Configuracion VPN checkpoint

Un clásico, mil veces que lo configuras y siempre metes la pata en algo. El sistema no ha cambiado mucho a lo largo del tiempo así que, ahí van los pantallazos.

Antes de Nada vamos a crear el tunel, para hacerlo nos vamos a IPSEC-VPN (R77.30) y creamos una comunidad nueva (por ejemplo VPN1).

Despues definimos el servidor de túneles remoto (Interoperable Device) desde Network Objetcs (botón derecho) Others->Interoperable Device. (Network Objects, no el menú networks)


Damos ok, y volvemos a seleccionar el objeto. Pinchamos sobre VPN y añadimos nuestra VPN1
En topologia tenemos que añadirle el o los objetos network . Esta red es la que vamos a alcanzar detrás de la VPN (la remota). Para hacerlo, desde Topology -> New y desde ahí definimos todas las redes a las que necesitamos acceder.

VPN Advanced, seleccionamos custom settings y one VPN tunnel per each pair of hosts (en caso de que quieras que sea asi).
Link selecction por si quieres poner el extremo del tunel en otra ip, en mi caso, me vale con main address.
Ahora vamos a VPN communities -> Site to Site -> VPN1, debemos ver el interoperable object que hemos definido anteriormente-> le damos add y añadimos el objeto de nuestro firewall.
Despues definimos las propiedades de la VPN.
En mi caso lo pusimos con 3DES y MD5 para las dos fases.
Vamos a Tunnel Management y seleccionamos el tunel como permanente (en caso de que lo necesites, claro).

Advanced Settings, shared secret, marcamos Use only shared secret for all external members y ponemos la correspondiente key al objeto
Advanced VPN Properties. Ajustamos el intercambio de claves y deshabilitamos el NAT dentro de la VPN (si es lo que necesitas, en mi caso lo pasamos por routing).
Siguiente paso, definimos los objetos siguientes:
– Redes que tienen que tener acceso a la VPN
– EL grupo que las contiene
Después seleccionamos el objeto firewall (el nuestro)-> topology ->seleccionamos el dominio VPN a manual y añadimos el grupo con las redes que hemos creado antes. Vamos a VPN y seleccionamos myintranet como VPN community. Después VPN advanced y le ponemos los mismos parámetros que al Interoperable device
Con estos pasos ya tenemos definido el túnel. Antes de compilar la política hayq ue crear las reglas correspondientes para permitir el trafico entre los hosts de ambas redes (lo normal, vamos).
Compilamos y comprobamos si se establece el túnel, si todo va bien deberíamos ver en el log el establecimiento del mismo y el trafico pasando al otro extremo.