Bonjour,
Je souhaite mettre en place un VPN entre un PC client protégé par un
firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très
bien sans le firewall IPcop. C'est à dire si je me branche directement sur
mon modem ADSL, je me connecte sans pb sur le site distant.
Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
VANHULLEBUS Yvan
bast writes:
Bonjour, Je souhaite mettre en place un VPN entre un PC client protégé par un firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Euh, l'IPCop est devant le PC, ou sur le PC ?
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très bien sans le firewall IPcop. C'est à dire si je me branche directement sur mon modem ADSL, je me connecte sans pb sur le site distant. Si je me branche derrière le firewall, l'authentification se fait bien mais je n'ai pas reseau.
C'est de l'IPSec ? du PPTP ?
Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer (de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en fonction.
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes supplementaires.....
Pour plus d'explications et plus d'elements de solutions.... il nous faudrait plus de details !!
A +
VANHU.
bast <bast@ifrance.com> writes:
Bonjour,
Je souhaite mettre en place un VPN entre un PC client protégé par un
firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Euh, l'IPCop est devant le PC, ou sur le PC ?
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très
bien sans le firewall IPcop. C'est à dire si je me branche directement sur
mon modem ADSL, je me connecte sans pb sur le site distant.
Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.
C'est de l'IPSec ? du PPTP ?
Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer
(de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en
fonction.
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes
supplementaires.....
Pour plus d'explications et plus d'elements de solutions.... il nous
faudrait plus de details !!
Bonjour, Je souhaite mettre en place un VPN entre un PC client protégé par un firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Euh, l'IPCop est devant le PC, ou sur le PC ?
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très bien sans le firewall IPcop. C'est à dire si je me branche directement sur mon modem ADSL, je me connecte sans pb sur le site distant. Si je me branche derrière le firewall, l'authentification se fait bien mais je n'ai pas reseau.
C'est de l'IPSec ? du PPTP ?
Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer (de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en fonction.
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes supplementaires.....
Pour plus d'explications et plus d'elements de solutions.... il nous faudrait plus de details !!
A +
VANHU.
bast
Je souhaite mettre en place un VPN entre un PC client protégé par un firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Euh, l'IPCop est devant le PC, ou sur le PC ?
L'IPCOP est sur un PC dédié situé devant mon PC client.
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très
bien sans le firewall IPcop. C'est à dire si je me branche directement sur
mon modem ADSL, je me connecte sans pb sur le site distant. Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.
C'est de l'IPSec ? du PPTP ?
il me semble que le VPN avec securemote de checkpoint, c'est du PPTP... J'en suis pas sur... Comment peut-on en être certain ?
Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer (de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en fonction.
Par défaut, l'IPCop laisse tout sortir... donc il ne devrait pas y avoir de
pb. Je précise que je n'utilise pas le VPN d'IPCop. Son rôle est simplement celui de pare-feu.
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes supplementaires.....
Effectivement, il y a du NAT pour compliquer un peu la chose...
Pour plus d'explications et plus d'elements de solutions.... il nous faudrait plus de details !!
en gros voici le shema :
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
J'espère que j'ai été plus clair. Merci de ton aide en tout cas... Seb.
Je souhaite mettre en place un VPN entre un PC client protégé par un
firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Euh, l'IPCop est devant le PC, ou sur le PC ?
L'IPCOP est sur un PC dédié situé devant mon PC client.
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne
très
bien sans le firewall IPcop. C'est à dire si je me branche directement
sur
mon modem ADSL, je me connecte sans pb sur le site distant.
Si je me branche derrière le firewall, l'authentification se fait bien
mais
je n'ai pas reseau.
C'est de l'IPSec ? du PPTP ?
il me semble que le VPN avec securemote de checkpoint, c'est du PPTP... J'en
suis pas sur... Comment peut-on en être certain ?
Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer
(de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en
fonction.
Par défaut, l'IPCop laisse tout sortir... donc il ne devrait pas y avoir de
pb.
Je précise que je n'utilise pas le VPN d'IPCop. Son rôle est simplement
celui de pare-feu.
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes
supplementaires.....
Effectivement, il y a du NAT pour compliquer un peu la chose...
Pour plus d'explications et plus d'elements de solutions.... il nous
faudrait plus de details !!
en gros voici le shema :
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
J'espère que j'ai été plus clair.
Merci de ton aide en tout cas...
Seb.
Je souhaite mettre en place un VPN entre un PC client protégé par un firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Euh, l'IPCop est devant le PC, ou sur le PC ?
L'IPCOP est sur un PC dédié situé devant mon PC client.
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très
bien sans le firewall IPcop. C'est à dire si je me branche directement sur
mon modem ADSL, je me connecte sans pb sur le site distant. Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.
C'est de l'IPSec ? du PPTP ?
il me semble que le VPN avec securemote de checkpoint, c'est du PPTP... J'en suis pas sur... Comment peut-on en être certain ?
Dnas les 2 cas, il y aura du traffic non TCP/UDP/ICMP a faire passer (de l'ESP pour IPSec, du GRE pour PPTP), donc configurer l'IPCop en fonction.
Par défaut, l'IPCop laisse tout sortir... donc il ne devrait pas y avoir de
pb. Je précise que je n'utilise pas le VPN d'IPCop. Son rôle est simplement celui de pare-feu.
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes supplementaires.....
Effectivement, il y a du NAT pour compliquer un peu la chose...
Pour plus d'explications et plus d'elements de solutions.... il nous faudrait plus de details !!
en gros voici le shema :
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
J'espère que j'ai été plus clair. Merci de ton aide en tout cas... Seb.
Djoume SALVETTI
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes supplementaires.....
Effectivement, il y a du NAT pour compliquer un peu la chose...
Pour plus d'explications et plus d'elements de solutions.... il nous faudrait plus de details !!
en gros voici le shema :
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Source : XP Destination : Checkpoint
TCP/264 (Topology Download) IPSEC ESP (IP type 50) IPSEC AH (IP type 51) UDP 2746 (NAT-T)
SecureClient specific connections: - FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive packets - FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to Policy Server protocol - FW1_sds_logon (TCP port 18232) - used for SecureClient's Software Distribution Server download protocol
-- Djoumé SALVETTI
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes
supplementaires.....
Effectivement, il y a du NAT pour compliquer un peu la chose...
Pour plus d'explications et plus d'elements de solutions.... il nous
faudrait plus de details !!
en gros voici le shema :
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Source : XP
Destination : Checkpoint
TCP/264 (Topology Download)
IPSEC ESP (IP type 50)
IPSEC AH (IP type 51)
UDP 2746 (NAT-T)
SecureClient specific connections:
- FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive
packets
- FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to
Policy Server protocol
- FW1_sds_logon (TCP port 18232) - used for SecureClient's Software
Distribution Server download protocol
En plus, si par hasard l'IPCop fait du NAT, ca va poser des problemes supplementaires.....
Effectivement, il y a du NAT pour compliquer un peu la chose...
Pour plus d'explications et plus d'elements de solutions.... il nous faudrait plus de details !!
en gros voici le shema :
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Source : XP Destination : Checkpoint
TCP/264 (Topology Download) IPSEC ESP (IP type 50) IPSEC AH (IP type 51) UDP 2746 (NAT-T)
SecureClient specific connections: - FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive packets - FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to Policy Server protocol - FW1_sds_logon (TCP port 18232) - used for SecureClient's Software Distribution Server download protocol
-- Djoumé SALVETTI
bast
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?
Source : XP Destination : Checkpoint
TCP/264 (Topology Download) IPSEC ESP (IP type 50) IPSEC AH (IP type 51) UDP 2746 (NAT-T)
SecureClient specific connections: - FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive packets - FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to Policy Server protocol - FW1_sds_logon (TCP port 18232) - used for SecureClient's Software Distribution Server download protocol
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?
Source : XP
Destination : Checkpoint
TCP/264 (Topology Download)
IPSEC ESP (IP type 50)
IPSEC AH (IP type 51)
UDP 2746 (NAT-T)
SecureClient specific connections:
- FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive
packets
- FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to
Policy Server protocol
- FW1_sds_logon (TCP port 18232) - used for SecureClient's Software
Distribution Server download protocol
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?
Source : XP Destination : Checkpoint
TCP/264 (Topology Download) IPSEC ESP (IP type 50) IPSEC AH (IP type 51) UDP 2746 (NAT-T)
SecureClient specific connections: - FW1_scv_keep_alive (UDP port 18233) - used for SCV keep-alive packets - FW1_pslogon_NG (TCP port 18231) - used for SecureClient's logon to Policy Server protocol - FW1_sds_logon (TCP port 18232) - used for SecureClient's Software Distribution Server download protocol
Djoume SALVETTI
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?
Je ne connais pas le client secure remote, mais tu peux toujours faire un tcpdump depuis le fw IPCOP en même temps que tu tentes une connexion VPN pour voir quel type de traffic circule.
-- Djoumé SALVETTI
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de
Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL
(Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?
Je ne connais pas le client secure remote, mais tu peux toujours faire
un tcpdump depuis le fw IPCOP en même temps que tu tentes une connexion
VPN pour voir quel type de traffic circule.
PC client (XP + secure remote + adresse IP privée) --> IPCop (Rôle de Pare-feu + Adresse IP Publique + NAT) --> Routeur Modem cisco SDSL (Adresse publique) --> Firewall Checkpoint NG (Adresse publique)
Ok, donc si c'est de l'IPSec il faut :
Mais je ne pense pas que ce soit de l'IPSec... Comment puis-je le savoir ?
Je ne connais pas le client secure remote, mais tu peux toujours faire un tcpdump depuis le fw IPCOP en même temps que tu tentes une connexion VPN pour voir quel type de traffic circule.
-- Djoumé SALVETTI
Jerome T
"bast" wrote in message news:409b5301$0$27683$
Bonjour, Je souhaite mettre en place un VPN entre un PC client protégé par un firewall IPcop et un Site distant vers un firewall Checkpoint NG. Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très bien sans le firewall IPcop. C'est à dire si je me branche directement sur mon modem ADSL, je me connecte sans pb sur le site distant. Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.
C'est difficile à dire comme ça, mais j'aurais tendance à dire d'après mon expérience Securemote que si l'authentification se fait et pas le reste, c'est que le flux ESP est bloqué. Par contre ISAKMP (UDP 500) passe car l'authentification se fait par ce canal. Il faut donc ouvrir les deux dans ton firewall IPcop. Le NAT ne devrait pas poser de problème avec Checkpoint NG. C'est tout ce dont tu as besoin pour Securemote.
"bast" <bast@ifrance.com> wrote in message
news:409b5301$0$27683$636a15ce@news.free.fr...
Bonjour,
Je souhaite mettre en place un VPN entre un PC client protégé par un
firewall IPcop et un Site distant vers un firewall Checkpoint NG.
Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très
bien sans le firewall IPcop. C'est à dire si je me branche directement sur
mon modem ADSL, je me connecte sans pb sur le site distant.
Si je me branche derrière le firewall, l'authentification se fait bien
mais
je n'ai pas reseau.
C'est difficile à dire comme ça, mais j'aurais tendance à dire d'après mon
expérience Securemote que si l'authentification se fait et pas le reste,
c'est que le flux ESP est bloqué. Par contre ISAKMP (UDP 500) passe car
l'authentification se fait par ce canal. Il faut donc ouvrir les deux dans
ton firewall IPcop. Le NAT ne devrait pas poser de problème avec Checkpoint
NG. C'est tout ce dont tu as besoin pour Securemote.
Bonjour, Je souhaite mettre en place un VPN entre un PC client protégé par un firewall IPcop et un Site distant vers un firewall Checkpoint NG. Pour cela, j'utilise le client Checkpoint Securemote. Cela fonctionne très bien sans le firewall IPcop. C'est à dire si je me branche directement sur mon modem ADSL, je me connecte sans pb sur le site distant. Si je me branche derrière le firewall, l'authentification se fait bien mais
je n'ai pas reseau.
C'est difficile à dire comme ça, mais j'aurais tendance à dire d'après mon expérience Securemote que si l'authentification se fait et pas le reste, c'est que le flux ESP est bloqué. Par contre ISAKMP (UDP 500) passe car l'authentification se fait par ce canal. Il faut donc ouvrir les deux dans ton firewall IPcop. Le NAT ne devrait pas poser de problème avec Checkpoint NG. C'est tout ce dont tu as besoin pour Securemote.
