CheckPoint IPSec加密域排除对端公网IP(NON IPSec TRAFFIC RULES)

最新推荐文章于 2023-10-22 08:30:00 发布
最新推荐文章于 2023-10-22 08:30:00 发布
阅读量782 收藏
点赞数
分类专栏: CheckPoint TroubleShooting
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012141129/article/details/106105409
版权

一.问题描述
1.安装IPSec策略后防火墙失联
CheckPoint防火墙与3rd party IPSec peer建立IPSec,管理平台通过公网管理CheckPoint防火墙,管理平台下发IPSec策略到CheckPoint防火墙之后,防火墙失联,管理平台上测试SIC不通。
2. 安装IPSec策略后防火墙公网接口不通
CheckPoint防火墙与3rd party IPSec peer建立IPSec,管理平台是内网管理防火墙,IPSec策略安装之后,到防火墙公网接口的流量不通。

二.原因描述

建立IPSec时,CheckPoint防火墙默认会把外部接口的IP地址包含在感兴趣流中,这就导致了IPSec建立成功之后,CheckPoint防火墙外部接口地址的“失联”状态。

三.解决方案

在管理平台的crypt.def($FWDIR/lib/crypt.def)文件中指定“NON_IPSec_TRAFFIC_RULES”参数,排除源是对端VPN网关的公网地址。

相关SK:sk108600 Scenario 3部分、sk25675、sk98241

1.步骤:
1.1.备份crypt.def文件
[Expert@HostName]#cp $FWDIR/lib/crypt.def $FWDIR/lib/crypt.def_BKP

1.2.修改crypt.def文件
vi打开crypt.def文件,GG切换到最后,找到如下行:
#ifndef NON_V P N_TRAFFIC_RULES
#define NON_V P N_TRAFFIC_RULES 0
#endif

将”#define NON_V P N_TRAFFIC_RULES 0”修改成如下几行:
#define NON_V P N_TRAFFIC_RULES (src=Destination_IPv4_address)
#else
#define NON_V P N_TRAFFIC_RULES 0
#endif

最终的结果应该显示如下:
#ifndef NON_V P N_TRAFFIC_RULES
#define NON_V P N_TRAFFIC_RULES (src=Destination_IPv4_address)
#else
#define NON_V P N_TRAFFIC_RULES 0
#endif
#endif

“Destination_IPv4_address”是对网关设备的公网地址,应该从 防火墙的加密域中排除。如果是多个Ipv4地址,语法如下:
#define NON_V P N_TRAFFIC_RULES (src=Destination_IPv4_address_1 or src= Destination_IPv4_address_2).

2.案例:
Site1为Fortinet防火墙,公网地址为1.1.1.1;Site2为CheckPoint防火墙,公网地址为2.2.2.2;CheckPoint的管理平台是通过公网管理Site2的CheckPoint防火墙。当管理平台将IPSec V P N配置下发给Site2的CheckPoint防火墙之后之后,管理平台显示Site2的墙为失联状态,测试SIC不通。
在管理平台上更改$FWDIR/lib/crypt.def文件如下:
#ifndef NON_V P N_TRAFFIC_RULES
#define NON_V P N_TRAFFIC_RULES (src=1.1.1.1)
#else
#define NON_V P N_TRAFFIC_RULES 0
#endif
#endif

3.文件修改注意事项
3.1.情况一
按照sk108600 Scenario 3部分修改文件,如下:
#ifndef NON_V P N_TRAFFIC_RULES
#define NON_V P N_TRAFFIC_RULES (dst=1.1.1.1)
#else
#define NON_V P N_TRAFFIC_RULES 0
#endif
#endif
修改后下发策略可能会遇到如下报错
在这里插入图片描述
后来尝试把dst=1.1.1.1改为src=1.1.1.1之后问题解决。

3.2.情况二
修改此配置文件时,如果按照sk来做,最后应该是一个#endif.但是实际修改过程中,需要有两个#endif结尾。所以容易忽略的一行是最后一个#endif。最后结果应该如下:
#ifndef NON_V P N_TRAFFIC_RULES
#define NON_V P N_TRAFFIC_RULES (dst=1.1.1.1)
#else
#define NON_V P N_TRAFFIC_RULES 0
#endif
#endif

我就是天使
关注
专栏目录
企业级无固定IPSEC配置实战
悦分享
10-09 490
早期主模式不能使用在非固定IP场景下 , 进行身份验证密钥查找时,只能根据IP地址进行查找 , 不能根据名方式进行查找预共享密钥-无法进行身份验证。早期解决方案使用野蛮模式。目前新款络设备中,大部分设备已经完成主模式功能更新,可以支持通过名方式完成身份验证。大部分场景下可以不再考虑使用野蛮模式,安全系数低于主模式。
OSError Unable to load weights from pytorch checkpoint file for pytorch_model.bin解决方案
热门推荐
weixin_43178406的博客
07-07 6万+
 本文主要介绍了OSError Unable to load weights from pytorch checkpoint file for pytorch_model-00003-of-00003.bin解决方案,希望能对学习大模型的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
CheckPoint之间IPsec×××一方不能主动建立隧道的问题
weixin_34212762的博客
05-06 136
前几天我公司与一家银行建立IPsec×××,双方使用的都是Nokia的CP。在所有配置相同的情况下,通过如下测试确认双方的隧道已经建立起来: 我方先主动测试对方业务,通讯OK;然后由对方测试我方业务,也OK。 可是第二天过来对方反映隧道建立不起来了。然后我从我方进行业务测试,发现隧道可以建立,我让对方再测试一下,此时对方也OK了。这就说明当隧道清除后,只有我方主动建...
IPSec ×××(对不同的数据流进行不同的加密和认证)
weixin_34380948的博客
11-28 421
对Telnet数据流进行加密,对其他IP数据流进行认证1、London路由器上连通性配置London(config)#interface Loopback0London(config-if)#ip address 10.1.1.1 255.255.255.0London(config)#interface Serial0/0London(config-if)#ip ...
Checkpoint防火墙与ASAIPSECVPN步骤亲手搭建绝非抄袭.pdf
07-13
Checkpoint防火墙与ASAIPSECVPN步骤亲手搭建绝非抄袭.pdf
CP-80.10(checkpoint
WJ.L
04-13 599
若要了解动态IP,通过名映射的方式,来实现VPN,可官查阅sk131612/sk103440
如何检验下载的大模型checkpoint文件是否正确的解决方案
最新发布
weixin_43178406的博客
10-22 6万+
本文主要介绍了如何检验下载的大模型checkpoint文件是否正确的解决方案,希望能对学习大模型的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2.1 Windows 2.2 Linux
Flink 利用 Checkpoint 实现故障恢复
SmartSi
09-30 1405
在本节中,我们将介绍 Flink 如何利用检查点 Checkpoint 实现故障恢复。
Flink SQL Checkpoint 学习总结
主要分享大数据相关的知识,如Spark、Hudi
03-03 5364
学习总结Flink SQL Checkpoint的使用,主要目的是为了验证Flink SQL流式任务挂掉后,重启时还可以继续从上次的运行状态恢复。对于flink sql读取mysql,设置checkpoint恢复不生效(不是flink cdc)checkpoint 一个时间间隔内只有一个批次,这样才能保证eos,时间间隔大小影响写入性能。
一个外用户端口映射进入内之后访问不是内ip而是ipsec分布内ip的问题...
weixin_33851604的博客
12-04 2257
西北院那个我们准备用ipsec方式让他们站服务器以我们这边的ipv6地址对外发布出去的。 首先我们ispec隧道是建立起来了的。 在我们出口负载均衡设备也能通他们的站服务器。 但是映射会有问题。 譬如你先用ipv4做了端口映射,譬如把106.38.122.202:80映射到西北院站10.10.150.22:80 我发现ipv4的不好使,更别说ipv6了。 之所以ipv4不好使是因为如下: 譬...
IPSec 加密
weixin_33788244的博客
05-15 1252
MMC在会话框输入MMC命令打开控制台。点击文件夹选择添加或删除管理单元,点击安全策略管理,点击添加,选择保护本地计算机。右键点击选择创建一个IP安全策略,不使用向导,选添加,用局连接,列表定义流量,不使用向导添加后选择地址属性,原地址选我的IP,目标地址选对方地址,选任何协议。确定后选号策略,选筛选器的操作,不使用向导,选协商安全。添加选自定义,完整性算法dds,在常规给筛选器操作定义一个名...
安装配置CHECKPOINT防火墙
10-10 9899
大纲 一、             首先明确两个概念二、             VPN/FW Moudule 或者 Managerment Server 在 WINDOWS上安装的最小需求三、             GUI Client在 WINDOWS上安装的最小需求四、             安装之前的准备工作五、             安装软件总过程六、 
络安全之基础入门(一)
qq_46246629的博客
02-26 8584
前言:好久没有更新了,主要看了我之前的文章,觉得有些滥竽充数,以后我尽量保证每篇文章的质量,所以更新周期可能慢一点 基础入门 壹.基础概念 名 1.什么是名(英语:Domain Name),又称,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了名,并通过名称系统(DNS,Domain Name System)来将名和IP.
linux查看ipsec命令,Linux 下 IPsec-tools的使用
weixin_30140317的博客
05-05 2004
Ipsec-tools有人工和自动两种方式来管理SA。Manual keyed connections using setkey所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。Transport Mode使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -f /etc/setkey.conf表示从...
CiscoIPSEC –无固定IP 总部有固定IP—ID(分支机构ID—hostname 总部来区分
weixin_33922670的博客
09-20 1177
总部R5 : PC4-inside F0/1 NAT F0/0 outside分部R4 : PC5- inside F0/1 NAT F0/0 outside 分部R6 : PC6- inside F0/1 NAT F0/0 outside 说明:R4:pre-share key 123456 localid:CiscoAR6:pre-share key 1234567 ...
Check Point R81.10 - 下一代防火墙 (NGFW)
sysin | SYStem INside
08-24 1295
Check Point R81.10 - 下一代防火墙 (NGFW) Quantum Security Gateway and Gaia R81.10, the Release Notes, Resolved Issues and Known Limitations. 可以看到 CP R81.10 仍然基于 Linux 3.10,与上一版本 R80.40 相同,根据内核版本应该是基于 CentOS 7.6.1810 构建。 This system is for authorized use only. La
防火墙下使用IPSec实现不同地互通并且内可访问公网
Jianyu's blog
04-04 4503
防火墙下使用IPSec实现不同地互通并且内可访问公网 目录防火墙下使用IPSec实现不同地互通并且内可访问公网实验环境实验目的具体步骤实现对总部内的安全访问在上步结果上实现访问外测试和结果分析总结 实验环境 实验目的 公司分部实现对总部内的安全访问,并且实现访问外 具体步骤 实现对总部内的安全访问 1.规划络、配置IP、配置路由 PC1 IP:192.168.1.1 掩码:24 关:192.168.1.254 PC2 IP:172.16.1.1 掩码:24 关:172.1
Cisco ❀ IPsec原理与加密算法
无糖可乐没有灵魂
08-20 6830
IPSEC VPN-internet protocol security virtual private networks IPSEC是一种加密的框架,不是加密协议,规定了加密的步骤、流程 私密性:使用对称加密算法和非对称加密算法 完整性:使用Hash散列函数 源认证:数字签名、Hmac(密钥化Hash)-共享密钥,对发送数包的源进行认证,pre-share-认证对端是经过授权的 不可否...
Check Point IP防火墙实施详解与系统配置教程
CheckPoint防火墙实施指南IP系列V1.0版是专为CheckPoint公司防火墙产品,如IP1285和IP2455设计的一份详细的操作手册。该指南主要针对项目实施阶段,提供了系统配置、硬件安装、络设置以及管理服务器配置等关键步骤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值