Conocéis esa sensación de que «esto ya te ha pasado antes», algo le pasa a matrix. Llevo unos días pegándome con un problema de lo mas tonto (tonto, porque la solución es rápida). Un firewall (CHK 80.20) que forma parte de una meshed vpn con otros amiguitos chks y que funciona sin problemas desde hace años. Ahora ese mismo firewall tiene que formar parte de otra vpn punto a punto con un tercero en discordia.
Y el problema con ese tercero (que es un cliente) es que no quiere poner el mismo dominio de encriptación que tenemos nosotros (que es un /16, pero es lo que usamos en nuestra meshed).
Algo así:
Nodo A (yo)
local domain encryption: 10.1.0.0/16
remote domain encryptiom: 10.2.1.0/24
Nodo B (el cliente)
local domain encryption: 10.2.1.0/24
remote domain encryption: 10.1.1.1/32
Y no funciona … todo el rato con un error de «no proposal chosen»
https://community.checkpoint.com/t5/Multi-Domain-Management/VPN-Domain-per-VPN-community/td-p/30246
https://community.checkpoint.com/t5/General-Management-Topics/Multiple-vpn-domains-help/td-p/46757
Como no puedo poner dos dominios de encriptación dentro del mismo firewall, estoy jodido.
https://community.checkpoint.com/t5/General-Management-Topics/Multiple-vpn-domains-help/td-p/46757
Abro un ticket con el soporte y me dice que, efectivamente no se puede hacer … que estoy haciendo overlapping encryption domain (cosa que no es así).
Por aclarar el tema, si cambio mi local domain encryption a 10.1.1.1/32 la vpn se levanta sin problemas y llego al remoto. Pero claro … mi meshed se va a la mierda.
Leyendo cosas por ahí vi en algún sitio que por lo visto ahora con Fortigate se puede hacer y eso me encendió la bombilla, yo sigo sin solución … pero mola ver como una y otra vez se repiten las cosas.
¿A alguien se le ocurre algo para probar? … no tengo acceso al otro nodo y por lo que se ve … no están por la labor de tocar nada.
El tío del soporte me soltó un rollo para hacer un NAT (post nat y pre nat me dijo) …