Comments 7
А в чем коренное отличие вашего варианта domain-based full mesh от DMVPN? Что-то мне подсказывает, что ваше ПО просто рассылает полный список маршрутов домена на все устройства, организовывая unmanaged full mesh из межсайтовых IPsec-туннелей.
ПО к сожалению не наше)
Касательно вашего вопроса. Признаться я не вникал так глубоко в эту тем. Могу лишь сказать, что для domain based vpn на менеджемент сервере есть файлик vpn_route.conf если необходима ручная настройка, у него следующая структура:
Destination, Next hop router, Install on Security Gateway
В качестве destination указывается имя объекта, определяющего сети за гейтвеем. Предположу, что внутри менеджемента для настроек из SmartConsole есть похожий файл и в случае full mesh для каждого гейтвея там условно будет список записей, какая сеть за каким гейтвеем и какой гейтвей должен об этом знать. Скорее всего это похоже на описываемое вами. Разница, как мне кажется, может быть именно во второй фазе построение IPSec туннеля, когда начинается согласование сетей. Check Point использует так называемый supernetting, когда объединяет несколько соседних сетей в одну и пытается установить SA сразу для одного супернета, а не двух разных подсетей, тем самым сокращая количество необходимых SA.
Касательно вашего вопроса. Признаться я не вникал так глубоко в эту тем. Могу лишь сказать, что для domain based vpn на менеджемент сервере есть файлик vpn_route.conf если необходима ручная настройка, у него следующая структура:
Destination, Next hop router, Install on Security Gateway
В качестве destination указывается имя объекта, определяющего сети за гейтвеем. Предположу, что внутри менеджемента для настроек из SmartConsole есть похожий файл и в случае full mesh для каждого гейтвея там условно будет список записей, какая сеть за каким гейтвеем и какой гейтвей должен об этом знать. Скорее всего это похоже на описываемое вами. Разница, как мне кажется, может быть именно во второй фазе построение IPSec туннеля, когда начинается согласование сетей. Check Point использует так называемый supernetting, когда объединяет несколько соседних сетей в одну и пытается установить SA сразу для одного супернета, а не двух разных подсетей, тем самым сокращая количество необходимых SA.
Евгений, немного не по теме вопрос, касательно мобильного VPN-клиента. В случае Windows все прекрасно, Checpoint VPN клиент и вперёд, а вот Linux какая то беда, судя по документации это только snx, ок заходим на мобильный портал, ставим — фиг, не работает, говорит не может авторизоваться, коннект через web также не работает ввиду отсутствия поддержки npapi в современных браузерах, в итоге после долгого поиска находим и ставим это supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk113410 заработало, но только через браузер, не круто((( Неужели больше никаких вариантов под Linux???
Господа, лично у нас безопасники идут в сторону соответствия 152ФЗ, что Checkpoint предлагает в этом плане? По моим данным, пока ничего.
По всему ФЗ или конкретно по межсетевым экранам?) Здесь можно посмотреть все лицензии и сертификаты — rrc.ru/manuf/CP/sert_cp (раздел «Сертификаты ФСТЭК» и «Нотификация ФСБ»).
Route Based лучше не использовать вообще (много ограничений, деградация в производительности).
Сущая правда. Используем Route Based для HA c 3rd Party GWs (Amazon, GCP etc.). Куча проблем (крэши routed, дропы BGP трафика от пиров, нестабильность IPSec без кучи дополнительных параметров в ядре) и 100500 кейсов в саппорт.
Sign up to leave a comment.
Построение распределенной VPN сети на базе Check Point. Несколько типовых сценариев