Телеграмм чат группы chkpchat страница 1667

Size: a a a

Check Point Community (RUS)

1142 membersпожаловаться на группу

2020 September 03

ЛО

Леонид Орлов... in Check Point Community (RUS)

Вот такое дело пытаетесь поднять?

источник

17:12пожаловаться #1

ЛО

Леонид Орлов... in Check Point Community (RUS)

источник

17:12пожаловаться #2

Aleksei Shelepov in Check Point Community (RUS)

Это же значит, что на шлюз пришёл уже "расшифрованный" трафик, а он ожидал трафик между этими адресами видеть в зашифрованном виде.

Думаю, что в вашем случае надо пускать весь трафик от ремоут клиентов (даже в интернет) через шлюз, чтобы он уже маршрутизировал.

источник

17:12пожаловаться #3

ЛО

Леонид Орлов... in Check Point Community (RUS)

funnystout

у меня подсеть площадки получается в двух VPN Communites: RemoteAccess (оно же VPN Domain) + s2s_star_vpn (intranet communite)

я недавно настраивал такую топологию в лабе. То, что нужно - это сети позади ASA пихнуть в домен Remote Access VPN шифрования, а не для S2S. То бишь, вот здесь:

источник

17:14пожаловаться #4

funnystout in Check Point Community (RUS)

Леонид Орлов

да все верно

источник

17:14пожаловаться #5

ЛО

Леонид Орлов... in Check Point Community (RUS)

источник

17:14пожаловаться #6

funnystout in Check Point Community (RUS)

Леонид Орлов

я это делал

источник

17:15пожаловаться #7

ЛО

Леонид Орлов... in Check Point Community (RUS)

тогда VPN клиент, подключаясь к ЧП шлюзу, будет получать маршруты и на те сети, которые позади ASA.

источник

17:15пожаловаться #8

funnystout in Check Point Community (RUS)

funnystout

и получаю это

источник

17:15пожаловаться #9

funnystout in Check Point Community (RUS)

Леонид Орлов

тогда VPN клиент, подключаясь к ЧП шлюзу, будет получать маршруты и на те сети, которые позади ASA.

роут маршруты, да все верно

источник

17:16пожаловаться #10

ЛО

Леонид Орлов... in Check Point Community (RUS)

Вот. А теперь важно добавить сеть, из которой VPN-клиенты получают IP-адреса (то бишь, ту, которую вы указали как Office mode вот здесь):

источник

17:16пожаловаться #11

ЛО

Леонид Орлов... in Check Point Community (RUS)

источник

17:17пожаловаться #12

ЛО

Леонид Орлов... in Check Point Community (RUS)

эту сетку нужно добавить в домен шифрования для S2S, но не для Remote Access

источник

17:17пожаловаться #13

funnystout in Check Point Community (RUS)

Леонид Орлов

эту сетку нужно добавить в домен шифрования для S2S, но не для Remote Access

тоже это сделал

источник

17:17пожаловаться #14

funnystout in Check Point Community (RUS)

может мне сам домен S2S как-то хитро настроить надо еще

источник

17:18пожаловаться #15

ЛО

Леонид Орлов... in Check Point Community (RUS)

вот тогда странно, потому что у меня заработало. Попробуйте посмотреть вывод команды fw tab -t vpn_routing -u -f со шлюза. Там есть диапазоны адресов, которые шлюз считает чьими либо доменами шифрования, и соответствующие шлюзы в колонке Peer.

источник

17:19пожаловаться #16

ЛО

Леонид Орлов... in Check Point Community (RUS)

funnystout

может мне сам домен S2S как-то хитро настроить надо еще

В принципе, это вся хитрость - добавить OM сетку в домен шифрования для S2S

источник

17:19пожаловаться #17

ЛО

Леонид Орлов... in Check Point Community (RUS)

ну и сетка OM не должна фигурировать в домене шифрования ASA