CheckpointSecuremote: VPN verkeer gaat niet via de VPN - Netwerken

woensdag 22 april 2009 14:43

Acties:

Topicstarter

Beetje rare titel, maar na't opzetten van een checkpoint securemote (de vpn client) gaat bepaald verkeer dat door de vpn tunnel zou moeten gaan, gewoon via internet geroute. Ander verkeer gaat wel via de VPN tunnel.

Als'k de C:\Program Files\CheckPoint\SecuRemote\database\user.c file ga bekijken die wordt aangemaakt bij't updaten of connecteren dan zie'k daar inderdaad de subnets niet staan die ik wel netjes heb gedefiniëerd in het VPN domain object van de firewall.

Ik heb de securemote client al opnieuw proberen te creeëren, de betreffende hosts uit het VPN domein verwijderen en weer toevoegen. Ik heb ook de site in de securemote client al eens opnieuw aangemaakt. Ook heb'k de user.c eens manueel proberen te editen maar de client overschrijft deze gewoon bij een update. Indien ik het write protect dan crashed de vpn client.

Iemand een idee wat er misloopt of hoe'k dit kan troubleshooten?

woensdag 22 april 2009 14:46

Acties:

prdehoop

Dit kan alleen gebeuren als je in het encrypted domain van de firewall de subnets niet hebt zitten, er zal dus op de fw iets nog niet juist ingesteld zijn.

Als de fw goed is ingesteld zou je in de user.C het subnet moeten kunnen vinden, wel is het zo bij toevoeging subnet een site update niet altijd voldoende is, en is een site delete en opnieuw aanmaken de enige manier van slagen.

woensdag 22 april 2009 15:18

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Bij Cisco oplossingen weet ik dat je dit krijgt als je split tunneling verkeerd instelt, wellicht heeft de Checkpoint een vergelijkbare functionaliteit?

Als alle clients dit probleem hebben zou ik het probleem eerder in de checkpoint zoeken dan in profieltjes lokaal op de werkstations.

Vicariously I live while the whole world dies

woensdag 22 april 2009 15:24

Acties:

witchdoc

Topicstarter

prdehoop schreef op woensdag 22 april 2009 @ 14:46:
Dit kan alleen gebeuren als je in het encrypted domain van de firewall de subnets niet hebt zitten, er zal dus op de fw iets nog niet juist ingesteld zijn.

Het VPN domein is toch het encryption domein? network object > betreffende gateway > topology en dan het VPN domain.. zie groene deel screenshot. Daar staan toch echt de hosts die niet verschijnen in de user.c nadat een update gebeurt hoor.

Verder denk'k ook inderdaad dat'k iets mis op de firewall aangezien het op alle clients hetzelfde is, maar wat dan?

Afbeeldingslocatie: http://tweakers.net/ext/i.dsp?FotoAlbumID=155656&format=full&ext=.jpg

[ Voor 10% gewijzigd door witchdoc op 22-04-2009 15:29 ]

woensdag 22 april 2009 15:33

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Post eens wat screenies van je config dan? En bovenstaande link werkt (nog) niet. -

Vicariously I live while the whole world dies

donderdag 23 april 2009 11:29

Acties:

prdehoop

Klopt dat is het Encrypted domein, daar stel je in wat de client de tunnel in stuurd en wat niet, je kan dit handmatig doen met een groep, mooie is dat je dan ook specifieke subnetten er buiten kan houden.

Probeer als het niet werk met een Host adres binnen deze groep eens een reeks te definieren, en dan voor je een policy install doet een Database install te doen.(policy-> Install Database)

Lukt het dan nog niet, dan graag een screen print van je groep die je daar bij VPN Domein gezet hebt en een kopie van je user.c met de subnetten.

poohbeer schreef op woensdag 22 april 2009 @ 15:24:
[...]

Het VPN domein is toch het encryption domein? network object > betreffende gateway > topology en dan het VPN domain.. zie groene deel screenshot. Daar staan toch echt de hosts die niet verschijnen in de user.c nadat een update gebeurt hoor.

Verder denk'k ook inderdaad dat'k iets mis op de firewall aangezien het op alle clients hetzelfde is, maar wat dan?

donderdag 23 april 2009 12:36

Acties:

witchdoc

Topicstarter

prdehoop schreef op donderdag 23 april 2009 @ 11:29:

Probeer als het niet werk met een Host adres binnen deze groep eens een reeks te definieren, en dan voor je een policy install doet een Database install te doen.(policy-> Install Database)

Lukt het dan nog niet, dan graag een screen print van je groep die je daar bij VPN Domein gezet hebt en een kopie van je user.c met de subnetten.

Wat doe je precies met die install database? Anyway, geen resultaat.
Ook geprobeert om even een gans net toe te voegen ipv enkel hosts.. geen resultaat.

De user.c komt trouwens ook niet volledig overeen met de group die ik als vpn domein heb geset. user.c bevat redelijk wat meer hosts en een paar netten dan degene die ik configured heb.

Die user.c hier neerzetten lijkt me eerlijk gezegd niet zo'n super idee.. staat toch aardig wat info in die beter privaat blijft.

donderdag 23 april 2009 13:24

Acties:

prdehoop

Nee niet de gehele, was meer benieuwd naar de ip reeksen die je wel niet kunt matchen tussen de user.c en de encrypted domain.

Neem aan dat je wel eerst de site verwijderd heb en opnieuw aangemaakt hebt ?

donderdag 23 april 2009 14:39

Acties:

witchdoc

Topicstarter

prdehoop schreef op donderdag 23 april 2009 @ 13:24:
Neem aan dat je wel eerst de site verwijderd heb en opnieuw aangemaakt hebt ?

oeps.. niet dus.
En het goeie nieuws.. het lijkt te werken! Wat doet dat install database nu precies?

vrijdag 24 april 2009 11:12

Acties:

prdehoop

Install database schrijft alle config files opnieuw op management station. zodat de database op het management station overeenkomt met je instellingen in Smartdashboard.

maandag 4 mei 2009 10:15

Acties:

witchdoc

Topicstarter

prdehoop schreef op vrijdag 24 april 2009 @ 11:12:
Install database schrijft alle config files opnieuw op management station. zodat de database op het management station overeenkomt met je instellingen in Smartdashboard.

Moet dat dan niet bij elke aanpassing? Ik heb't nog nooit gedaan

Wanneer wel een update database en wanneer neit dus?