Outils pour utilisateurs

Outils du site


checkpoint:vpn-1:vpn-s2s

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
checkpoint:vpn-1:vpn-s2s [07.08.2007 15:45] – contenu de l'article presque complet youp3checkpoint:vpn-1:vpn-s2s [07.01.2010 12:32] (Version actuelle) – modification externe 127.0.0.1
Ligne 28: Ligne 28:
 ===== Les objets VPN ===== ===== Les objets VPN =====
 Nous prenons comme hypothèse qu'une seule VPN est gérée par notre SmartCenter. Nous prenons comme hypothèse qu'une seule VPN est gérée par notre SmartCenter.
 +
 ==== VPN A ==== ==== VPN A ====
 La VPN A sera celle gérée par notre SmartCenter et nous considèrerons ici que c'est un objet Check Point de type //VPN-1 Power / UTM Gateway//. La VPN A sera celle gérée par notre SmartCenter et nous considèrerons ici que c'est un objet Check Point de type //VPN-1 Power / UTM Gateway//.
Ligne 37: Ligne 38:
     - Support key exchange encryption with:     - Support key exchange encryption with:
       * Cocher uniquement **AES-256**.       * Cocher uniquement **AES-256**.
-    - __**A COMPLETER**__FIXME+    - Support data integrity with: 
 +      Cocher uniquement **SHA1*
 +    - Support authentication methods: 
 +      * Cocher de préférence uniquement //Public Key Signatures//. Il est possible de spécifier les certificats de quelle AC la passerelle doit utiliser en cliquant sur le bouton //Specify//. Mais ceci n'est valable que pour le dialogue avec des VPN gérées par le même SmartCenter 
 +    - Cliquer enfin sur //Advanced...// 
 +      - Support Diffie-Hellman groups for IKE (phase 1) Security associations 
 +        * Cocher **Group 2 (1024 bit)** [On peut utiliser à la rigueur le groupe 5 mais pas plus pour garder la compatibilité avec NGAI] 
 +      - Renegociate IKE (phase 1) Security associtations every **1440** Minutes 
 +      - Renegociate IPsec (IKE phase 2) Security associations every **3600** Seconds 
 +      - Cocher éventuellement la case //Support aggressive mode// selon le besoin.
  
 ==== VPN B ==== ==== VPN B ====
Ligne 53: Ligne 63:
 ===== Flux tunnelisés ===== ===== Flux tunnelisés =====
 Check Point recommande d'utiliser des politiques de sécurité utilisant le mode simplifié. Dans ce mode, si nous avons une machine C (protégée par VPN A) qui veut faire un flux HTTP sur une machine D (protégée par VPN B), il suffit dans un premier temps d'écrire une règle classique <code>C > D : TCP/80</code> et d'ajouter dans la colone //VPN// de cette règle la communauté //Zamiz//. Check Point recommande d'utiliser des politiques de sécurité utilisant le mode simplifié. Dans ce mode, si nous avons une machine C (protégée par VPN A) qui veut faire un flux HTTP sur une machine D (protégée par VPN B), il suffit dans un premier temps d'écrire une règle classique <code>C > D : TCP/80</code> et d'ajouter dans la colone //VPN// de cette règle la communauté //Zamiz//.
 +===== Déboguer un tunnel ne fonctionnant pas ===== 
 +Sur le module VPN, activer le mode déboguage en exécutant la commande suivante : <code>vpn debug trunc</code>En réalité, cette comme équivaux aux deux commandes <code>vpn debug on 
 +vpn debug ikeon</code> 
 +Ne pas oublier d'arrêter le déboguage, une fois les tests terminés, avec les commandes <code>vpn debug off 
 +vpn debug ikeoff</code>Le résultat des traces se trouve dans les fichiers //$FWDIR/log/ike.elg// et //$FWDIR/log/vpnd.elg//\\ 
 +Pour exploiter ces traces de manière simple, vous pouvez télécharger l'outil IKEView sur le [[https://supportcenter.checkpoint.com|site de CheckPoint]]. Pour cela il faut disposer d'un compte sur leur site et chercher "ike view".
checkpoint/vpn-1/vpn-s2s.1186501551.txt.gz · Dernière modification : (modification externe)