Llevo unos días bastante despistado, me costo bastante dar con el problema (bueno con los dos). Resulta que … tenemos unos clusters unidos entre si por una VPN meshed (que funciona bien), ahora necesitamos que mucha peña trabaje desde casa (¿a alguno le suena?) y la entrada principal esta bastante saturada, así que vamos dividir al personal y que cada uno entre por su firewall local (esto es una larga historia). Tenemos dos formas de entrar, o bien usar el «cliente de toda la vida», o conectarse a la web y usar el SSL extended.
Desde los dos sitios se conecta sin problemas y se llega a todo lo local de cada firewall … pero hace falta que desde el firewall 1 se llegue a algo que esta detrás del firewall 2 (usando la meshed vpn) y eso no funcionaba (porque no estaba abierto mas que nada).
Antes de nada algo interesante para leer.
https://community.checkpoint.com/t5/Enterprise-Appliances-and-Gaia/VPN-routing/td-p/15384
https://community.checkpoint.com/t5/Enterprise-Appliances-and-Gaia/Show-VPN-Routing-on-CLI/td-p/40216
https://sc1.checkpoint.com/documents/R80.10/WebAdminGuides/EN/CP_R80.10_SitetoSiteVPN_AdminGuide/html_frameset.htm?topic=documents/R80.10/WebAdminGuides/EN/CP_R80.10_SitetoSiteVPN_AdminGuide/159310
Aquí tuvimos dos problemas, el primero con la política de aplicaciones, que no permitía algunos protocolos, los añadimos y listo. Ojo con el sistema que usas para entrar, porque se configura en sitios diferentes.
Haciendo mas pruebas empece a ver muchos errores en el log del tipo «According to the policy the traffic should not have been decrypted» drop log for traffic from VPN»
Encontré este articulo …
Y luego la solución fue algo mas sencilla, en uno de los clusters el dominio VPN estaba mal definido (no el de la mesh) el del acceso remoto.
Lo tuve que dejar así …
Y después tuvimos otro problema raro, dependiendo del usuario que entrara, a algunos les funcionaba y a otros no (a mi, por ejemplo), en el log se veía el acceso en el firewall local denegado con el mensaje «unauthorized SSL VPN traffic».
Otro rato de búsqueda y lectura.
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk163896
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk109233 <- los tiros al final iban por aquí.
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk97811
Y resulta que en «Mobile Access» hay definidas varias políticas, una que «en teoría» permite el acceso a todos los usuarios (mediante grupo de AD) a todo, y sin saber porqué (no tengo acceso al AD, pero algo me dice que estuvieron jugando con los grupos) mi usuario había dejado de pertenecer a ese grupo, y hacia match en otra regla que NO permitía el acceso fuera de ese firewall. Menos mal que el tio de soporte me echo una mano … porque me podía haber tirado media vida hasta llegar hasta ahí, no es algo que se me ocurriera mirar así como así.
A ver si tengo un rato y me vuelvo a leer esto:
https://sc1.checkpoint.com/documents/R80.20_GA/WebAdminGuides/EN/CP_R80.20_RemoteAccessVPN_AdminGuide/html_frameset.htm?topic=documents/R80.20_GA/WebAdminGuides/EN/CP_R80.20_RemoteAccessVPN_AdminGuide/83586 -> Es lo que tiene la falta de formación, las cosas van cambiando y cuesta mantenerse al día.
Y el problema es que esto lo teníamos que haber probado hace semanas y no hoy … deprisa y corriendo (como siempre).
Que bien te lo pasas 🙂 .. aunque la parte de telefonía me la tienes abandonada XD.
jajaja un poco si …