Телеграмм чат группы chkpchat страница 1802

13:20пожаловаться #1

Д

Дмитрий in Check Point Community (RUS)

Коллеги. добрый день.
Задача:
Надо разрешить VPN клиентам использовать прокси на том же гетвее куда подключился.

Настроил:
В настройках гетвея прокси указан явный.
В правилах разрешил ВПН клиентам подключатся к внутреннему адресу гетвея на порт прокси.
На клиенте указываю IP адрес и порт прокси - внутренний адрес гетвея.
В настройках ВПН сети указано скрывать за адресом гетвея.

Проверил:
Для пользователей внутри сети прокси работает.
В логах вижу обращения ВПН клиентов к проксе, все принято и разрешено, но страница так и не загружается.

Вопрос:
Что я забыл?
Куда еще посмотреть?

Спасибо.

Sergey Khodyrev in Check Point Community (RUS)

13:42пожаловаться #2

SK

Скорее всего для VPN клиентов нет нужного маршрута. Попробуйте NAT добавить для их пула на адрес прокси. Или маршруты проверить в обе стороны.

14:45пожаловаться #3

K

Добрый день. На версии R80.30 кто-нибудь встречался с таким, что при впн подключении, если на клиенте посмотреть, то часть маршрутов попросту отсутствует?

Дмитрий in Check Point Community (RUS)

15:17пожаловаться #4

Д

Добрый день. На версии R80.30 кто-нибудь встречался с таким, что при впн подключении, если на клиенте посмотреть, то часть маршрутов попросту отсутствует?

Добрый вечер. Скорей всего эти сети не добавлены в список сетей куда имеют доступ удаленные vpn подключения.

Сергей Бондарь... in Check Point Community (RUS)

17:14пожаловаться #5

СБ

Дмитрий

Коллеги. добрый день.
Задача:
Надо разрешить VPN клиентам использовать прокси на том же гетвее куда подключился.

Настроил:
В настройках гетвея прокси указан явный.
В правилах разрешил ВПН клиентам подключатся к внутреннему адресу гетвея на порт прокси.
На клиенте указываю IP адрес и порт прокси - внутренний адрес гетвея.
В настройках ВПН сети указано скрывать за адресом гетвея.

Проверил:
Для пользователей внутри сети прокси работает.
В логах вижу обращения ВПН клиентов к проксе, все принято и разрешено, но страница так и не загружается.

Вопрос:
Что я забыл?
Куда еще посмотреть?

Спасибо.

Добрый вечер. Самый простой способ (ИМХО) смотреть трафик на МЭ (tcpdump, fw monitor). А так мб много чего, не хватает правила, где-то на АСО не хватает маршрута, прокси не добавлен в enc домен, на прокси подсеть office mode не добавлена как пользовательская и т.д.

17:21пожаловаться #6

K

Дмитрий

Добрый вечер. Скорей всего эти сети не добавлены в список сетей куда имеют доступ удаленные vpn подключения.

Неа, добавлено примерно так:
От впн сети по маске /19 к пользовательским
10.110.0.0/16
10.111.0.0/16
...
10.120.0.0/16
На клиентском ПК после включения впна вывод маршрутов примерно такой:
10.111/16, 10.112/16, 10.116/16, 10.120/16 и всё. Причем на хосты в этих пользовательских сетях не проходит ни пинг, ни рдп, в логах попытки не видны, в правилах открыто any/any.

Дмитрий in Check Point Community (RUS)

17:29пожаловаться #7

Д

Неа, добавлено примерно так:
От впн сети по маске /19 к пользовательским
10.110.0.0/16
10.111.0.0/16
...
10.120.0.0/16
На клиентском ПК после включения впна вывод маршрутов примерно такой:
10.111/16, 10.112/16, 10.116/16, 10.120/16 и всё. Причем на хосты в этих пользовательских сетях не проходит ни пинг, ни рдп, в логах попытки не видны, в правилах открыто any/any.

Если я не ошибаюсь, то поохоже на суммаризацию маршрутов.

17:43пожаловаться #8

K

Дмитрий

Если я не ошибаюсь, то поохоже на суммаризацию маршрутов.

Сети точно разные, идут друг за другом. Непонятно, почему они на клиента приходят такими "кусками", и как с этим бороться.

https://youtu.be/EdPfK0hwJJY

17:45пожаловаться #9

AU

Amit Upadhyay in Check Point Community (RUS)

YouTube

Site-to-Site VPN on CheckPoint Firewall R80

This is the promotional Video of my course CheckPoint Firewall Administration R80 on Udemy. The course on is currently running at Heavy Discount and is accessible at :
https://www.udemy.com/course/checkpoint-firewall-administration-r80/?couponCode=KNOWLEDGE-4-U

Course : Checkpoint Firewall Administration R80 (Udemy)

TOPIC-1 COURSE INTRODUCTION
Course Introduction

TOPIC-2 WHAT IS CHECKPOINT?
What is Checkpoint?
Hardware-Software-OS Matrix
Components of Checkpoint
Checkpoint Installation Scenarios

TOPIC-3 ABOUT CHECKPOINT LAB
Virtualization Basics
Course LAB Components

TOPIC-4 STANDALONE CHECKPOINT INSTALLATION
Standalone Deployment LAB Brief
Virtual Switch Deployment in Hyper V
GAiA (iso) Installation in Hyper V
Standalone Deployment & Configuration
Smart Console (GUI Client) Installation

TOPIC-5 DISTRIBUTED CHECKPOINT INSTALLATION
Distributed Deployment LAB Brief
Deploy Management (iso) in Hyper V
Configure Checkpoint Management Server
Deploy Firewall (iso) in Hyper…

Дмитрий in Check Point Community (RUS)

17:47пожаловаться #10

Д

Сети точно разные, идут друг за другом. Непонятно, почему они на клиента приходят такими "кусками", и как с этим бороться.

Если я не ошибаюсь, то посмотрите данную статью https://sc1.checkpoint.com/documents/R76/CP_R76_SecurePlatform_AdvancedRouting_WebAdmin/51318.htm

17:50пожаловаться #11

K

Дмитрий

Если я не ошибаюсь, то посмотрите данную статью https://sc1.checkpoint.com/documents/R76/CP_R76_SecurePlatform_AdvancedRouting_WebAdmin/51318.htm

Благодарю, посмотрю. 👍

18:00пожаловаться #12

AP

Alexey P in Check Point Community (RUS)

Добрый день. На версии R80.30 кто-нибудь встречался с таким, что при впн подключении, если на клиенте посмотреть, то часть маршрутов попросту отсутствует?

А удаленные сети находящиеся за чекпоинтом добавлены в маршрутизацию на самом чекпоинте в веб интерфейсе?

18:32пожаловаться #13

K

Alexey P

А удаленные сети находящиеся за чекпоинтом добавлены в маршрутизацию на самом чекпоинте в веб интерфейсе?

А вот это надо проверить, но если не ошибаюсь там 10.0/8 сразу добавлена.

18:34пожаловаться #14

AP

Alexey P in Check Point Community (RUS)

А вот это надо проверить, но если не ошибаюсь там 10.0/8 сразу добавлена.

Ещё может вы не добавили эти сети в энкрипшн домен для впн и они пытаются идти напрямую

18:38пожаловаться #15

K

Alexey P

Ещё может вы не добавили эти сети в энкрипшн домен для впн и они пытаются идти напрямую

Нет, в encryption domain они точно добавлены.

19:14пожаловаться #16

KK

Konstantin Kravchuk in Check Point Community (RUS)

Коллеги подскажите можно ли инспектировать skype?

19:46пожаловаться #17

KK

Konstantin Kravchuk in Check Point Community (RUS)

Или как можно исключить его из инспекции правильно?

Sergey Zabula in Check Point Community (RUS)

19:47пожаловаться #18

SZ

Коллеги, приглашаем всех регистрироваться на наш новогодний Зум 24 декабря в 15:00 для участников Комьюнити! Не упустите шанс пообщаться с Check Point, поучаствовать в конкурсах и просто хорошо провести время 😊 Для регистрации на мероприятие нужно залогиниться на CheckMates и вступить в группу Russia - регистрация по ссылке.

Check Point CheckMates

Russia

Local User Group for Russia

Local User Group for Russia

19:51пожаловаться #19

A

Alexey in Check Point Community (RUS)

Sergey Zabula

Коллеги, приглашаем всех регистрироваться на наш новогодний Зум 24 декабря в 15:00 для участников Комьюнити! Не упустите шанс пообщаться с Check Point, поучаствовать в конкурсах и просто хорошо провести время 😊 Для регистрации на мероприятие нужно залогиниться на CheckMates и вступить в группу Russia - регистрация по ссылке.

Check Point CheckMates

Russia

You do not have sufficient privileges for this resource or its parent to perform this action.
Click your browser's Back button to continue.