שאלה בנושא VPN של Checkpoint

[royel]

שאלה בנושא VPN של Checkpoint

יש לנו פיירוול של Checkpoint והמשתמשים הביתיים מתקינים את ה SecureRemote ומתחברים ב VPN למשרד. יש לי הרבה משתמשים שמתלוננים שהם לא מצליחים להתחבר ומקבלים Timeout. כשאני בודק בלוג, אני רואה שהם בכלל לא מגיעים לפיירוול שלנו, ז"א שהם נחסמים בבית. ביצענו בדיקה גם ללא שום פיירוול ביתי, ללא ראוטר, בחיבור ישיר לאינטרנט ועדיין לא מצליחים להתחבר. יכול להיות שהבעיה היא בבזק או בספק. מישהו מכיר את זה? נתקל בזה? מצא פיתרון? תודה.

 

[טופי]

אתה מצליח "להתחבר" מתוך הLAN?

תעשה בדיקה של חיבור מבפנים, תראה אם זה עובד לך (לפי הכתובת החיצונית כמובן) תוודא שהכתובת אכן שייכת לFW, ולא לנתב שלפניו או משהו בסגנון (קורה לפעמים)

 

[royel]

עובד

דווקא ביקשתי מאחד המשתמשים שיביא את המחשב למשרד. ביצענו בדיקה והצלחנו להתחבר. רוב המשתמשים מצליחים להתחבר מהבית או מחו"ל. אותו משתמש לא מצליח להתחבר אך ורק מביתו שלו. דיברנו עם בזק, כי היה חשש שהבעיה במודם והם אפילו החליפו אותו לחדש והבעיה עדיין קיימת.

 

[royel]

הכותרת שנתתי קצת מטעה...

הבעיה עדיין קיימת. רק שחיבור מתוך ה LAN עובד...

 

[DMoR]

עשית נסיון עם SecureClient?

יש בו את ה - Office Mode מאושר...

 

[royel]

אין לנו רשיון לזה

חוץ מזה - תוכל לפרט במה זה עשוי לפתור את הבעיה? תודה

 

[טופי]

Secure client

לפי מיטב ידיעתי לא צריך רשיון. זו רק בחירה בזמן ההתקנה אם להתקין SC או SR.

 

[royel]

ה SecureClient מתקין

גם Fireall מקומי ששומר על המחשב שמתחבר לרשת עם VPN. צריך בשביל זה רשיון, למרות שניתן להתקין גם בלי, פשוט האופציה לא תעבוד.

 

[טופי]

לSC יש יכולת לקבל Policy

מPolicy Server במקרה והתקנת את זה על הFW (ובמידה אם יש לך רשיון). אבל בכל מקרה גם אם אין לך את זה, עדיין הSC עדיף. אפילו מההיבט הכי קטן של זמינות OfficeMode.

 

[royel]

סליחה על ההטרדה

אבל מה זה בדיוק ה OfficeMode?

 

[טופי]

OfficeMode

נותן לחיבור IP, אתה יכול לקנפג לדוגמא, שיקבל IP של הLAN ואז הוא ממש כאילו בתוך הרשת.

 

[DMoR]

ואם אני לא טועה - גם DNS-ים פנימיים

 

[טופי]

כן. גם.

DNS, DHCP, WINS. אם אתה ממש רוצה (אבל רק אם אתה ממש רוצה) אתה יכול גם לנתב את כל התקשורת דרך הFIREWALL.

 

[DanDan1]

פתרון

ב menu למעלה ללכת ל tools , advanced IKE Settings ולסמן בV את האופציה use IKE OVER tcp

 

[royel]

איפה

ב Firewall או ב SecuRemote? זה משנה את זה SecuRemote או SecureClient? תודה רבה!

 

[DanDan1]

בשתיהם, אבל

בכל אחד מהם ה menu קצת שונים.. התיאור התייחס ל secureremote, וב secureclient אותו סיפור אבל מגיעים אליו בצורה טיפה שונה. בכל אופן אין שם יותר מידיי אופציות והגדרות, כך שב secureclient תמצא את זה דיי מהר ב properties של ה site

 

[royel]

האופציה שציינת מסומנת כברירת מחדל

רעיון אחר?

 

[DanDan1]

נתקלתי בזה

פעם אחת אצל משתמשת אחת שגם אחרי שפורמט המחשב ולא הותקן עליו שום דבר, הוא לא הצליח להתחבר. מדובר היה במודם USB ולא במודם כ. רשת , וחששתי אולי יש קשר (תבדוק גם אצלך) בכל אופן, למשתמש הזה לא ממש הצלחתי לפתור את הבעיה. אצלך זה הרבה יותר קל כי יש כמה וכמה משתמשים כאלה, אז תנסה לברר מה משותף לכולם. - מודם מסוג מסוים - חיבור USB ולא כ. רשת - ספק אינטרנט מסוים זהו בערך..

 

[royel]

זה בדיוק העניין

שאני לא מצליח לגלות את המכנה המשותף. יש לי הרגשה שזה איזשהו צירוף מקרים מסויים. בכל מקרה, נראה לי שבזק מעורבים...

 

[טופי]

יש לך אפשרות לבצע ניסויים גם עכשיו?

תוסיף גם UDP Encapsulation. אם עדיין לא עובד, תנסה להוריד את זה (לך תדע), ובסוף תנסה לעבור לVisitor Mode. אולי אלת המזל תנחת על כתפך והVOODOO הזה יעבוד.