English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng Cấu hình vpn trên checkpoint  XML
  [Question]   Cấu hình vpn trên checkpoint 19/09/2009 04:05:17 (+0700) | #1 | 193281
[Avatar]
 vikjava
Elite Member
[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Hi all!

Hiện tại mình đang cấu hình vpn cho con checkpoint. Mô hình như sau
internet --->router cisco --->>>checkpoint.
- Mình đã thực hiện nat trên router
- Cầu hình các bước :
1.Define the Gateway
2. Decide how to manage users
3. Configure the VPN community and its participants
4. Set appropriate access control rules in the Security Policy Rule Base
5. Install the policy on the Gateway

Tuy nhiên dùng securityclient để connect đến thì vẫn chưa kết nối để lấy profile về. Bác nào chỉ giùm vấn nề này tí.

Thân
[Up] [Print Copy]
  [Question]   Cấu hình vpn trên checkpoint 23/09/2009 22:59:03 (+0700) | #2 | 193815
[Avatar]
 vikjava
Elite Member
[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
smilie có bác nào dùng wireshark capture một kết nối thành công, cho mình xin để so sánh với. Hiện tại không biết phải dò tìm lỗi từ đầu hêt. Thân
[Up] [Print Copy]
  [Question]   Cấu hình vpn trên checkpoint 24/09/2009 00:03:50 (+0700) | #3 | 193822
[Avatar]
 lQ
Moderator
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
ưu tiên tìm hiểu client & server's log + debug info nếu có smilie.
[Up] [Print Copy]
  [Question]   Cấu hình vpn trên checkpoint 28/09/2009 23:47:48 (+0700) | #4 | 194255
[Avatar]
 vikjava
Elite Member
[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Việc kết nối IPSec thông qua Firewall cũng là một khó khăn. IPSec dùng các giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu Firewall của ISP ngăn không cho hai nghi thức này đi qua hoặc ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để thương lượng các thông số bảo mật trước khi kết nối thì IPSec không thể thực hiện được. Một thách thức khác là sự không tương thích của IPSec với dịch địa chỉ mạng NAT (Network Address Translation). Trong khi đó, giải pháp SSL VPN tương thích hoàn toàn với Firewall, NAT hay server proxy.

- Vấn đề không phải do firewall cấu hình sai mà do những nguyên nhân trên. smilie

- Xử lý IPSec với dịch địa chỉ mạng NAT (Network Address Translation) sẽ như thế nào đây ??

thanks
[Up] [Print Copy]
  [Question]   Cấu hình vpn trên checkpoint 29/09/2009 00:05:02 (+0700) | #5 | 194257
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

vikjava wrote:

...
- Xử lý IPSec với dịch địa chỉ mạng NAT (Network Address Translation) sẽ như thế nào đây ??
 

Bạn thử ngâm cứu http://en.wikipedia.org/wiki/NAT_traversal chưa?
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Cấu hình vpn trên checkpoint 29/09/2009 22:10:08 (+0700) | #6 | 194355
[Avatar]
 vikjava
Elite Member
[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
hi lão quanta

Trên checkpoint khi enable vpn thì NAT-T là một lựa chọn mặc định. Hi cuối cùng thì cũng ra sướng như đi matxa smilie

internet---router cisco --- checkpoint ---lan

ip public :222.111.000.xxx
router cisco là 1 thiết bị NAT
checkpoint với 2 interface ,external :10.0.0.1 ; internal:10.0.0.2

Khi cấu hình vpn trên checkpoint thì tại Link selection phần NAT ed ip phải chỉ đến ip public 222.111.000.xxx (cái này theo lý thuyết là interface external nhưng để external là ko chạy). Phần source ip address setting thì phải trỏ đến internal 10.0.0.2

- Sau khi thưc hiện các thay đổi phải install rule và install database luôn (thông thường ta chỉ save và install rule )
- Ở phía client thì phải remove cài lại nếu nó đã lấy đươc topology về nhưng không thiết lập tunnel được.
[Up] [Print Copy]
  [Question]   Cấu hình vpn trên checkpoint 09/02/2010 11:16:27 (+0700) | #7 | 204797
baby2010
Member
[Minus]    0    [Plus]
Joined: 25/02/2009 13:25:59
Messages: 16
Offline
[Profile] [PM]

vikjava wrote:
Việc kết nối IPSec thông qua Firewall cũng là một khó khăn. IPSec dùng các giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu Firewall của ISP ngăn không cho hai nghi thức này đi qua hoặc ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để thương lượng các thông số bảo mật trước khi kết nối thì IPSec không thể thực hiện được. Một thách thức khác là sự không tương thích của IPSec với dịch địa chỉ mạng NAT (Network Address Translation). Trong khi đó, giải pháp SSL VPN tương thích hoàn toàn với Firewall, NAT hay server proxy.



thanks 


SSL VPN thích hợp hơn trong trường hợp này sao Pác lại không sử dụng nhí?

Phải chăng là do vấn đề hiệu suất??
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|