Checkpoint NG FP3 Internet VPN-Tunnel

#1 Hallo zusammen,

da ich hier jetzt schon einige Posts bezgl. NG gesehen habe, werde ich auch hier mal mein Problem schildern.

folgendes Scenario:
Habe 2 Checkpoint NG FP3 auf Solaris8 mit Stonebeat Fullcluster 3.0 am laufen. Habe nun in einem Pilotprojekt einen VPN-Tunnel über Internet/DSL mit Checkpoint SecuRemote am laufen. Das Regelwerk sollte soweit in Ordnung sein. Einwahl funktioniert meistens. Tunnelanfang ist mein Laptop und Tunnelendpunkt ist die offizielle Cluster-IP meiner Maschinen. Habe aber massive Stabilitätsprobleme bei der Verbindung. Die selben Zugriffe über RAS/VPN funktionieren einwandfrei.

Hat hier jemand Erfahrungen. Habe auch evtl. die Vermutung, dass es einfach ein den bescheidenen Antwortzeiten von DSL liegen könnte.


Für Tips oder Erfahrungberichte danke ich Euch schon im voraus :-)

Gruß
Nico

#2 uiiiii, cluster von stonesoft und vpn tunnel???

was siehst du im log? werden die pakete gedropt (out of state) ?
Könnte es sein, das sich die firewalls im cluster nicht richtig über das sync interface aktualisieren (state table)

hast du eine ip (die virtuelle im offiziellen bereich) aus den selben netzsegment genommen?

könnten soooo viele probleme sein.

hast du schon das hf2 auf beiden installiert?
__________
Gruss René
CCSA/SPS

#3 :-) Hallo Rene',

dank erst mal für die Antwort.

>was siehst du im log? werden die pakete gedropt (out of state) ?

nichts was Hinweise auf diesen Verhalten geben könnte.


>Könnte es sein, das sich die firewalls im cluster nicht richtig über das sync >interface aktualisieren (state table)

die "state table" ist i.O. War allerdings ein Prob bei FP2 :-)


>hast du eine ip (die virtuelle im offiziellen bereich) aus den selben >netzsegment genommen?

falls Du die internen Adressen der Module meinst - nein.

>könnten soooo viele probleme sein.

du hast sooooo recht :-(((

>hast du schon das hf2 auf beiden installiert?

- was ist hf2 ??


Werd auch in 1 Woche FP4 installieren. Vielleicht fixt es sich ja von selbst :-)


Gruß
Nico


--

#4 Hi Nico,

Hmm, lass das mal mit der Application Intelligent (R54). Die Installiere ich nicht mal. Ich warte auf das HF1. Mit der OPSEC Schnittstelle UND mit VPN gibt es einige Probleme!!!
Versuche erst mal, das die Checkpoint mit FP3 sauber läuft. Das HF2 ist das Hotfix 2 für FP3. Im FP3 ist sehr viel gefixt worden. Aber es sollte funktionieren.
Nun, Du mußt schon genauer mit Dein problem werden. Was geht genau nicht?
Brechen Die Verbindungen einfach ab? Was steht DANN im Log? Bekommst du ein Time Out? Werden die Verbindungen zurückgewiesen, weil sie evtl. nicht mehr in der State Table stehen?
Ist der Fehler ständig, manchmal oder einfach mur ab und zu da?

Mit der IP Adresse meinte ich die Öffentliche IP Adresse des Clusters, wo sich die Clients hin verbinden. Liegen die innerhalb des IP Netzbereiches des öffentlichen netzes?

Es könnte aber auch auf der Client Seite liegen, das evtl. die MTU nicht stimmt (was ich aber nicht glaube).

Sagt das Log des Client's irgend was brauchbares?

Der Zugriff über RAS VPN: Von wo nach wo geht dieser Tunnel? Ist die Checkopint Tunnelende? Ist das ein S2S Tunnel?

Wenn Du die Vertraulichen Daten nicht ins Board schicken willst, schreib einfach eine Mail an rene_sml@web.de
__________
Gruss René
CCSA/SPS

#5 Hallo Rene',

wir haben das Problem bzw. einen Workarround gefunden.

Es liegt an Stonebeat. Haben zwar jetzt überall die aktuellsten Version und HFixes aber Stonebeat rafft es nicht, wenn ich Änderungen im NAT bzw. VPN mache diese sauber umzusetzen.
Helfen tut, in dem man auf dem Management neue Configfiles (filter-*.conf) generiert und diese anschließend auf die Module in Stonebeatverzeichniss kopiert.
Anschließend auf den Maschinen Stonebeat rekonfigurieren, durchstarten und gut.

Danke für Deine Hilfe und Ideen.

Gruß Nico