INFO [CShellHTTPHandler] (CShellHTTPHandler proceedHandleRequest) Method name: get_is_connected
27/05/2022 14:59:55 INFO [CShellHTTPHandler] (CShellHTTPHandler proceedHandleRequest) Method name: get_finished
27/05/2022 14:59:56 INFO [global] (Log log) [Messaging] Received DISCONNECTED message, Error 201: Authentication failed
27/05/2022 14:59:56 INFO [CpComponent] (CpComponent run) Received 'Disconnect' message from SNX:
ID: 201 MSG:Authentication failed
27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker disconnectTunnel) Can't disconnect tunnel, client director is not defined.
27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker stop) Can't stop disconnect checker, processed handle is not defined.
27/05/2022 14:59:56 INFO [CShellHTTPHandler] (CShellHTTPHandler proceedHandleRequest) Method name: Uninitialize
27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker disconnectTunnel) Can't disconnect tunnel, client director is not defined.
27/05/2022 14:59:56 WARNING [TunnelChecker] (TunnelChecker stop) Can't stop disconnect checker, processed handle is not defined.


Corelat cu logul din gateway care povesteste:

Line 5989: [103854][26 May 14:59:27][SNX] [CVPN_INFO] Cvpn::SnxManager::startSnxSession: Writing to VPN Kernel table paramerers: snxIdBuf=785338440 snxActiveTimeout=43025 [email protected] userDN=CN=testuser,OU=Test,OU=VPN,DC=localhost,DC=ro radiusGroups=
Line 6011: [103854][26 May 14:59:27] save_login_info: entry already in table, probably re-auth, extend timeout and update log uid
Line 6021: [103854][26 May 14:59:27][SESSION_UTILS] [CVPN_ERROR] VPNSession::VpnSessionServices::updateOmIpAndSessionTimeout: Failed to retrieve a SIS session ID for VPN Session ID: {0x2ecf5048,0x628f5bb4,0xf0200c0,0x3fff95ae}
.
.
.
.
2467][26 May 15:00:03][CVPNLOG] log_snx parameters are:
Login name: [email protected]   description: SNX connection failed  Access status: 2
   Group(s): ad_group_Test
  RejectId: 86176105-818882-585b6708
   URL:
  Reason: Error in disconnecting user
[2467][26 May 15:00:03][CVPNLOG] cvpn_log_make_username parameters are:
  full name: (Userdetest)
  login name: ([email protected])
[2467][26 May 15:00:03][CPLOG] --> CCplogUtils::FillVarArg
[2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: Userdetest ([email protected])
[2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: SNX connection failed
[2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: ad_group_Test
[2467][26 May 15:00:03][CPLOG] CCplogUtils::FillVarArg: str: Error in disconnecting user



CheckPoint are o solutie, doua patch-uri dar din pacate ele trebuie furnizate de tech support pentru ca sunt unice pentru fiecare gateway in parte (eu am un singur gateway cu licenta inca 10 zile si nu pot beneficia de el ) )
Misto este ca R81.10 care se presupune ca este buricul targului e incapabil sa ofere o functionalitate care merge de pe vremea Connectra (R65)  -> un rahat de tunel peste SSL care iti arunca niste rute in tablea de rutare client.  Halal tehnologie....

Nici cu altii nu-mi este rusine (Fortigate cu dude de soft, PaloAlto cu dude de instabilitate  (si pret ca porcu')) dar parca Check a luat-o razna rau cu versiunile superioare.

Edited by melcu, 27 May 2022 - 15:01.

cilibiu, on 27 mai 2022 - 14:06, said:

Nici nu cred ca va merge siiv-ul in Chrome/Edge. In Edge, poate doar in mod ie. Eu ocolesc problema lansind siiv-ul din bat, prin frmsal. Oricum e mai bine decit in browser.
Ceva ceva merge acuma, dar sa nu las portalul conectat cind intra calc. in stand by. Atunci trebuie dezinstalate/reinstalate Mobile Portal si extenderul.
Ncts-ul imi merge. Cu Java 1.5.

In Edge merge si sitemul vechi, doar in mod ie.
Sistemul nou merge si in Chrome, si pot sa lansez siiv cu bat, ultima versiune.

Din pacate, ncts-ul nu-l pot accesa prin bat.
Tu poti sa ocolesti browser-ul la ncts? Daca da, cum?

Edited by Ravy, 28 May 2022 - 23:23.

cilibiu, on 28 mai 2022 - 22:30, said:

Nu-l ocolesc, dar ncts pleaca intr-un form stand alone. N-are treaba cu browser-ul. Ce java folosesti?
Incearca sa activezi din java "show console", la advanced. Eu am vrut initial s-o activez doar pentru depanare, dar in mod miraculos si inexplicabil, daca activez consola pleaca ncts-ul...

p.s.
ma gindesc ca ai alea trei linii adaugate in hosts...

Edited by adiharan, 29 May 2022 - 12:25.