samedi 1 octobre 2011

Debug VPN sur Check Point

Pour avoir été confronté à de nombreuses reprises à des VPN qui ne fonctionnaient pas tout de suite, il m'a été utile d'en effectuer le debugage.

Il y a plusieurs raisons pour lesquelles un tunnel VPN entre deux gateways ne s'établit pas (en tous cas dès la première tentative ;) ).


Déjà, la bonne méthode est d'échanger avec le partenaire d'en face un document stipulant les différents éléments de configuration que les deux parties veulent (ou exigent) mettre en place.
Il va de soit que les deux étapes d'établissement d'un tunnel VPN (IKE et IPSec) doivent être identiques des deux côtés.

Bon: à présent vous êtes sur un paramétrage identique de part-et-d'autre.. et çà ne fonctionne pas.
Soit:
 . Le tunnel VPN ne s'établit pas (une des deux phases tombe en erreur, dès le départ ou à l'envoi/réception d'une requête)
 . Le tunnel est OK mais les requêtes n'aboutissent pas.


Si la technologie Firewall utilisée est Check Point, trois éléments vont vous aider à en trouver l'origine:
 . L'application Check Point SmartView Tracker
 . Les outils de debug VPN accessible en CLI sur la Security Gateway VPN active

L'utilisation de ces éléments seront abordés dans des billets dédiés.

Les différents cas qui ont fait que mes tunnels VPN n'aboutissaient pas ou n'étaient pas fonctionnels:
 . Domaines d'encryption local et/ou distant incorrects
 . Réseau naté non présent dans le domaine d'encryption local/distant

Ces cas concrets seront abordés dans des billets dédiés.

Aucun commentaire:

Publier un commentaire