CheckPoint site-to-site vpn i ruch w jedna strone.
-
- wannabe
- Posty: 87
- Rejestracja: 20 wrz 2007, 19:07
CheckPoint site-to-site vpn i ruch w jedna strone.
Zapinany jest VPN pomiedzy CP i Cisco/linux, ustawienia akceptowane przez wszystkie strony, jednakowe itd itp.
Jesli inicjowany jest ruch od strony nie CP to IPSec sie zestawia, ruch przelatuje do drugiego site'u i do hosta docelowego, tenze odpowiada, a CP w swojej laskawosci w logach pisze iz nie ma odpowiedniego SA dla tego powrotnego ruchu i dropuje wszystko ...
Z lektury google wnioskuje iz jest to standardowe ( n/c ) zachowanie CP gdy po drugiej stronie jest inny vendor, w postach przewija sie wiele porad, lecz ostatecznie nie bylem w stanie wychwycic tej wlasciwej.
Sam nie mam mozliwosci testowania CP, czlowiek ktory zarzadza tym CP nie zna sie na tym, boi sie zagladac 'za gleboko' oraz za dużo grzebać na oslep, wiec poszukuje lopatologicznego opisu tego co on musi zrobic aby CP w koncu zaczelo zestawiac tunel w druga strone ...
Czy ktos zna moze rozwiazanie ?
Jesli inicjowany jest ruch od strony nie CP to IPSec sie zestawia, ruch przelatuje do drugiego site'u i do hosta docelowego, tenze odpowiada, a CP w swojej laskawosci w logach pisze iz nie ma odpowiedniego SA dla tego powrotnego ruchu i dropuje wszystko ...
Z lektury google wnioskuje iz jest to standardowe ( n/c ) zachowanie CP gdy po drugiej stronie jest inny vendor, w postach przewija sie wiele porad, lecz ostatecznie nie bylem w stanie wychwycic tej wlasciwej.
Sam nie mam mozliwosci testowania CP, czlowiek ktory zarzadza tym CP nie zna sie na tym, boi sie zagladac 'za gleboko' oraz za dużo grzebać na oslep, wiec poszukuje lopatologicznego opisu tego co on musi zrobic aby CP w koncu zaczelo zestawiac tunel w druga strone ...
Czy ktos zna moze rozwiazanie ?
Jeżeli chodzi o łopatologiczny opis to może ze strony cisco.com
Configuring an IPsec Tunnel - Cisco Router to Checkpoint Firewall 4.1
Configuring an IPsec Tunnel - Cisco Router to Checkpoint Firewall 4.1
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu
-
- wannabe
- Posty: 87
- Rejestracja: 20 wrz 2007, 19:07
A wiesz cos na temat tego tekstu:
"Packet is dropped because there is no valid SA - please refer to solution sk19423 in SecureKnowledge Database for more information"
w poscie ktory ukryty jest w powyzszym tekscie podobnoz znajduje sie rozwiazanie...
CP to jest Checkpoint FW1 NX i z tego co mi powiedziano jego konfiguracja wyglada niestety inaczej niz w podanym przez Ciebie linku
"Packet is dropped because there is no valid SA - please refer to solution sk19423 in SecureKnowledge Database for more information"
w poscie ktory ukryty jest w powyzszym tekscie podobnoz znajduje sie rozwiazanie...
CP to jest Checkpoint FW1 NX i z tego co mi powiedziano jego konfiguracja wyglada niestety inaczej niz w podanym przez Ciebie linku
No to jak wszystko jest cool, i jest wykupiony support, to nie powinno byc problemu z dostepem do tego dokumentu na KnowledgeDatabase.cisco-user pisze:A wiesz cos na temat tego tekstu:
"Packet is dropped because there is no valid SA - please refer to solution sk19423 in SecureKnowledge Database for more information"
w poscie ktory ukryty jest w powyzszym tekscie podobnoz znajduje sie rozwiazanie...
Jaka jest dokladnie wersja tego CP?
Jakies linki ratunkowe:
http://www.cpug.org/forums/vpns-virtual ... 19423.html
http://lists.virus.org/fw1-0502/msg00443.html
http://oldfaq.phoneboy.com/gurus/200703/msg00082.html
Enjoy
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
-
- wannabe
- Posty: 87
- Rejestracja: 20 wrz 2007, 19:07
Jak tylko sie szpec po drugiej stronie w koncu 'wyjaji' to moze uda mi sie to sprawdzic ... isakmp sa na pewno takie same, ale crypto-mapy moga byc inne - dziwne ze musza byc dokladnie takie same przeciez nie jest to nigdzie przekazywane miedzy peerami - wazne przeciez aby ACLki chwytaly odpowiedni ruch a to na pewno robia :>
-
- wannabe
- Posty: 87
- Rejestracja: 20 wrz 2007, 19:07