IA
Напомните, пожалуйста, как завернуть весь трафик через впн клиента cp secure remote. Создать community и указать маршрут вида 0.0.0.0/0?
Включить hub mode
Size: a a a
2020 August 21
IA
Просто 0/0 не достаточно
К
Коллеги, подскажите, пожалуйста. Есть кластер их 2х 4400 (77.30)
Создал правило (115). Залил политики на кластер. Но правило 115 не работает, блокируется 189 (блокировать все, что не разрешено). Уже пробовал политики перезаливать, ноды менять местами (активные). Толку нет.
Создал правило (115). Залил политики на кластер. Но правило 115 не работает, блокируется 189 (блокировать все, что не разрешено). Уже пробовал политики перезаливать, ноды менять местами (активные). Толку нет.
К
Коллеги, подскажите, пожалуйста. Есть кластер их 2х 4400 (77.30)
Создал правило (115). Залил политики на кластер. Но правило 115 не работает, блокируется 189 (блокировать все, что не разрешено). Уже пробовал политики перезаливать, ноды менять местами (активные). Толку нет.
Создал правило (115). Залил политики на кластер. Но правило 115 не работает, блокируется 189 (блокировать все, что не разрешено). Уже пробовал политики перезаливать, ноды менять местами (активные). Толку нет.
189
Y
A
а почему на первом скрине политика инсталится на шлюз ...01, а блочит на втором скрине шлюз ...02?
A
Artur
а почему на первом скрине политика инсталится на шлюз ...01, а блочит на втором скрине шлюз ...02?
нода кластера, понятно
К
Artur
а почему на первом скрине политика инсталится на шлюз ...01, а блочит на втором скрине шлюз ...02?
Кластер EKT01FW01 (EKT01FW0101 + EKT01FW0102)
Y
Напомните, пожалуйста, как завернуть весь трафик через впн клиента cp secure remote. Создать community и указать маршрут вида 0.0.0.0/0?
sk101239
KС
Включить hub mode
это первым делом включил..
KС
sk101239
спс. почитаем..
A
Кластер EKT01FW01 (EKT01FW0101 + EKT01FW0102)
из-за кастомного сервиса может быть, может есть еще такой же похожий сервис.
есть подобная проблема, к примеру, здесь
https://community.checkpoint.com/t5/Policy-Management/Rule-with-custom-Service-not-being-matched/m-p/84409#M4487
есть подобная проблема, к примеру, здесь
https://community.checkpoint.com/t5/Policy-Management/Rule-with-custom-Service-not-being-matched/m-p/84409#M4487
К
Artur
из-за кастомного сервиса может быть, может есть еще такой же похожий сервис.
есть подобная проблема, к примеру, здесь
https://community.checkpoint.com/t5/Policy-Management/Rule-with-custom-Service-not-being-matched/m-p/84409#M4487
есть подобная проблема, к примеру, здесь
https://community.checkpoint.com/t5/Policy-Management/Rule-with-custom-Service-not-being-matched/m-p/84409#M4487
Выше было правило для одного из dst хостов. Правда там "срока действия" не было, но не критично, добавил. До этого хоста доступ появился.
В 115 оставил доступ по 3389 (Remote_Desktop_Protocol) так и не работает, блочит 189
В 115 оставил доступ по 3389 (Remote_Desktop_Protocol) так и не работает, блочит 189
К
dst-хост вообще нигде не используется, конфликта быть не должно быть
AK
Тут удостовериться тспдампом что действительно идёт этот трафик, а то вдруг какие наты/pbr. Плюс fw ctl zdebug drop
К
Arka Kor
Тут удостовериться тспдампом что действительно идёт этот трафик, а то вдруг какие наты/pbr. Плюс fw ctl zdebug drop
Трафик точно идет, пользователь со своей стороны проверят и рапартует о проблеме
AK
Может динамик обджекты в правилах?
К
Arka Kor
Может динамик обджекты в правилах?
Что-то очень сложное для меня 😄 я пока только погружаюсь в сей увлекательный мир CheckPoint
AK
Вообще тспдамп во всех сложных ситуациях:)