S
Всем привет
Size: a a a
2020 November 10
S
Есть вопрос : есть ли в чеке настройка, когда чекпоинт анонсит соседям bgp /32 маршруты клиентов?
СК
Добрый день.
Коллеги, такой вопрос: кластер чекпоинтов на GAiA R77.30.
Поднят туннель на ГОСТ.
При замене сертификатов нод - насколько необходима процедура перегенерации Site Key?
Коллеги, такой вопрос: кластер чекпоинтов на GAiA R77.30.
Поднят туннель на ГОСТ.
При замене сертификатов нод - насколько необходима процедура перегенерации Site Key?
AB
Добрый день.
Коллеги, такой вопрос: кластер чекпоинтов на GAiA R77.30.
Поднят туннель на ГОСТ.
При замене сертификатов нод - насколько необходима процедура перегенерации Site Key?
Коллеги, такой вопрос: кластер чекпоинтов на GAiA R77.30.
Поднят туннель на ГОСТ.
При замене сертификатов нод - насколько необходима процедура перегенерации Site Key?
она не повредит это точно)
AB
как правило замена не требуется, но бывают варианты
AB
но с учетом того, что SitKey делается на 6 месяцев, то при замене сертификата раз в год, как раз вторая смена делается)
СК
но с учетом того, что SitKey делается на 6 месяцев, то при замене сертификата раз в год, как раз вторая смена делается)
Вот любопытно, что сертификаты последний раз менял я год назад. И не помню, чтобы я тут в течение года sitekey перегенерировал🤔
К
Добрый вечер. Коллеги, подскажите. Есть оборудования с R77.30. При попытке зайти по внешнему адресу (443 или 22 порт) - выдает ошибку "Clear text packet should be encrypted". Это вообще лечится? С 77.20 таких проблем нет.
AB
Вот любопытно, что сертификаты последний раз менял я год назад. И не помню, чтобы я тут в течение года sitekey перегенерировал🤔
без этого работать не будет) если и правда на ГОСТе)
AS
Добрый вечер. Коллеги, подскажите. Есть оборудования с R77.30. При попытке зайти по внешнему адресу (443 или 22 порт) - выдает ошибку "Clear text packet should be encrypted". Это вообще лечится? С 77.20 таких проблем нет.
Смотрите в VPN домен. Шлюз считает, что этот трафик должен быть зашифрован, а он не зашифрован.
Если я правильно понимаю из ваших названий шлюзов, по умолчанию Cisco ASA не включает саму себя в VPN домен, а Чекпоинт включает. И если вы самой ASA пытаетесь подключиться, то трафик не шифруется.
Если я правильно понимаю из ваших названий шлюзов, по умолчанию Cisco ASA не включает саму себя в VPN домен, а Чекпоинт включает. И если вы самой ASA пытаетесь подключиться, то трафик не шифруется.
К
Смотрите в VPN домен. Шлюз считает, что этот трафик должен быть зашифрован, а он не зашифрован.
Если я правильно понимаю из ваших названий шлюзов, по умолчанию Cisco ASA не включает саму себя в VPN домен, а Чекпоинт включает. И если вы самой ASA пытаетесь подключиться, то трафик не шифруется.
Если я правильно понимаю из ваших названий шлюзов, по умолчанию Cisco ASA не включает саму себя в VPN домен, а Чекпоинт включает. И если вы самой ASA пытаетесь подключиться, то трафик не шифруется.
Не с самой асы, за NAT сервер, но адрес через который выхожу - тот же с которым чп построил IPsec.
AS
Тогда, как я понимаю, ASA не отправляет этот траффик в VPN туннель, он идёт просто по маршрутизации.
К
Тогда, как я понимаю, ASA не отправляет этот траффик в VPN туннель, он идёт просто по маршрутизации.
Именно :) вопрос в том, возможно ли это "вылечить" ?
К
Желательно со стороны CheckPoint, не трогая ASA
AS
То есть этот траффик и не должен идти в VPN туннеле?
Тогда на Чекпоинте нужно исключить её из домена, но это может что-нибудь ещё сломать, если после НАТа другой траффик идёт в туннель. Я бы не стал так делать.
Тогда на Чекпоинте нужно исключить её из домена, но это может что-нибудь ещё сломать, если после НАТа другой траффик идёт в туннель. Я бы не стал так делать.
AS
А если траффик должен идти через VPN туннель, то надо поменять настройки на АСЕ, чтобы он шифровался.
К
То есть этот траффик и не должен идти в VPN туннеле?
Тогда на Чекпоинте нужно исключить её из домена, но это может что-нибудь ещё сломать, если после НАТа другой траффик идёт в туннель. Я бы не стал так делать.
Тогда на Чекпоинте нужно исключить её из домена, но это может что-нибудь ещё сломать, если после НАТа другой траффик идёт в туннель. Я бы не стал так делать.
Туннель должен быть. Просто нужна возможность заходить на кластер по внешнему адресу (есть правило которое позволяет это сделать, где указаны внешние Ареса офисов). Раньше проблем не было, когда туннель был между двумя Checkpoint. Но вот с асой ИТП - такие проблемы.
К
Туннель должен быть. Просто нужна возможность заходить на кластер по внешнему адресу (есть правило которое позволяет это сделать, где указаны внешние Ареса офисов). Раньше проблем не было, когда туннель был между двумя Checkpoint. Но вот с асой ИТП - такие проблемы.
На случай если оборудование недоступно и нет туннеля.
2020 November 11
NK
#marketing
Второй день виртуальной конференции Check Point рассказывает про облака: частные, публичные, гибридные - как построить архитектуру защиты облака, на что обратить внимание, какие средства использовать.
Подключайтесь - https://virtual-russia.checkpoint.com/
Кстати, любой вопрос экспертам Check Point вы можете задать в чате трансляции либо в боте @cpsecure_qna_bot
Второй день виртуальной конференции Check Point рассказывает про облака: частные, публичные, гибридные - как построить архитектуру защиты облака, на что обратить внимание, какие средства использовать.
Подключайтесь - https://virtual-russia.checkpoint.com/
Кстати, любой вопрос экспертам Check Point вы можете задать в чате трансляции либо в боте @cpsecure_qna_bot
АД
Коллеги, как можно мониторить pppoe подключение? Зависло в стадии Connecting и все...