GoldenLine
Zaloguj się
Piotr Binder

Piotr Binder Specjalista IT

Temat: problem z pingwaniem w tunelu vpn

Witam

Mam taki problem , mam zestawiony tunel vpn miedzy dwoma checkpointami tunel działa ok ale jak człowiek z drugiej strony tunelu próbuje zapingować do maszyny u mnie w sieci to ja dostaje taki log:
---------------------
Number: 253862
Date: 6Jan2009
Time: 14:08:03
Product: VPN-1 Pro/Express
Interface: eth0
Origin: centrala (xx.xxx.xx.xx)
Type: Log
Action: Drop
Source: xxx.xx.xx.xx
Destination: AS_400_VPN (xx.xxx.xxx.xxx)
Protocol: icmp
Encryption Scheme: IKE
VPN Peer Gateway: Gateway (xxx.xxx.xx.xxx)
Encryption Methods: ESP: 3DES + SHA1
Subproduct: VPN
VPN Feature: VPN
Information: ICMP: Echo Request
ICMP Type: 8
ICMP Code: 0
encryption failure: According to the policy the packet should not have been decrypted
----------------------

nie wiem o co chodzi z tym błędem
Ktoś wie jak rozwiązać ten problem?
Dzięki za pomoc
Link do wypowiedziLink
Mirosław K.

Mirosław K. CISSP

Temat: problem z pingwaniem w tunelu vpn

Witam,

A może Ci się pokrywają Encryption Domain ?

Może to coś Ci pomoże..
http://www.cpug.org/forums/check-point-vpn-1-edge-appl...

Pozdrawiam
Mirek
Link do wypowiedziLink
Piotr Binder

Piotr Binder Specjalista IT

Temat: problem z pingwaniem w tunelu vpn

Witam

no własnie nie bardzo wiem o co chodzi z tym Encryption Domain i gdzie tego szukać - jakoś nie do końca rozumiem ten system , tunel stoi i działa a problem jest z takim banałem jak przepuszczenie odpowiednich protokołów nie kumam tego.

Pozdrawiam
Piotr
Link do wypowiedziLink
Mirosław K.

Mirosław K. CISSP

Temat: problem z pingwaniem w tunelu vpn

Czy te gateway-e są zarządzane przez ten sam SmartCenter ?
Czy w obiekcie GW w zakładce topology masz zdefiniowane ręcznie VPN Domain ?

Pozdrawiam
Mirek
Link do wypowiedziLink
Piotr Binder

Piotr Binder Specjalista IT

Temat: problem z pingwaniem w tunelu vpn

Ok opisze co i jak od początku to będzie łatwiej - wiec jest tak , firma supportująca pewne oprogramowanie w Mojej firmie ma się łączyć do nas VPN-em. GW firmy supportującej stoi w Holandii, i to Holandia narzuciła mi parametru konfiguracyjne - mają dużo tuneli i ja się muszę do nich dostosować.

Konfiguracja wygląda tak :

GW po stronie Holandii to R65 u mnie R60;

w SmartDashbord (u mnie) w zakładce VPN stworzyłem - vpn "gwiazdę",

W Interoperable Devices - stworzyłem GW_Holandia i dałem mu numer ip 212.221.xxx.xx - taki jak dostałem w wytycznych z Holandii , w Topologii w VPN Domain dalem "manual defined" - i sieci która stworzyłem czyli Holandia_Net - 195.72.xx.xx - też narzucone przez Holandie

oczywiście w edycji "gwiazdy" w vpn propertis zdefiniowałem wszystkie szyfrowania narzucone przez Holadnie i tuner działa

stworzyłem także obiekt komputera AS_400_VPN- ponieważ Holandia dobija sie do konkretnej maszyny po mojej stronie nadalem temu obiektowi ip takie jak mi kazali czyli 10.251.xxx.xxx - nawet to ip dopisalem fizycznie na maszynie do karty sieciowej bo juz nie mialem pomyslu o co chodzi.

a w zakladce regół dalem ze : źródłem jest Holadnia_Net celem AS_400_VPN wszystkie vpn , wszystkie service , z akceptacją.

Człowiek z Holandii pisze mi że pakiey od niego wychodzą ale nie wracają a ja dostaje taki log jak podesłałem na samym początku.

i to cała historyjka ;)

Pozdrawiam
PiotrPiotr Binder edytował(a) ten post dnia 12.01.09 o godzinie 16:26
Link do wypowiedziLink

konto usunięte

Temat: problem z pingwaniem w tunelu vpn

czesc

jesli chodzi o Checkpoint to nie mam doswiadczenia z VPNem, ale bazując na tym co wiem o Cisco VPN to powiedziałbym że brakuje mi tu skierowania interesującego ruchu do tunnelu.

sprawdz routing na FW... poza tym google i powidzenia!

P.
Link do wypowiedziLink
Mirosław K.

Mirosław K. CISSP

Temat: problem z pingwaniem w tunelu vpn

Hej,

- a jaka jest Twoja VPN Domain , czy zawiera ona AS_400_VPN? Zdefiniowane manualnie? Czy taką podałeś Holendrom, by skonfigurowali po swojej stronie?
- Czy coś mówią logi z trackera z momentu zestawienia tunelu? Faza 1 i 2 ? Może warto zapuścić vpn debug on , i przeanalizować ike.elg. Dasz radę podesłać te wpisy?
- cytuje "a w zakladce regół dalem ze : źródłem jest Holadnia_Net celem AS_400_VPN wszystkie vpn , wszystkie service , z akceptacją."
Co znaczy "wszystkie vpn" ? A nie powinieneś podać tam tylko właściwego community?

Swoją drogą po czym poznajesz, że tunel się w pełni podniósł a nie wywala się gdzieś podczas negocjacji?

Pozdrawiam
Mirek
Link do wypowiedziLink
Piotr Binder

Piotr Binder Specjalista IT

Temat: problem z pingwaniem w tunelu vpn

powiem tak , robie taka konfiguracje poraz pierwszy w życiu , chackpointa odziedziczyłem po porzednim adminie,z kilkoma skonfigurowanymi vpnami na których probowałem się wzorować ale ale to nie bardzo chyba tak się da.

Co do Encryption Domain - z teg oco zrozumialem to to jest porostu sieci - obiekt zdefinowany w zakladce Networks - czy dobrze rozumiem?

co do tych logów na temat zestawiania tunelu to je wydłubie z trackera i podeśle

To Holendrzy mi narzucają parametry konfiguracji a ja je wykonuje.

Możliwe że powinienem dać tylko właściwe community - ale tak jak pisałem wzorowałem się na innych tunelach które mam skonfigurowane i tam jest w kolumnie VPN ustawione any podajrze.

ok zaczne od wydlubania logów z tracera

Pozdrawiam
Piotr

Pozdr
Link do wypowiedziLink
Mirosław K.

Mirosław K. CISSP

Temat: problem z pingwaniem w tunelu vpn

Ważne jest żeby była zgodność konfiguracji po obu stronach, nie tylko metody szyfrowania itp. ale i enc. domain. Sprawdź przedewszystkim czy w twojej vpn domain jest zawarty ten host do kŧórego się dostają holendrzy.
Z doświadczenia wiem, że lepiej też jest manualnie mu ją zdefiniować niż kazać mu ja liczyc na podstawie topologii,
Pisałeś, że na jednym interfejsie dodałeś sieć z hostem dla holendrów. A czy odświeżyłeś może topologie w definicji obiektu twego GW. To też może być istotne.
Jeśli masz zgodność konfiguracji po obu stronach i nie działa, wtedy pozostaje debug i logi z trackera. ;]
Niestety vpn-y są dosyć kapryśne, ale jak juz zadziałają nie robią później problemów.
Będzie dobrze;)

Pozdrawiam
Mirek
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj