A
Добрый день.
Что посоветуете почитать новичку по CP?
Спасибо.
Что посоветуете почитать новичку по CP?
Спасибо.
Добрый день.
Что посоветуете почитать новичку по CP?
Спасибо.
Size: a a a
2020 September 10
GR
Anastasija
Статьи от Евгения Олькова : https://habr.com/ru/company/tssolution/blog/429574/
A
Статьи от Евгения Олькова : https://habr.com/ru/company/tssolution/blog/429574/
Благодарю ✨
SZ
Уважаемые CCSP партнеры Check Point! Интересная новость про TAC Academy для вас - подробности тут https://bit.ly/2FgeCdj
AK
Коллеги, добрейший вечерочек.
Кто нибудь может объяснить, как происходит Certificate Enrollment, с точки зрения сетевого взаимодейтсвия между VPN-клиентом,шлюзом и управлялкой?
Не понимаю как это должно работать. В процесс выпуска сертификата на VPN-клиенте возникает ошибка Enrollment failed. При этом в дампе на шлюзе вижу обращение от клиента к внешнему адресу шлюза по порту 18264.
Но шлюз этот пакет никак не обрабатывает... и не пытается открыть новое соединение к ICA. Поделитесь,пж-ста, сакральными знаниями, как настроить это хозяйство.
Кто нибудь может объяснить, как происходит Certificate Enrollment, с точки зрения сетевого взаимодейтсвия между VPN-клиентом,шлюзом и управлялкой?
Не понимаю как это должно работать. В процесс выпуска сертификата на VPN-клиенте возникает ошибка Enrollment failed. При этом в дампе на шлюзе вижу обращение от клиента к внешнему адресу шлюза по порту 18264.
Но шлюз этот пакет никак не обрабатывает... и не пытается открыть новое соединение к ICA. Поделитесь,пж-ста, сакральными знаниями, как настроить это хозяйство.
AG
Коллеги, добрейший вечерочек.
Кто нибудь может объяснить, как происходит Certificate Enrollment, с точки зрения сетевого взаимодейтсвия между VPN-клиентом,шлюзом и управлялкой?
Не понимаю как это должно работать. В процесс выпуска сертификата на VPN-клиенте возникает ошибка Enrollment failed. При этом в дампе на шлюзе вижу обращение от клиента к внешнему адресу шлюза по порту 18264.
Но шлюз этот пакет никак не обрабатывает... и не пытается открыть новое соединение к ICA. Поделитесь,пж-ста, сакральными знаниями, как настроить это хозяйство.
Кто нибудь может объяснить, как происходит Certificate Enrollment, с точки зрения сетевого взаимодейтсвия между VPN-клиентом,шлюзом и управлялкой?
Не понимаю как это должно работать. В процесс выпуска сертификата на VPN-клиенте возникает ошибка Enrollment failed. При этом в дампе на шлюзе вижу обращение от клиента к внешнему адресу шлюза по порту 18264.
Но шлюз этот пакет никак не обрабатывает... и не пытается открыть новое соединение к ICA. Поделитесь,пж-ста, сакральными знаниями, как настроить это хозяйство.
А прокиньте-ка нат этого порта на менеджмент
AK
Artem Gl
А прокиньте-ка нат этого порта на менеджмент
думал об этом, но это ж не секьюрно звучит)
AG
Если я правильно помню, на шлюзе есть вебпортал для ручной генерации и загрузки сертификата. Для автоматизированного энролмента с клиента приходилось пробрасывал нат на менеджмент. Честно говоря долго я эту тему не копал, а более изящного решения на тот момент не было нужды искать. Вопрос менее или более секьюрити это - он такой...дискуссионный)))
VS
OS
Успех ?
Нет успеха пока)
IA
Artem Gl
А прокиньте-ка нат этого порта на менеджмент
Шлюз должен нормально энролить сертификат и без этого
EO
Уважаемые CCSP партнеры Check Point! Интересная новость про TAC Academy для вас - подробности тут https://bit.ly/2FgeCdj
Красота!
ЛО
Artem Gl
А прокиньте-ка нат этого порта на менеджмент
не-не, никакого ната не надо
ЛО
Коллеги, добрейший вечерочек.
Кто нибудь может объяснить, как происходит Certificate Enrollment, с точки зрения сетевого взаимодейтсвия между VPN-клиентом,шлюзом и управлялкой?
Не понимаю как это должно работать. В процесс выпуска сертификата на VPN-клиенте возникает ошибка Enrollment failed. При этом в дампе на шлюзе вижу обращение от клиента к внешнему адресу шлюза по порту 18264.
Но шлюз этот пакет никак не обрабатывает... и не пытается открыть новое соединение к ICA. Поделитесь,пж-ста, сакральными знаниями, как настроить это хозяйство.
Кто нибудь может объяснить, как происходит Certificate Enrollment, с точки зрения сетевого взаимодейтсвия между VPN-клиентом,шлюзом и управлялкой?
Не понимаю как это должно работать. В процесс выпуска сертификата на VPN-клиенте возникает ошибка Enrollment failed. При этом в дампе на шлюзе вижу обращение от клиента к внешнему адресу шлюза по порту 18264.
Но шлюз этот пакет никак не обрабатывает... и не пытается открыть новое соединение к ICA. Поделитесь,пж-ста, сакральными знаниями, как настроить это хозяйство.
Должно работать действительно так: клиент отправляет запрос к шлюзу, шлюз открывает своё соединение на менеджмент, получает от менеджмента сертификат - и отправляет клиенту. Я бы посмотрел, нет ли дропов на шлюзе.
ЛО
fw ctl zdebug drop. Ну и, кроме того, проверил бы, получается ли к шлюзу подключиться с какими-нибудь юзернейм-паролем пользователя, настроенного в SmartConsole.
AK
Леонид Орлов
Должно работать действительно так: клиент отправляет запрос к шлюзу, шлюз открывает своё соединение на менеджмент, получает от менеджмента сертификат - и отправляет клиенту. Я бы посмотрел, нет ли дропов на шлюзе.
Все осложняется тем, что шлюз это виртуальная система в vsx, и с интерфейсов виртуальной системы роутинга до мгмт нет. Я думал, что подключение к мгмт будет инициировано с интерфейса управления vsx(vs0). Смотрел с помощью zdebug дропы на vs0 и на самой виртуальной системе. Дропы отсутствуют.
ЛО
Все осложняется тем, что шлюз это виртуальная система в vsx, и с интерфейсов виртуальной системы роутинга до мгмт нет. Я думал, что подключение к мгмт будет инициировано с интерфейса управления vsx(vs0). Смотрел с помощью zdebug дропы на vs0 и на самой виртуальной системе. Дропы отсутствуют.
вот тогда не знаю точно, кто должен запрашивать
IA
Леонид Орлов
вот тогда не знаю точно, кто должен запрашивать
Я делал на маэстро с всх такую схему. Все энролилось норм
2020 September 11
MA
Коллеги, такой вопрос, настроели IPsec remote access - mobile client for windows: если на клиенте добавлять site и логиниться все происходит быстро, но вот если выполнить disconnect и попробовать подключиться опять уже соединение не происходит шлюз не отвечает, создаём site с нуля - соединяет это как-то не серьёзно... (перезагрузка клиентского пк не помогает) куда копать? И ещё вопрос как посмотреть сколько лицензий mobile access уже занято? R77. 30.
YL
попробуйте поковырять link selection, выбрать внешний IP шлюза