Konfiguracja VPN dla Check Point VPN-1 Gateway i

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Konfiguracja IPSec/IKE w Check Point VPN-1 Gateway i SecuRemote
Client w trybie UDP Encapsulation
Uwaga:
− Konfiguracja IPSec/IKE w trybie UDP Encapsulation jest przydatna dla sieci z urządzeniami wykonującymi
translację adresów NAT.
− Konfiguracja IPSec/IKE w trybie UDP Encapsulation jest możliwa w Check Point VPN-1 Gateway
i SecuRemote Client dla wersji od 4.1/SP2. Zalecane jest jednak dokonanie upgrade do najnowszych wersji
systemu.
Procedura przygotowania maszyny Firewall, bądź klastra Firewall (HA) wygląda
następująco:
1/
−
−
−
−
W ustawieniach zabezpieczeń Firewall w sieci należy zezwolić komunikację VPN:
FW1_topo (264/tcp),
IKE (500/udp),
IPSec UDP Encapsulation (2746/udp),
IPSec standard (IP Protocol 50).
2/ Na stacji zarządzającej Management Server w pliku objects.C należy zweryfikować i w
razie potrzeby ustawić wpisy (w sekcji :props):
:userc_NAT (true)
:userc_IKE_NAT (true)
3/ Na stacji zarządzającej Management Server w pliku objects.C w definicji obiektu Firewall
Gateway, bądź Firewall Cluster dodajemy (na końcu opisu):
:isakmp.udpencapsulation (
:resource (
:type (refobj)
:refname
("#_VPN1_IPSEC_encapsulation")
)
:active (true)
)
4/ Na stacji SecuRemote tryb UDP Encapsulation włączamy z GUI lub wpisujemy w pliku
userc.C:
:force_udp_encapsulation (true)
5/ W konfiguracji Firewall Cluster (dla wersji 4.1/SP3 i 4.1/SP4) należy dodatkowo w
pliku objects.C dodać linie (w sekcji :props):
:IPSec_main_if_nat (true)
:IPSec_cluster_nat (true)
Ustawienia te powodują, że klaster Firewall wysyła pakiety VPN z adresem IP klastra, a nie
poszczególnych maszyn Firewall.
W wersji 4.1/SP5 ustawienia te znajdują się na stałe w definicji obiektu Gateway.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl