Check Point et PF 1.2.3
-
Bonjour,
Voici ma configuration : Pfsense 1.2.3. Je dois mettre en place une connexion Ipsec avec un autre site équipé d'un Check Point. Le lien s'établi correctement : passage au vert "dans status IPSec". Le check Point voit la connexion.
Le problème :
Mon LAN : 192.168.20.0/24
Lan distant : 10.240.0.0/16Lorsque je veux pinguer 10.240.6.16, j'ai un beau retour "Délai d'attente de la demande dépassé."
Le petit gars du check point ne sais pas trop quoi faire, il m'a envoyé un log pour que je me débrouille….
Le log en question :
Number: 7684115
Date: 23Apr2012
Time: 11:45:59
Interface: External
Origin: IPCheckPoint
Type: Log
Action: Drop
Source: 192.168.20.48 (IP DE MON PC)
Destination: LESERVEURAPINGUER (10.240.6.16)
Protocol: icmp
Information: ICMP: Echo Request
ICMP Type: 8
ICMP Code: 0
encryption failure: According to the policy the packet should not have been decrypted
Encryption Scheme: IKE
Encryption Methods: ESP: 3DES + SHA1
VPN Peer Gateway: monsite (MONIPPUBLIC)
Subproduct: VPN
VPN Feature: VPN
Product: VPN-1 Power/UTM
Log ID: 404821
Policy Info: Policy Name: Standard
Created at: Mon Apr 23 11:37:10 2012
Installed from: gw-f2La ligne suivante laisse à penser que mon ping n'arrive pas crypté. Non?
encryption failure: According to the policy the packet should not have been decryptedD'avance merci pour vos lumières.
Nusa
-
La ligne suivante laisse à penser que mon ping n'arrive pas crypté. Non?
Pas certain.
Est ce que tous les paramètres cryptographique sont strictement identiques de chaque côté ? Phase 1 et 2 ?
Ce n'est pas nécessairement la raison de vos problèmes, mais si ce n'est pas le cas, le tunnel ne sera jamaos parfaitement fonctionnel. Je pense qu'ils sont bons puisque vous dites que le statut ipsec est au vert.According to the policy
Il y a des règles associées aux tunnels vpn chez Checkpoint (comme chez Cisco), il faudrait voir ce qu'il en est.
-
Bonjour,
Merci pour votre réponse. Effectivement, au niveau paramétrage, tout est identique au niveau paramétrage des 2 côtés. Le lien est bien au vert.
Effectivement je pense qu'il y a quelque chose à faire du côté du check point :
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk21571
Je n'ai hélas pas la main sur le CP… Je vous tiens au courant.
Nusa
-
Bonjour,
Je viens de tester avec un PF 2.01, joli + de log.
Je vois bien mes données partir mais rien en retour :
De plus j'ai un message d'erreur dans le debug Ipsec :
May 2 13:06:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: send packet to IPGatewayDistante[500]
May 2 13:06:06 racoon: [Unknown Gateway/Dynamic]: DEBUG: 1 times of 60 bytes message will be sent to IPGatewayDistante[500]Mon lien VPN monte bien, les datas semblent bien partir mais rien ne reviens.
Lorsque je fais un traceroute de mon côté vers un serveur distant, le lien Ipsec monte, je traverse mon firewall et ensuite rien "Délai d'attente de la demande dépassé.". Normal?
Pour les règles sur le checkpoint mon interlocuteur m'a envoyé un screenshot m'expliquant que cela ne venait pas de chez lui …. évidemment.
Je vide l'eau avec une épuisette…
Nusa
-
Lorsque je fais un traceroute de mon côté vers un serveur distant, le lien Ipsec monte, je traverse mon firewall et ensuite rien "Délai d'attente de la demande dépassé.". Normal?
A priori non. Il faudrait commencer par s'assurer du routage une fois le tunnel monté. Voir ce qui arrive sur la machine distante serait intéressant et surtout comment répond elle …
-
Le lien est enfin OK, c'était un problème de paramétrage sur Checkpoint.
Nusa
-
Classique. Quoi plus exactement ?
-
Bonjour,
J'ai n'ai pas eu (pas eu le droit) de connaitre la cause exact, ce que je sais est que la connexion était OK par contre check point ne cryptait pas ses réponses vers mon PF, ils ne pouvaient donc pas passer par le tunnel.
Nusa
-
Dommage. Probablement une discordance entre les paramètres cryptographiques, comme le fait de ne pas utiliser ESP dans IKE phase 2, mais uniquement HA.