Configuracion VPN checkpoint

Tue, 09/29/2009 - 12:11 by sysadmin Tags:

Firewalls

Un clasico, mil veces que lo configuras y siempre metes la pata en algo. El sistema no ha
cambiado mucho a lo largo del tiempo asi que, ahi van los pantallazos. Primero definimos el
servidor de tneles remoto (Interoperable Device) desde Network Objetcs -> New-> Other>Interoperable Device.

Damos ok, y volvemos a seleccionar el objeto. Pinchamos sobre VPN y aadimos myintranet
En topoliga tenemos que aadirle el objeto network (que tenemos que haber definido
previamente). Esta red es la que vamos a alcanzar detras de la VPN (la remota). VPN Advanced,
seleccionamos custom settings y one VPN tunnel per each pair of hosts.
Link selecction por si quieres poner el extremo del tunel en otra ip, en mi caso, me vale con main
address.
Ahora vamos a VPN communities -> Site to Site -> Myintranet, debemos ver el interoperable
object que hemos definido anteriormente-> le damos add y aadimos el objeto de nuestro
firewall.
Despues definimos las propiedades de la

VPN.
En mi caso lo pusimos con 3DES y MD5 para las dos fases.
Vamos a Tunnel Management y seleccionamos el tunel como permanente (en caso de que lo
necesites, claro).

Advanced Settings, shared secret, marcamos Use only shared secret for all external members y
ponemos la correspondiente key al objeto
Advanced VPN Properties. Ajustamos el intercambio de claves y deshabilitamos el NAT dentro de
la VPN (si es lo que necesitas, en mi caso lo pasamos por routing).
Siguiente paso, definimos los objetos siguientes:
- Redes que tienen que tener acceso a la VPN
- EL grupo que las contiene
Despues seleccionamos el objeto firewall (el nuestro)-> topology ->seleccionamos el dominio
VPN a manual y aadimos el grupo con las redes que hemos creado antes. Vamos a VPN y
seleccionamos myintranet como VPN community. Despues VPN advanced y le ponemos los
mismos parametros que al Interoperable device
Con estos pasos ya tenemos definido el tunel. Antes de compilar la plitica hayq ue crear las
reglas correspondientes para permitir el trafico entre los hosts de ambas redes (lo normal,
vamos).
Compilamos y comprobamos si se establece el tunel, si todo va bien deberiamos ver en el log el
establecimiento del mismo y el trafico pasando al otro extremo.

VPN site to site en Checkpoint con NAT

Esta semana hemos tenido que ayudar con una VPN site to site entre un Checkpoint y
un Cisco ASA. Ha sido interesante ya que la forma en que Checkpoint configura las VPN
site to site, es ligeramente distinta de la mayora de los firewalls.
En checkpoint el dominio de encriptacin (o las redes internas entre las que se
establecen los tneles) de fase 2 se define a travs de algo llamado communities que
codicionan la seleccin de los paquetes que se envan a travs del tnel, como
veremos ms adelante.

El esquema del caso es:

Se ha de establecer el tunel entre las redes LAN A y LAN B con el problema aadido de
que la red 192.168.1.0/24 se encuentra en uso en la red del Peer B ya que es parte de
la LAN C a la cual se accede desde LAN B a travs del Checkpoint. Para solucionar el
tema de solapamiento entre la LAN A y la LAN C se establece un NAT en Checkpoint
enmascarando la LAN A con la red 192.168.3.0/24 que no se encuentra en uso en la
red del Peer B.
La configuracin del tunel en el Checkpoint qued establecida as:
Configuracion del tunel:
Community: PeerA-B.
Nodos:

1) Nodo Peer A:
- IP Pblica: 80.27.22.11
- Dominio de encriptacin: 192.168.1.0/24
1) Nodo Peer B:
- IP Pblica: 90.27.22.22
- Dominio de encriptacin: 192.168.2.0/24
Regla de Acceso
LAN A

LAN A

NATEO LAN A > NATEO LAN A > Todos los servicios > Aceptar
LAN B

LAN B

Configuracin de NAT
IPorig

IPdst

192.168.1.0/24

any

any

192.168.3.0/24

TraduccOrig
192.168.3.0/24
=

TraduccionDst
=
192.168.1.0/24

Con esta configuracin, el tunel levanta si la comunicacin es iniciada por el Peer A y

los paquetes pasan encriptados a travs del tunel tanto para el trfico desde A a B
como desde B a A. El problema es que si la comunicacin es iniciada por B, el tnel no
levanta y los paquetes son enviados hacia la LAN C, tal y como indica la tabla de rutas
de Checkpoint.

Al mirar los logs en tracker pordamos observar entradas que aceptaban el trfico entre
los dos extremos del tunel:
192.168.2.x > 192.168.3.y > UDP_200 > ACCEPT
Tambin podamos observar en estos logs que el NAT se estaba realizando
correctamente por lo que la comunicacin, con la traduccion de direcciones quedaba:
192.168.2.x > 192.168.3.y (Xlatedst: 192.168.1.y) > UDP_200 > ACCEPT
Al mirar los logs de la pestaa VPN, no apareca ninguna entrada perteneciente al
tunel, lo que indica que no trata de levantar el tnel porque no considera este trfico
VPN.
Se inici la comunicacin desde el Peer A para que el tnel mantuviese levantada la
fase 1 y se realizaron pruebas de acceso desde el Peer B (iniciando este la
comunicacin) hacia el Peer A. En los logs de VPN apareci una entrada como:
Number:

718105

Date:

4Mar2010

Time:

18:08:05

Product:

VPN-1 Power/UTM

VPN Feature:

IKE

Interface:

daemon

Origin:

CHECKPOINT

Type:

Log

Action:

Key Install

Source:

CISCO_ASA

Destination:

CHECKPOINT

Encryption Scheme:

IKE

VPN Peer Gateway:

CISCO_ASA

IKE Phase2 Message ID:

14b7d641

Community:

Peer A-B

Subproduct:

VPN

Information:

IKE: Quick Mode Received Notification from Peer: invalid id

information
El mensaje Invalid id Information en el establecimiento de la fase 2 indica que existe
algn error en las redes configuradas en el dominio de encriptacin ya que no
coinciden con los datos de los que dispone el peer remoto. Este mensaje fue la pista
definitiva para dar con la solucin. Haba algo incorrecto en el dominio de encriptacin
remoto.
Para que funcionen las VPNs de Checkpoint con NAT, hay que incluir la red del NAT en
objeto que representa al PeerA en la comunity que define la VPN en checkpoint.
1) Nodo Peer A:
- IP Pblica: 80.27.22.11
- Dominio de encriptacin: 192.168.1.0/24; 192.168.3.0/24.
Al instalar polticas con este cambio, el checkpoint considera los accesos
192.168.2.x > 192.168.3.y (Xlatedst: 192.168.1.y) > UDP_200 > ACCEPT
como accesos de VPN y hace que los paquetes vayan por el tnel estableciendose
correctamente la comunicacin. Ahora aparecen entradas en la pestaa VPN del
tracker que indica que el trfico est pasando por l.
Espero que este post sea de utilidad a alguien. Ms adelante escribir algn post con el
procedimiento general para configurar una VPN con Checkpoint.