force est de constater qu'un ticket de maintenance à 450$ pour un appel chez Checkpoint c'est assez décourageant.
Hors comme tout le monde on peut avoir des soucis et ce serait pas mal de mettre à profit nos connaissances en la matière.
 
Pour commencer je vais juste distribuer mes ressources, plus ou moins fiables :  
 
- le forum de phoneboy, une référence en la matière :
http://www.phoneboy.com/ikonboard/ikonboard.cgi
 
- la mailing list de FW1 :  
http://www.checkpoint.com/services/mailing.html
 
- la base de connaissances :  
https://secureknowledge.checkpoint. [...] search.jsp
 
Si vous connaissez ou utilisez le produit, faites vous connaitre!
 

allez quoi, y'en a bien qui ont des firewalls ici!

vi, mais ou je bosse ils viennent de chez netasq

j'aime pas les appliances

Merci pour les liens Ca me servira

ouais mais j'aimerais bien que d'autres participent aussi
 
Par ex. si quelqu'un pouvait m'aiguiller sur un problème que j'ai eu deux fois : tout le filtrage et le moteur de checkpoint fonctionne, mais par contre je n'ai plus aucune authentifications VPN qui marche, tout est rejeté.
J'ai aucune idée ni du pourquoi ni du comment, ça marche au bout de x reboots

est ce que ça ne viendrait pas du fait que tu es arrivé au nombre d'ip ou nombre d'objet de ta licence ?
 
ça nous faisait la même chose ou je bossais avant

bah j'avais pensé à ça quand j'avais mes messages concernant la licence dans l'observateur d'évènements. Mais depuis j'ai rajouté une licence 250 utilisateurs et 500 secureremote.
A priori je suis à l'abri.
Mon seul problème de licence c'est ce qui a causé ma perte hier (:D) : checkpoint gueule en me disant que j'ai une licence mono processeur alors qu'il dit que j'en ai deux.
En fait c'est faux, j'ai juste un xéon
 
Et j'ai rebooté le serveur pour virer l'hyperthreading dans le bios mais sur les serveurs Dell a priori ça ne se fait pas comme ça

¡Hola!
Quelqu'un pourra peut etre m'aider,
j'essaie de me connecter de puis SecuRemote, mais la connection ne passe pas,
je m'explique
 
Site A (VPN-CheckPoint Safe@Office 220) ---> Site B (VPN-CheckPoint Safe@Office 220)
Cette configuration fonctionne sans probleme
 
Client A (VPN-SecuRemote R56) ---> Site B (VPN- CheckPoint Safe@Office 220)
Erreur de connection.
 
Client A (VPN-SecuRemote R56) ---> Site A (VPN- CheckPoint Safe@Office 220)
Connection Sans Probleme.
 
Configuration du site A (aucune Idée)
 
Configuration du Site B:
 
Router Bewan LanBooster 6104
CheckPoint Safe@Office 220
Windows 2000 Server
 
Mon Router est configurer de la facon suivante:
Port Ouvert:
   -UDP 500
   -TCP 256
   -TCP 264
   -UDP 2746
 
Voila si quelqu'un a une petite idee ou quelques questions.
A+

tu as essayé de forcer l'encapsulation UDP?
 
sur le site A, tu n'as pas de verrouillage ipsec?

Oui effectivement le Site A est en verrouillage IPSEC,
 
l'encapsulation UDP ne fonctionne pas, je pense que le probleme provient d'une ouverture de port ou d'un protocole que je n'ai pas configurer, mais je ne sais pas lequel

Ah du VPN avec du Checkpoint j'ai jamais reussi perso

J'ai reussi lorsque j'utilise 2 CheckPoint,
Mais si j'utilise le SecuRemote la ca ne fonctionne pas,
j'aimerai bien savoir pourquoi...

tu as du NAT?

oui bien sur

et tu veux faire du secureremote derriere deux checkpoint liés en vpn ou qui s'ignorent?

non je veux que les deux checkpoint s'ignorent,
que je puisse me connecter au site B
sans que le Site A se connecte au site B
Ca va faire 4 mois que je galere c'est vraiment la merde...

tu as quoi comme règles sur ton firewall?
tu laisses passer quoi comme port?
tu as quoi dans les diagnostics et dans les logs?

Pour ce qui du firewall CheckPoint, il bloque presque tout.
pour le firewall de mon routeur Bewan Lanbooster,
UDP 500
TCP 256
TCP 1701
 
Au niveau des Logs aucune trace de tentative de connection
Sauf si creation d'un nouveau site...

Lors de la creation d'un nouveau Site, le phase 1 fonctionne
il me trouve le site me valide mot de passe et nom d'utilisateur, confirme mon certificat.
Mais lorsque je me connecte il ne trouve pas le Site, comme si un protocole n'arrivait pas a passer le firewall,
mais je pense avoir ouvert tous les ports, je ne comprends vraiment pas...
 
UP plz

avec ethereal est-ce que tu suis ton paquet?

Remontage de vieux topic suite à recherche sur google
Donc, bin là où je bosse on utilise des checkpoint Safe@Office.
Plusieurs VPN existant quasi tous dirigés vers la Direction Générale.
( la DG est là où sont nos serveurs, et là où je suis en général )
Et VPN entre Safe@office et autres matériel, ca peut se faire.
(suffit de bien renseigner quelques paramètres)

drapo, au cas ou

Petite question :
 Je souhaite déployer l'antivirus à travers des VPN via des checkpoint Safe@Office.
 J'ai appelé Trend Micro qui m'a indiqué 2/3 petites choses intéressantes. (au niveau des ports tcp/ip)
 Je souhaite maintenant passer à l'étape suivante, installer un client sur un établissement distant.
 Je souhaite donc que ce client puisse dialoguer avec le serveur, et vice versa.
 En sachant que l'un et l'autre traverse donc les CheckPoint, avez déjà fait ce type d'installation / expérience ?
 Merci

Salut,
 
Petit question concernant Checkpoint sur Debian.
Sur l'écran de login du serveur, par défaut il indique la version du Checkpoint, ainsi que l'adresse IP sur laquelle on peut se connecter pour l'administration en HTTPS.
 
Je sais que sous Pfsense on peut modifier cet écran en modifiant des variables, mais je ne trouve pas l'équivalent pour Checkpoint.
J'ai essayé /etc/motd ainsi que /etc/bashrc, mais ça ne donne rien. Si quelqu'un a une idée, ça m'aiderait.
 
A+

Un p'tit up  

il y a des variables définies sur checkpoint, mais je ne sais pas comment tu peux les modifier juste pour l'affichage en console.
 
quel est l'intérêt de modifier cet affichage ?  
 

Je travaille dans un environnement avec des règles de sécurité assez strictes. Lors d'un audit, on nous a fait la remarque sur le fait qu'on puisse voir sur cet écran comment se connecter au Checkpoint...
Tu sais où elles se trouvent ces variables ?

concernant la remarque de l'audit, si tu as accès physique à l'écran connecté au checkpoint, alors récupérer l'adresse IP est un moindre mal à mon sens.  
 
il vaudrait mieux bloquer l'accès physique à l'écran (ou ne pas mettre d'écran permanent).  
 
ensuite les accès même avec l'adresse IP sont filtrés par le filtrage checkpoint et les access list d'admin. Si aucun de ces points n'a été vérifié et que la remarque est dans l'audit, manifestement ton audit n'a pas été très rigoureux.
 
dernier point : cet affichage est modifié dans la dernière version d'OS checkpoint (gaia r75.40) qui ne fait plus apparaître  
l'adresse IP de management au prompt. (mais je ne sais tjrs pas comment modifier ça en secureplatform, j'ai fait la feignasse j'ai pas trop cherché non plus )