ММ
Size: a a a
2020 April 23
DN
Это было до gaia
DN
В gaia я умею
ММ
не застал )
m
т.е. править конфиг?
насколько я помню - да (давно дело было:)
Ну и можно пярмо сразу и руками через arp добавить, т.к. local.arp при рестарте только применялся (AFAIR)
Ну и можно пярмо сразу и руками через arp добавить, т.к. local.arp при рестарте только применялся (AFAIR)
AG
Denis Apv
Подскажите , при remote access vpn IPSec , влиять ли на производительность шлюза использование Visitor Mode ? На 120 vpn пользователях , vpn сессии начинают подтормаживать(скачи RTТ, потери пакетов ). При этом нагрузка на шлюз смешная : трафик не превышает 30-40 МБит, и не более 2000 одновременных сессий .
Шлюз - виртуалка на ESXi 6.7 Update 2 R80.30 3.10 , 8 CPU и обрабатывает только RA VPN
Шлюз - виртуалка на ESXi 6.7 Update 2 R80.30 3.10 , 8 CPU и обрабатывает только RA VPN
Я бы не стал обращать внимания на Visitor Mode (оставил бы его включенным). В плане производительности VPN, на мой взгляд, лучше переводить шифрование на второй фазе в AES (по дефолту 3DES). Но это не ваш случай, если вы говорите, что виртуалка не загружена.
Я бы обратил внимание на конфиг самой виртуалки (Hardware version, тип диска, тип сетевого интерфейса и тд.). Есть SK описывающей Best Practice конфу виртуалки. Помимо выполнения всех рекомендаций оттуда можно побробовать сменить интерфейс с VMXnet3 на E1000, в некоторых исключительных и необъяснимых случаях это решало определенные проблемы. Естественно все эти эксперименты потребуют окна обслуживания и снэпшотов.
Я бы обратил внимание на конфиг самой виртуалки (Hardware version, тип диска, тип сетевого интерфейса и тд.). Есть SK описывающей Best Practice конфу виртуалки. Помимо выполнения всех рекомендаций оттуда можно побробовать сменить интерфейс с VMXnet3 на E1000, в некоторых исключительных и необъяснимых случаях это решало определенные проблемы. Естественно все эти эксперименты потребуют окна обслуживания и снэпшотов.
VO
Коллеги подскажите пожалуйста. У меня почему-то не подключается SmartConsole к серверу управления. Между ними есть два шлюза соединённые через VPN. Пишет ошибку "Unable to connect to server". Но по HTTPS коннект на сервер управления есть. Дропов нет.
DA
Artem Gl
Я бы не стал обращать внимания на Visitor Mode (оставил бы его включенным). В плане производительности VPN, на мой взгляд, лучше переводить шифрование на второй фазе в AES (по дефолту 3DES). Но это не ваш случай, если вы говорите, что виртуалка не загружена.
Я бы обратил внимание на конфиг самой виртуалки (Hardware version, тип диска, тип сетевого интерфейса и тд.). Есть SK описывающей Best Practice конфу виртуалки. Помимо выполнения всех рекомендаций оттуда можно побробовать сменить интерфейс с VMXnet3 на E1000, в некоторых исключительных и необъяснимых случаях это решало определенные проблемы. Естественно все эти эксперименты потребуют окна обслуживания и снэпшотов.
Я бы обратил внимание на конфиг самой виртуалки (Hardware version, тип диска, тип сетевого интерфейса и тд.). Есть SK описывающей Best Practice конфу виртуалки. Помимо выполнения всех рекомендаций оттуда можно побробовать сменить интерфейс с VMXnet3 на E1000, в некоторых исключительных и необъяснимых случаях это решало определенные проблемы. Естественно все эти эксперименты потребуют окна обслуживания и снэпшотов.
Спасибо. может подсказать номер SK ?
EO
Коллеги подскажите пожалуйста. У меня почему-то не подключается SmartConsole к серверу управления. Между ними есть два шлюза соединённые через VPN. Пишет ошибку "Unable to connect to server". Но по HTTPS коннект на сервер управления есть. Дропов нет.
Скорее всего мимо vpn туннеля улетает трафик, по каким-нибудь implied rules
VO
Скорее всего мимо vpn туннеля улетает трафик, по каким-нибудь implied rules
похоже на то. а как это пофиксить?
ST
Коллеги подскажите пожалуйста. У меня почему-то не подключается SmartConsole к серверу управления. Между ними есть два шлюза соединённые через VPN. Пишет ошибку "Unable to connect to server". Но по HTTPS коннект на сервер управления есть. Дропов нет.
Я бы сначала проверил:
1) Сервер доступен по SSH.
2) GUI запущен. через api status
3) Проверил бы политику на наличие правил из серии "запретить все порты выше 2000" честно не помню по какому порту идет подключение в Smaert Console.
4) Заодно посмотрите в web-интерфейсе нет ли у Вас явного запрета подключаться из других сетей.
1) Сервер доступен по SSH.
2) GUI запущен. через api status
3) Проверил бы политику на наличие правил из серии "запретить все порты выше 2000" честно не помню по какому порту идет подключение в Smaert Console.
4) Заодно посмотрите в web-интерфейсе нет ли у Вас явного запрета подключаться из других сетей.
ST
похоже на то. а как это пофиксить?
Troubleshooting SmartConsole
If you disable control connections for implicit rules (Global Properties > FireWall), you must open ports for SmartConsole to communicate with the Security Management Server.
Make sure the SmartConsole computer can access these ports on the server:
18190
18264
https://sc1.checkpoint.com/documents/R80/CP_R80_Gaia_IUG/html_frameset.htm?topic=documents/R80/CP_R80_Gaia_IUG/132087
If you disable control connections for implicit rules (Global Properties > FireWall), you must open ports for SmartConsole to communicate with the Security Management Server.
Make sure the SmartConsole computer can access these ports on the server:
18190
18264
https://sc1.checkpoint.com/documents/R80/CP_R80_Gaia_IUG/html_frameset.htm?topic=documents/R80/CP_R80_Gaia_IUG/132087
AG
Denis Apv
Спасибо. может подсказать номер SK ?
sk104848. Для шлюза тоже релевантно.
АС
Привет всем. Можно сделать так, чтобы у одного и того же пользователя был разный доступ в зависимости от способа подключения? например в SSL портале доступ до определенного Web aplication был, а в CapsuleWorkspace он его не видел?
A
Привет всем. Можно сделать так, чтобы у одного и того же пользователя был разный доступ в зависимости от способа подключения? например в SSL портале доступ до определенного Web aplication был, а в CapsuleWorkspace он его не видел?
Попробуйте настроить Access Role - > Remote Access Clients
АС
спасибо, получилось
АС
а еще такой вопрос, может есть гайд для нативного рдп из портала для макбуков?
A
Представляем расписание онлайн-мероприятий Check Point на ближайший месяц!
https://community.checkpoint.com/t5/Russian/Webinars-in-Russian/m-p/384
На следующей неделе запланированы два вебинара:
Anti-DDoS и WAF решения Radware и Check Point (вторник, 28 апреля, 11:00 мск)
регистрация
Tailored-Safe - тонкая настройка IPS сигнатур (четверг, 30 апреля, 14:00 мск)
регистрация
Приглашаем всех, будет интересно!
https://community.checkpoint.com/t5/Russian/Webinars-in-Russian/m-p/384
На следующей неделе запланированы два вебинара:
Anti-DDoS и WAF решения Radware и Check Point (вторник, 28 апреля, 11:00 мск)
регистрация
Tailored-Safe - тонкая настройка IPS сигнатур (четверг, 30 апреля, 14:00 мск)
регистрация
Приглашаем всех, будет интересно!
ВТ
Коллеги!
А есть у кого то опыт передачи логов с устройств Микротик как syslog на СР, что бы можно было удобно их смотреть (фильровать, искать, анализировать) в SmatView?
А есть у кого то опыт передачи логов с устройств Микротик как syslog на СР, что бы можно было удобно их смотреть (фильровать, искать, анализировать) в SmatView?
AK
Коллеги, подскажите, можно ли как то настроить исключения для VPN-пула Office Mode? Есть потребность не выдавать пользователям определенные адреса из пула.