Ik probeer een IPsec tunnel verbinding op te bouwen tussen een Checkpoint cluster (FP 3) en een Cisco 871 ergens in verweggistan. Dit heb ik reeds eerder gedaan, sterker nog, de nieuwe verbinding is een toevoeging op een bestaande star-topology van reeds werkende tunnels. De gegevens zijn ingevoerd, keys en overige phase 1 en 2 parameters geconfigureerd en gedoublechecked. Aangezien zowel de Checkpoint als Cisco zijde een blueprint configuratie zijn, zou niets in de weg moeten staan om het te laten werken.
Het vreemde wat er nu gebeurt is dat een client achter het LAN van de Cisco 871 (de remote zijde dus) prima een connectie (ping, telnet oid) kan maken met de centrale omgeving achter de Checkpoints. Key exchange gaat netjes, traffic gaat er netjes encrypted doorheen.
Vanaf de centrale omgeving achter de Checkpoint cluster kan ik echter geen tunnels opbouwen naar hosts achter de Cisco 871.
De foutmelding die Smartview Tracker geeft bij de dropped packets is:
Unable to resolve peer GW - VPN error 02
Helaas geeft de Checkpoint niet meer dan deze summiere logregel.
Ook de online Secureknowledge van Checkpoint geeft geen hits op deze foutmelding.
Nu ben ik verder gaan zoeken en wat blijkt? Er is iets raars met de DNS entries die voor deze verbinding door de provider zijn gemaakt. De forward en reverse DNS entries op Internet wijken af van elkaar. Het reverse record verwijst naar een hostname, maar het forward record van die hostname verwijst naar een totaal ander ip adres.
Zou dit de oorzaak kunnen zijn van mijn probleem? Doet een Checkpoint tijdens het opbouwen van een tunnel ook een DNS lookup op het ip adres van mijn remote gateway, om het vervolgens te matchen met het forward record van de hostname die ie terugkrijgt?
Ik heb de ISP in elk geval gevraagd om het te corrigeren in de hoop dat het gaat werken. Of zouden er andere work-arounds zijn of bekende issuies met bovengenoemde foutmelding?
Het vreemde wat er nu gebeurt is dat een client achter het LAN van de Cisco 871 (de remote zijde dus) prima een connectie (ping, telnet oid) kan maken met de centrale omgeving achter de Checkpoints. Key exchange gaat netjes, traffic gaat er netjes encrypted doorheen.
Vanaf de centrale omgeving achter de Checkpoint cluster kan ik echter geen tunnels opbouwen naar hosts achter de Cisco 871.
De foutmelding die Smartview Tracker geeft bij de dropped packets is:
Unable to resolve peer GW - VPN error 02
Helaas geeft de Checkpoint niet meer dan deze summiere logregel.
Ook de online Secureknowledge van Checkpoint geeft geen hits op deze foutmelding.
Nu ben ik verder gaan zoeken en wat blijkt? Er is iets raars met de DNS entries die voor deze verbinding door de provider zijn gemaakt. De forward en reverse DNS entries op Internet wijken af van elkaar. Het reverse record verwijst naar een hostname, maar het forward record van die hostname verwijst naar een totaal ander ip adres.
Zou dit de oorzaak kunnen zijn van mijn probleem? Doet een Checkpoint tijdens het opbouwen van een tunnel ook een DNS lookup op het ip adres van mijn remote gateway, om het vervolgens te matchen met het forward record van de hostname die ie terugkrijgt?
Ik heb de ISP in elk geval gevraagd om het te corrigeren in de hoop dat het gaat werken. Of zouden er andere work-arounds zijn of bekende issuies met bovengenoemde foutmelding?
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
/u/13471/karnemelk.png?f=community)
