FreeSWAN und Checkpoint FW???
Joerg
kann mir jemand sagen ob es funktioniert mit freeSWAN einen VPN
connect zu einer Checkpoint Firewall aufzubauen?
Danke und Grüße Jörg
Andreas Kaiser
wrote:
>kann mir jemand sagen ob es funktioniert mit freeSWAN einen VPN
>connect zu einer Checkpoint Firewall aufzubauen?
Es funktioniert.
Haken an IPSEC mit FW-1: Manuellen Restart der VPN-Connection gibt's
bei Checkpoint m.W. nicht, und so muss man geduldig etliche Minuten
warten, bis die FW-1 kapiert hat, dass das andere Ende abgebrochen und
neu gestartet wurde. Ist aber in Verbindung mit FreeS/WAN noch
harmlos, schlimm wird's in Verbindung mit Ciscos, da merkt sie es in
endlicher Zeit ueberhaupt nicht.
Tip: Nicht mit PING testen, sondern mit Telnet oder FTP. Es kann
naemlich leicht passieren, dass man nach stundenlangem Basteln merkt,
das eigentlich alles wunderbar funktioniert - ausser eben ICMP ;-).
Gruss, Andreas
Felix von Leitner
> kann mir jemand sagen ob es funktioniert mit freeSWAN einen VPN
> connect zu einer Checkpoint Firewall aufzubauen?
Das hängt von deiner Kompetenz ab.
Frank Fiene
> Hallo,
> kann mir jemand sagen ob es funktioniert mit freeSWAN einen VPN
> connect zu einer Checkpoint Firewall aufzubauen?
>
Ja das geht.
ff
--
SYNTAGS GmbH, Märkische Str. 237, D-44141 Dortmund, Germany
Security, Cryptography, Networks, Software Development
http://www.syntags.de mailto:Frank...@syntags.de
Joerg
>Das hängt von deiner Kompetenz ab.
ach ist das so schwierig?
grüße jörg
Joern Seemann
>>Das hängt von deiner Kompetenz ab.
>
> ach ist das so schwierig?
Real men don't ask *scnr*
Gruss Jörn
--
overnewsed but underinformed
Joerg
>Real men don't ask *scnr*
danke real man ;-)
Felix von Leitner
> >Das hängt von deiner Kompetenz ab.
> ach ist das so schwierig?
Kommt darauf an, wie fit du bist.
Es ist möglich, aber man kann es auch falsch machen.
Frank Fiene
Na ja, seitdem ich ein VPN zwischen unserer alten Checkpoint und dem
neuen FreeS/WAN Gateway eingerichtet habe, stürzt die Checkpoint
unmotiviert ab (der VPN-Task), mindestens einmal pro Woche. Und der
Tunnel funktioniert nur, wenn ich ihn aus dem Netz hinter dem
Linux-Gateway öffne, da das im Moment ausreichend ist, warte ich
lieber, bis ich den Checkpoint-Kram los bin.
Ich bin aber noch nicht so fit mit FreeS/WAN, und um mit Felix zu
sprechen, habe ich bestimmt etwas falsch gemacht und damit meine ich
nicht die DoS-Attacke auf die Checkpoint ;-)
Felix von Leitner
> habe ich bestimmt etwas falsch gemacht
Du meinst neben dem Einsatz von Checkpoint Software?
Frank Fiene
:-)
Das ich mit einem VPN-Tunnel innerhalb einer Woche die
Checkpoint-Kiste zum Abschießen des VPN-Tasks bringen kann, sagt ja
wohl alles. Bis zum Austausch wird der Krempel auch nur noch als
Paketfilter benutzt, keine sogenannten Security-Server oder internen
Proxies (ftp und http sind einfach krank).
Das war ja nicht meine Entscheidung. Das ist halt der letzte Kunde,
der auf netfilter/iptables umgestellt wird. Zu Allem Überfluss haben
die auch noch einen Cluster, das wird noch viel Handarbeit.
Mein Problem ist, dass der Tunnel nicht aus dem Netzwerk hinter der
Checkpoint geöffnet werden kann, ich habe FreeS/WAN natürlich auf
"listen" gestellt, ich befürchte, dass der Firewall-Admin dessen
Kiste im Moment noch dazwischen steht, den IKE nur in eine Richtung
erlaubt hat. Na ja, wenn man nicht alles selber macht.
Joerg
>Ja das geht.
auch über das intenet,, ohne feste ip adresse?
grüße jörg
Frank Fiene
> hallo,
>
>>Ja das geht.
>
> auch über das intenet,, ohne feste ip adresse?
Wenn du das gleich gesagt hättest, hätte ich nicht meine Glaskugel
gefragt!
Ich glaube, das geht nicht, aber ich weiss es nicht hundertprozentig.
Juergen P. Meier
> hallo,
>
>>Ja das geht.
>
> auch über das intenet,, ohne feste ip adresse?
Checkpoint unterstuetzt kein Gateway-Gateway VPN ohne feste IP
addresse.
Juergen
--
_ _ | Juergen P. Meier
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | J...@lrz.fh-muenchen.de
Psycho_CC
!
Jedoch erst in der neuen Version (NG) mit FP1 .
Ansonsten find ich es schon sehr merkwürdig die Check Point als schlechte Fw
darzustellen.
Das zeugt lediglich davon, dass Du keine Ahnung hast was und wie Du sie
konfigurieren must/kannst.
Egal viel Spass noch !
"Juergen P. Meier" <J...@lrz.fh-muenchen.de> schrieb im Newsbeitrag
news:slrna7q4a...@fm.rz.fh-muenchen.de...
Joerg
>Natürlich unterstützt Check Point eine GW-zu-GW VPN Verbindung ohne feste IP
>!
>Jedoch erst in der neuen Version (NG) mit FP1 .
das finde ich sehr interessant, würde mir unter Umständen
weiterhelfen.
Vielleicht könntest Du mir da genauerest dazu sagen?
Danke und viele Grüße
Jörg
Jonas M Luster
>>Das hängt von deiner Kompetenz ab.
>
> ach ist das so schwierig?
Haengt vom Umfeld ab.
Jonas M Luster
> Na ja, seitdem ich ein VPN zwischen unserer alten Checkpoint und dem
> neuen FreeS/WAN Gateway eingerichtet habe, stürzt die Checkpoint
> unmotiviert ab (der VPN-Task), mindestens einmal pro Woche. Und der
> Tunnel funktioniert nur, wenn ich ihn aus dem Netz hinter dem
ZYXNb-Treiber? Quad-ZYNX-Card? Dann kann ich Dir verraten, warum.
Jonas M Luster
> Checkpoint unterstuetzt kein Gateway-Gateway VPN ohne feste IP
> addresse.
man inspect + sed + awk + /bin/sh + Glueck.
Juergen P. Meier
scnr,