Konfiguracja VPN dla Check Point VPN-1 Gateway i
Transkrypt
Konfiguracja VPN dla Check Point VPN-1 Gateway i
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Konfiguracja IPSec/IKE w Check Point VPN-1 Gateway i SecuRemote Client w trybie UDP Encapsulation Uwaga: − Konfiguracja IPSec/IKE w trybie UDP Encapsulation jest przydatna dla sieci z urządzeniami wykonującymi translację adresów NAT. − Konfiguracja IPSec/IKE w trybie UDP Encapsulation jest możliwa w Check Point VPN-1 Gateway i SecuRemote Client dla wersji od 4.1/SP2. Zalecane jest jednak dokonanie upgrade do najnowszych wersji systemu. Procedura przygotowania maszyny Firewall, bądź klastra Firewall (HA) wygląda następująco: 1/ − − − − W ustawieniach zabezpieczeń Firewall w sieci należy zezwolić komunikację VPN: FW1_topo (264/tcp), IKE (500/udp), IPSec UDP Encapsulation (2746/udp), IPSec standard (IP Protocol 50). 2/ Na stacji zarządzającej Management Server w pliku objects.C należy zweryfikować i w razie potrzeby ustawić wpisy (w sekcji :props): :userc_NAT (true) :userc_IKE_NAT (true) 3/ Na stacji zarządzającej Management Server w pliku objects.C w definicji obiektu Firewall Gateway, bądź Firewall Cluster dodajemy (na końcu opisu): :isakmp.udpencapsulation ( :resource ( :type (refobj) :refname ("#_VPN1_IPSEC_encapsulation") ) :active (true) ) 4/ Na stacji SecuRemote tryb UDP Encapsulation włączamy z GUI lub wpisujemy w pliku userc.C: :force_udp_encapsulation (true) 5/ W konfiguracji Firewall Cluster (dla wersji 4.1/SP3 i 4.1/SP4) należy dodatkowo w pliku objects.C dodać linie (w sekcji :props): :IPSec_main_if_nat (true) :IPSec_cluster_nat (true) Ustawienia te powodują, że klaster Firewall wysyła pakiety VPN z adresem IP klastra, a nie poszczególnych maszyn Firewall. W wersji 4.1/SP5 ustawienia te znajdują się na stałe w definicji obiektu Gateway. Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl