Re: [ml] VPN e subnet

Come ha scritto Daniele, devi modificare un comportamento di default di
Checkpoint.

Non so quale versione hai, cmq la modifica la fai sullo smart center e la
fai su questo file:

$FWDIR/lib/user.def

Oppure

$FWDIR/conf/lib/user.def.NGX_R60

Una volta che individui la posizione del file user.def di pertinenza, stoppi
i servizi con cpstop.

Quando finisci le modifiche, riavvii i servizi con cpstart.

Di seguito appendo la procedura di CheckPoint

Ciao 

To manually designate exact network to encrypt traffic with modify the
$FWDIR\lib\user.def file.

Procedure:

1) Edit objects_5_0.C (see How to use the dbedit utility in order to edit
the objects_5_0.C file) and change variable
"ike_use_largest_possible_subnets" to false.

2) Configure the "max_subnet_for_range" settings

The table name and format:

max_subnet_for_range = {
<first_IP_in_range, last_IP_in_the_range; subnet_mask>,
<first_IP_in_range, last_IP_in_the_range; subnet_mask>,
...
<first_IP_in_range, last_IP_in_the_range; subnet_mask>
};


Example, if we insert IP addresses below:

#ifndef __user_def__
#define __user_def__

//
// User defined INSPECT code
//

max_subnet_for_range = {
<0.0.0.0, 194.29.39.255; 255.255.255.0>,
<194.29.40.0, 194.29.50.255; 255.255.255.255>,
<194.29.51.0, 255.255.255.255; 255.255.0.0>
};

#endif /* __user_def__ */


A. For the host IP 194.29.23.1 the network IP would be 194.29.23.0
(194.29.23.0-194.29.23.255).
B. For the host IP 194.29.46.45 the network IP would be 194.29.46.45 (just
one IP).
C. For the host IP 194.29.102.1 the network IP would be 194.29.0.0
(194.29.0.0-194.29.255.255).

3) Install policy after modifying user.def for changes to be effective.


Il 6-07-2007 14:03, "Daniele Besana" <daniele@xxxxxxxx> ha scritto:

> On Thu, 2007-07-05 at 09:31 +0200, Domenico Viggiani wrote:
>> Ciao,
>> uno dei problemi principali che incontro nel creare VPN IPSEC (ormai si è
>> capito: sono la mia passione!) è nella definizione delle subnet che ci
>> stanno dietro.
>> Non so se è un problema tipico di Checkpoint o una delle "debolezze" di un
>> protocollo così generico come IPSEC ma c'è sembre qualche problema a mettere
>> d'accordo gateway con differenti implementazioni: se uno propone
>> 192.168.0.0/24 e 192.168.1.0/24, l'altro si aspetta 192.168.1.0/23 o
>> viceversa e problemi simili.
>> Peggio ancora se ci sono reti diverse "miste".
>> 
>> Volevo sapere qual è la vs. esperienza a riguardo.
> 
> Ciao Domenico,
> Checkpoint by default fa 'supernetting' cioe' genera il proxy-id (che e'
> la rete protetta dalla VPN) raggruppando reti contigue e annunciando una
> sola rete con una subnet mask piu' ampia.
> Come dici tu 192.168.0.0/24 e 192.168.1.0/24 verranno annunciate come
> proxy-id 192.168.1.0/23, che e' perfetto se vai VPN tra gateway
> Checkpoint, ma crea problemi di interoperabilita'.
> Con Checkpoint non puoi configurare a mano i proxy-id (CP tende a
> nascondere e semplificare un po' troppo i parametri IPSEC imho...)
> quindi bisogna lavorare sull'altro end-point per aspettarsi quello che
> viene proposto.
> 
> Il supernetting si puo' disattivare editando uno dei file .def, ma non
> ho piu' accesso alla loro KB per controllare quale :-P
> 
> Altre feature come il controllo della VPN (VPN monitor mi pare si
> chiami) possono creare problemi perche' usano l'IP pubblico del gateway,
> che di norma non e' annunciato nel proxy-id, e quindi crea un pacchetto
> che viene scartato dal ricevente.
> 
> Hope this helps

-- 
echo naqern.obttvb@xxxxxxxxxxxxx | perl -pe 'y/a-z/n-za-m/'
-- 
Andrea Boggio
_____________________________
Value Team SpA
Business Unit VP Tech ­ Security Solutions
Via Della Grande Muraglia 284
00144 Roma
Tel. +39 06 526 13.1
Cell. +39 335 6285437
Fax +39 06 526 133 14

andrea.boggio@xxxxxxxxxxxxx

http://www.valueteam.com


CONFIDENTIALITY NOTICE -This message and its attachments (if any) may
contain confidential, proprietary or legally privileged information and is
intended only for the use of the addressee named above. No confidentiality
or privilege is waived or lost by any mistransmission. If you are not the
intended recipient of this message you are hereby notified that you must not
use, disseminate, copy it in any form or take any action in reliance on it.
If you have received this message in error please delete it and any copies
of it and kindly inform the sender of this e-mail by replying or go to
www.valueteam.com <http://www.valueteam.com/>  on 'contact us'.