Ceci est une ancienne révision du document !
Table des matières
VPN-1
VPN-1 est le nom de la brique de base de l'offre CheckPoint. Son nom ne signifie pas forcément que la licence achetée permette l'utilisation de la fonction VPN. VPN-1 est donc le module firewall qui va réaliser le filtrage du trafic réseau.
Utilisation de CRL
Présentation du problème
Dans le cadre d'une utilisation de l'authentification des utilisateurs VPN SecuRemote / SecureClient, le module VPN-1 peut être amener à récupérer une liste des certificats révoqués sur un serveur HTTP. En effet, ces certificats sont liés à une autorité de certification (AC) qui peut indiquer dans son certificat racine un serveur de révocation LDAP et deux serveurs HTTP. Le problème est que VPN-1 sait interroger uniquement la première URL indiquée. Donc si le premier serveur ne répond pas, il n'y a pas de mécanisme automatique pour interroger le second.
Solutions possibles
Nous partons ici sur l'hypothèse que VPN-1 n'a pas accès au DNS et que le nom du serveur HTTP n°1 est stocké dans son fichier hosts.
- On dispose d'un seul module : Pas de miracle ! Quand on s'aperçoit du disfonctionnement du serveur, il faut modifier le fichier hosts pour indiquer l'adresse du second serveur. Un redémarrage du démon VPN-1 (cpstop;cpstart) est nécessaire pour la prise en compte de ce changement.
- On dispose d'un cluster avec deux modules A et B : Pour éviter d'avoir à redémarrer le démon VPN-1, on renseigne dans le fichier hosts de A l'adresse IP du serveur n°1 et du serveur n°2 sur B (Attention, le nom lui est celui du serveur n°1 sur les deux modules). Ainsi si le serveur n°1 ne répond plus, il suffit de provoquer une bascule sur le second module pour interroger le second serveur. Ce qui est tout de même un moindre mal puisqu'une bascule est normalement transparente pour les flux en cours.
