SistemOdasi.net / Bilgisayar / Firewall / Checkpoint / Checkpoint R65 - Juniper SSG5 701 VPN Ayarları

Bu Konuyu Okuyanlar: 1 ZiyaretÇi
Cevapla 
 
DeÄŸerlendir:
  • 0 Oy - 0 Yüzde
  • 1
  • 2
  • 3
  • 4
  • 5
Checkpoint R65 - Juniper SSG5 701 VPN Ayarları
03-12-2010, 12:19 PM
Mesaj: #1
ozsarman Dışarıda
Administrator
*******
 		Mesajlar: 653
Katılma Tarihi: Mar 2010
Rep Puanı: 0
Teþekkürler: 0
0 Mesajýna 0 Teþekkür edildi.
Checkpoint R65 - Juniper SSG5 701 VPN Ayarları
Yeni SSG5 lerde ( 701 ) eski SSG5 lere göre vpn ayarları Checkpoint R65 ve SSG5 üzerinde farklılık göstermektedir.


Yapılması Gereken Ayarlar:


SSG 5 Tarafı:

CLI da verilecek komut:

unset ike policy

Eğer yukarıdaki komut verilmezse Proxy-ip unmatch , rule mismatch gibi hatalar alinacaktir.


WEB UI Ayarları:

IKE V1

Phase 1 Proposal: pre-g2-3des-sha / pre-g2-aes128-sha
none / none

Phase 2 Proposal: g2-esp-aes128-sha / g2-esp-aes128-sha
none / none

CheckPoint R65 Tarafı:


Smartdashboard Ayarları:

VPN Properties:

IKE Phase 1 Properties: 3DES/SHA1

IPSEC Phase 2 Properties: AES128/SHA1


Advanced VPN Properties:

IKE Phase 1:

Use Diffie Helman Group: Group2 1024 bit
Renegotiate IKE Security Assocations every 1440 minutes



IPSEC Phase 2:

Use Perfect Forward Secrecy
Use Diffie Helman Group: Group2 1024 bit
Renegotiate IPSEC Security Assocations every 3600 seconds


NAT:

Disable NAT inside the VPN Community


Not: SSG5 VPN Monitor Status de SA Status: Active - Link: Down gözükmesi bir problem oluşturmamaktadır.


Not2:

SSG5 tarafı debug:

Öncelikle, müşteriler şubelerinde yer alan makinelerin hangilerinin üzerinde RDP açık veya hangileri ping e açık - kapalı ve/veya hangi makine açık kapalı bunu bilemeyebildiklerinden dolayı
yanlış yönlendirmelerin önünce geçmek için, SSG5 de SSH2 ile CLI a bağlanıp kendi lokal network ün de yer alan makinenin aktif olup olmadığını anlamak için lokal de yer alan bilgisayarin lokal ip adresine ping atilir, eğer makine o an up değilse ping e cevap dönemez ve bu durumda SSG5 log larında ( ilgili rule log larında ) Close Reason olarak Close - AGE OUT olarak görülür.


Ancak up olan makinede kesinlikle CLOSE - TCP RST ve/veya CLOSE - TCP FIN olarak görülecektir.

Bu log lar kontrol edilip , müşteri x.x.x.x makinesine bağlanmıyorum dediği zaman makinenin up veya down olduğu anlaşılır.


VPN de detaylı log ları görüp olası problemleri tam olarak analiz edebilmek için aşağıdaki komutlar SSG5 CLI da verilir:

debug ike all
clear db
get db str


SA durumlarını görmek için ise:


get sa komutunun verilmesi yeterlidir.
Özdemir Şarman
aka (Charmant-zavanetratan)
Web Sayfasını Ziyeret Edin Tüm Mesajlarını Bul
Alıntı Yaparak Cevapla
Cevapla 


  • RSS
  • del.icio.us
  • StumbleUpon
  • Digg
  • TwitThis
  • Facebook
  • Reddit
  • Google
  • YahooMyWeb
  • E-mail

Benzeyen Konular
Konu: Yazar Cevaplar: Gösterim: Son Mesaj
  Checkpoint 'de SecureXL nasil aktif edilir? root 0 252 06-28-2011 09:52 AM
Son Mesaj: root
  Checkpoint Security Servers - daemon names and definitions root 0 177 06-27-2011 02:38 PM
Son Mesaj: root
  Checkpoint Komutları Toplu Halde root 0 183 06-27-2011 02:30 PM
Son Mesaj: root
  Checkpoint 'de log 'lar hangi dizinde? root 0 145 05-10-2011 11:02 AM
Son Mesaj: root
  Checkpoint IP - MAC (ARP Inspection) eÅŸleÅŸtirmesi nasil yapilir? ozsarman 0 730 07-30-2010 05:40 PM
Son Mesaj: ozsarman
  Checkpoint SPLAT Komutları (Commands) ozsarman 0 1,259 05-26-2010 12:29 PM
Son Mesaj: ozsarman
Thumbs Up SmartSPLAT Checkpoint için SSH Client madl0rd 1 529 05-26-2010 12:26 PM
Son Mesaj: ozsarman
  Checkpoint UTM1 Read/Write Client BaÄŸlanamama Problemi Çözüm ozsarman 0 430 03-12-2010 12:42 PM
Son Mesaj: ozsarman
  Checkpoint R65 Monitoring Komutları ozsarman 0 572 03-12-2010 12:42 PM
Son Mesaj: ozsarman
  Checkpoint Backup Ve Restore ozsarman 0 287 03-12-2010 12:41 PM
Son Mesaj: ozsarman

Forum Atla:


İletişim | SistemOdasi.net | Yukarıya dön | İçeriğe Dön | RSS
site ekle
Zirve100 Toplist