В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Check Point Community (RUS)

931 membersпожаловаться на группу
2020 March 17

VS

Valery Scorpa in Check Point Community (RUS)
Gregory Konovalov
А есть ограничение, потолок VPN SSL одновременных подключёний на 4600 железках?
Mab?  Или ipsec vpn?
источник
20:18пожаловаться#1

z

zzz in Check Point Community (RUS)
Valery Scorpa
Mab?  Или ipsec vpn?
тоже интересует
и то и то, правда у нас кластер из 5000 серии
источник
20:20пожаловаться#2

DK

Dmitry Ksenofontov in Check Point Community (RUS)
Gregory Konovalov
А есть ограничение, потолок VPN SSL одновременных подключёний на 4600 железках?
Есть таблица с офф дока . Тут 4800, но прикинуть можно
источник
20:22пожаловаться#3

GK

Gregory Konovalov in Check Point Community (RUS)
Только ipsec, т.е. ограничение только в пропускную способность?
источник
20:26пожаловаться#4

VS

Valery Scorpa in Check Point Community (RUS)
Gregory Konovalov
Только ipsec, т.е. ограничение только в пропускную способность?
... И в сам проц, на 77.30 не было балансировки vpn по ядрам, в 80.х все переделали
источник
20:33пожаловаться#5

GK

Gregory Konovalov in Check Point Community (RUS)
Ок понял
источник
20:33пожаловаться#6

Е

Евгений in Check Point Community (RUS)
80.30: routed[39590]: [routed] ERROR:   cpcl_cxl_runtime_status(1075): fwha_get_machine_list_ex_do failed to query kernel,
returned -1
после этого ребутает сервисы на ноде. никто с подобным не сталкивался?
источник
22:21пожаловаться#7

Е

Евгений in Check Point Community (RUS)
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk25977&partition=Basic&product=ClusterXL, есть такая SK, но версия ядра 3.10.0-693
Checkpoint
Connecting multiple clusters to the same network segment (same VLAN, same switch)
SmartView Tracker logs show "cluster member detected a problem". /var/log/messages file on cluster member(s) shows:

kernel: CPHA: This is an illegal configuration. Each cluster should be connected to another set of switches/hubs.
<br /><br />

routed[PID]: cpcl_cxl_runtime_status: HA mode not started<br />
routed[PID]: CXL status change: 1 --> 0, cprd exits<br />
routed[PID]: Exit routed[PID] version routed-...

ClusterXL kernel debug ('fw ctl debug -m cluster + stat pnote conf ccp') shows:
fwha_set_new_local_state: Old version HA machines exist around so prevent state change to READY; Log on 3rd party switch shows flapping (moving) of MAC Address 0000.0000.fe00 between different ports.
Example:
 

HostName %L2FM-3-L2FM_MAC_FLAP_DISABLE_LEARN: Disabling learning in vlan 444 for 120s due to too many mac moves
 
HostName %L2FM-4-L2FM_MAC_MOVE2: Mac 0000.0000.fe00 in vlan 444 has moved between Eth1/43 to Eth1/44

HostName last message repeated 4 times

HostName %L2FM-3-L2FM_MAC_FLAP_RE_ENABLE_LEARN:…
источник
22:44пожаловаться#8

DN

Dmitry Nesterkin in Check Point Community (RUS)
Коллеги... есть наркоманская задача. Нужно на gaia 80.30 сделать так, чтьбы трафик с гостевого вайфая приходил на интерфес 1, натился snat, выходил наружу от имени интерфейса 2, возвращался в интерфейс 3, натился dnat и шел в интерфейс 4 где живет почта. Говорят с гостевого вайфая по внутренним адресам ходить нельзя.
источник
22:53пожаловаться#9

DN

Dmitry Nesterkin in Check Point Community (RUS)
Интерфейсы 2 и 3 смотрят в одного провайдера, но диапазоны адресов разные.
источник
22:55пожаловаться#10

DN

Dmitry Nesterkin in Check Point Community (RUS)
Провайдер пакеты обратно не шлет, трейс на нем ломается
источник
22:55пожаловаться#11

AO

Alena Osvald in Check Point Community (RUS)
Dmitry Nesterkin
Коллеги... есть наркоманская задача. Нужно на gaia 80.30 сделать так, чтьбы трафик с гостевого вайфая приходил на интерфес 1, натился snat, выходил наружу от имени интерфейса 2, возвращался в интерфейс 3, натился dnat и шел в интерфейс 4 где живет почта. Говорят с гостевого вайфая по внутренним адресам ходить нельзя.
PBR и сразу DNAT не?
источник
23:06пожаловаться#12

DN

Dmitry Nesterkin in Check Point Community (RUS)
Alena Osvald
PBR и сразу DNAT не?
Щас pbr написан в шлюз провайдера. Наверно надо в интерфейс 3?
источник
23:11пожаловаться#13

AO

Alena Osvald in Check Point Community (RUS)
Dmitry Nesterkin
Щас pbr написан в шлюз провайдера. Наверно надо в интерфейс 3?
А ресурс у тебя не за 4?
источник
23:16пожаловаться#14

DN

Dmitry Nesterkin in Check Point Community (RUS)
Alena Osvald
А ресурс у тебя не за 4?
на 3 белый адрес ресурса, на 4 - маршрут внутрь к ресурсу
источник
23:17пожаловаться#15

AG

Artem Gl in Check Point Community (RUS)
Dmitry Nesterkin
Коллеги... есть наркоманская задача. Нужно на gaia 80.30 сделать так, чтьбы трафик с гостевого вайфая приходил на интерфес 1, натился snat, выходил наружу от имени интерфейса 2, возвращался в интерфейс 3, натился dnat и шел в интерфейс 4 где живет почта. Говорят с гостевого вайфая по внутренним адресам ходить нельзя.
Я боюсь, когда на интерфейс 3 придёт пакет с IP интерфейса 2, он дропнется. Там нужно будет с антиспуфингом биться. Причём командами в fwkern...
источник
23:32пожаловаться#16

AO

Alena Osvald in Check Point Community (RUS)
Artem Gl
Я боюсь, когда на интерфейс 3 придёт пакет с IP интерфейса 2, он дропнется. Там нужно будет с антиспуфингом биться. Причём командами в fwkern...
А потом у него все сломается и он пойдет в саппорт с такой архитектурой (при условии, что саппорт у него есть)
источник
23:41пожаловаться#17

AG

Artem Gl in Check Point Community (RUS)
Alena Osvald
А потом у него все сломается и он пойдет в саппорт с такой архитектурой (при условии, что саппорт у него есть)
Ну почему так категорично... Коллега где-то умные вещи писал в переписках, я что-то такое помню. Наверное обстоятельства заставляют))
источник
23:55пожаловаться#18
2020 March 18

DN

Dmitry Nesterkin in Check Point Community (RUS)
Artem Gl
Я боюсь, когда на интерфейс 3 придёт пакет с IP интерфейса 2, он дропнется. Там нужно будет с антиспуфингом биться. Причём командами в fwkern...
giphy.mp4
(73.45 Кб)
источник
00:08пожаловаться#19

SZ

Sergey Zabula in Check Point Community (RUS)
Dmitry Nesterkin
Коллеги... есть наркоманская задача. Нужно на gaia 80.30 сделать так, чтьбы трафик с гостевого вайфая приходил на интерфес 1, натился snat, выходил наружу от имени интерфейса 2, возвращался в интерфейс 3, натился dnat и шел в интерфейс 4 где живет почта. Говорят с гостевого вайфая по внутренним адресам ходить нельзя.
зачем я это прочитал в полпервого ночи)
источник
00:32пожаловаться#20