|
| Pro@ccess og VPN Fra : FH |
Dato : 09-08-01 00:10 |
|
Hej alle-zu-sammen
Jeg er ikke sikker på, det er den rigtige gruppe, jeg henvender mig
til. Hvis jeg er fuldstændig gal på den, vil jeg sætte pris på et vink
med en vognstang
Jeg er den lykkelige ejer af 1 stk. Pro@ccess 256/256 med Steedstream
5711 router.
Jeg skal kører op mod mit arbejde via enCheckPoint SecuRemote
VPN-client ( www.checkpoint.com)
Jeg kan midlertid ikke finde noget info på Checkpoints hjemmeside om,
hvordan routeren skal konfigureres, for at dette kan komme til at
virke. Her tænker jeg naturligvis på porte osv.
Der skulle ikke helt tilfældigvis sidde en eller anden derude, der har
prøvet dette?
På forhånd tak for hjælpen!!!
--
Flemming H.
[remove 2 spaces in mail)
| |
Gorm Jorgensen (09-08-2001)
| Kommentar Fra : Gorm Jorgensen |
Dato : 09-08-01 14:25 |
|
Hej Flemming,
> Jeg er den lykkelige ejer af 1 stk. Pro@ccess 256/256 med Steedstream
> 5711 router.
> Jeg skal kører op mod mit arbejde via enCheckPoint SecuRemote
> VPN-client ( www.checkpoint.com)
>
> Jeg kan midlertid ikke finde noget info på Checkpoints hjemmeside om,
> hvordan routeren skal konfigureres, for at dette kan komme til at
> virke. Her tænker jeg naturligvis på porte osv.
>
Det kommer helt an på hvilken version af FW1 du kører med, men hvis du kører
med en version som er 4.1 SP2 eller højere kan du gøre brug af en speciel
feature ved navn "udp_encapsulation" som pakker al trafik ind i udp. Det du
opnår er at du ikke skal pille i routerens konfiguration, medminre du har
filtre på udgående forbindelser.
> Der skulle ikke helt tilfældigvis sidde en eller anden derude, der har
> prøvet dette?
>
Flere gange end du aner :)
--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--
| |
ChopStix (09-08-2001)
| Kommentar Fra : ChopStix |
Dato : 09-08-01 14:58 |
|
Hej Gorm,
Jeg skal lige spørge dig om UDP_ENCAP og IPSec?
Jeg har en 677 og såvidt jeg kan se, kan den ikke håndtere IPSec - hvad ved
du om dette [og om IPSec iøvrigt ] ?
Mvh
Ken
"Gorm Jorgensen" <Gorm@Area51.DK> skrev i en meddelelse
news:slrn9n53pv.df.Gorm@C-Tower.Area51.DK...
> Hej Flemming,
>
> > Jeg er den lykkelige ejer af 1 stk. Pro@ccess 256/256 med Steedstream
> > 5711 router.
> > Jeg skal kører op mod mit arbejde via enCheckPoint SecuRemote
> > VPN-client ( www.checkpoint.com)
> >
> > Jeg kan midlertid ikke finde noget info på Checkpoints hjemmeside om,
> > hvordan routeren skal konfigureres, for at dette kan komme til at
> > virke. Her tænker jeg naturligvis på porte osv.
> >
> Det kommer helt an på hvilken version af FW1 du kører med, men hvis du
kører
> med en version som er 4.1 SP2 eller højere kan du gøre brug af en speciel
> feature ved navn "udp_encapsulation" som pakker al trafik ind i udp. Det
du
> opnår er at du ikke skal pille i routerens konfiguration, medminre du har
> filtre på udgående forbindelser.
>
> > Der skulle ikke helt tilfældigvis sidde en eller anden derude, der har
> > prøvet dette?
> >
> Flere gange end du aner :)
>
> --
> Gorm Jorgensen - Area51.DK
> d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--
| |
Gorm Jorgensen (09-08-2001)
| Kommentar Fra : Gorm Jorgensen |
Dato : 09-08-01 16:55 |
|
> Jeg skal lige spørge dig om UDP_ENCAP og IPSec?
> Jeg har en 677 og såvidt jeg kan se, kan den ikke håndtere IPSec - hvad ved
> du om dette [og om IPSec iøvrigt ] ?
>
Jeg går ud fra at vi stadig snakker SecuRemote fra CheckPoint.
Din router skal ikke supportere IPSec da krypteringen foregår mellem din pc
og firewall, hvis du vælger at implementere udp_encapsulation er det lige
meget hvilken router du bruger. Der er en udemærket FAQ omkring enmet på
http://phoneboy.area51.dk/faq/0141.html
Jeg håber det besvarede dit spørgsmål.
--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--
| |
FH (09-08-2001)
| Kommentar Fra : FH |
Dato : 09-08-01 18:57 |
|
On Thu, 9 Aug 2001 15:25:19 +0200, Gorm@Area51.DK (Gorm Jorgensen)
wrote:
Hej Gorm,
>Det kommer helt an på hvilken version af FW1 du kører med, men hvis du kører
>med en version som er 4.1 SP2 eller højere kan du gøre brug af en speciel
>feature ved navn "udp_encapsulation" som pakker al trafik ind i udp. Det du
>opnår er at du ikke skal pille i routerens konfiguration, medminre du har
>filtre på udgående forbindelser.
Jeg kørte med 4.1 SP4 (Build 4185) - det virkede ikke. Jeg har så
downloadet NG (build 50227) - og gæt engang - det virker heller
ikke
Det ser umiddelbart ud til, SecuRemote "virker". Der er ihvertfald
"liv" i konvolutten i bunden; men jeg kan ikke replikere min Notes.
Jeg kan ligeledes heller ikke pinge mailserveren. Jeg får udelukkende
"Request timed out" tilbage.
Forbinder jeg mig til netet via mit analoge 56K-modem, har jeg ingen
problemer - så det er ikk' mailserveren, der har "hængt" sig
Jeg har ladet mig fortælle, at det kan have noget at gøre med, at mit
lokale IP bliver "pakket ind" sammen med resten af data'ene og derimod
mit offentlige IP, der kommer til at stå som afsender, og den derfor
bliver afvist.
Kan det være rigtigt?
Hvis ja - kan man gøre noget ved det?
>> Der skulle ikke helt tilfældigvis sidde en eller anden derude, der har
>> prøvet dette?
>>
>Flere gange end du aner :)
Det er jeg meget glad for at høre. Du er hermed blevet mit "offer",
indtil jeg får det her hø til at virke
--
Flemming H.
[remove 2 spaces in mail)
| |
Gorm Jorgensen (09-08-2001)
| Kommentar Fra : Gorm Jorgensen |
Dato : 09-08-01 20:12 |
|
> Jeg kørte med 4.1 SP4 (Build 4185) - det virkede ikke. Jeg har så
> downloadet NG (build 50227) - og gæt engang - det virker heller
> ikke
>
Dobbeltklik på "konvolutten" hop ind i Tools -> Encryption Scheme ->
Advanced -> sæt flueben i "Force Udp Encapsulation".
Gå i File -> Kill og genstart SecuRemote applikationen; så skulle der være
hul igennem, men der kan være et væld af andre ting som der skal pilles ved.
Men hvilken version af firewallen har du ?
> Jeg har ladet mig fortælle, at det kan have noget at gøre med, at mit
> lokale IP bliver "pakket ind" sammen med resten af data'ene og derimod
> mit offentlige IP, der kommer til at stå som afsender, og den derfor
> bliver afvist.
> Kan det være rigtigt?
> Hvis ja - kan man gøre noget ved det?
>
Det er rigtigt at din lokale ip kommer til at stå som source ip i
firewallen, men under normale omstændigheder er dette ikke noget problem, ej
heller i din firewall konfiguration da SecuRemote brugere autentikeres ved
brug af passwords og ikke source ip.
> Det er jeg meget glad for at høre. Du er hermed blevet mit "offer",
> indtil jeg får det her hø til at virke
>
Hehe.
--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--
| |
FH (09-08-2001)
| Kommentar Fra : FH |
Dato : 09-08-01 21:31 |
|
On Thu, 9 Aug 2001 21:11:39 +0200, Gorm@Area51.DK (Gorm Jorgensen)
wrote:
Hej igen Gorm,
I warned you
>Dobbeltklik på "konvolutten" hop ind i Tools -> Encryption Scheme ->
>Advanced -> sæt flueben i "Force Udp Encapsulation".
Done
>Gå i File -> Kill og genstart SecuRemote applikationen; så skulle der være
>hul igennem, men der kan være et væld af andre ting som der skal pilles ved.
Der er desværre ikke hul igennem (hulk) Hverken ping af mailserver
eller replikering af Lotus Notes.
>Men hvilken version af firewallen har du ?
Uha - den var værre. Jeg arbejder for et amerikansk firma, og
serveren står overthere.
Jeg har stillet mit spørgsmål til dem også; men har desværre ikke fået
svar endnu.
Vi fik på et tidspunkt en mail fra hovedkontoret, hvor de skrev, at vi
skulle opgradere klienten til 4.1 SP3 - ellers ville vi ikke kunne
komme gennem firewall'en. Jeg går derfor ud fra, det er den version,
de kører med derovre
Correct me if my assuming is wrong
>Det er rigtigt at din lokale ip kommer til at stå som source ip i
>firewallen, men under normale omstændigheder er dette ikke noget problem, ej
>heller i din firewall konfiguration da SecuRemote brugere autentikeres ved
>brug af passwords og ikke source ip.
OK - kan der tjekkes på IP på firewall'en.
Hvis ja - kan man ændre noget på klienten, så det bliver den
offentlige IP, der bliver "taget"?
>> Det er jeg meget glad for at høre. Du er hermed blevet mit "offer",
>> indtil jeg får det her hø til at virke
>>
>Hehe.
Hhhmm - lad os se, hvor længe det "hehe" holder - thanx for al din
hjælp!
--
Flemming H.
[remove 2 spaces in mail)
| |
FH (09-08-2001)
| Kommentar Fra : FH |
Dato : 09-08-01 21:59 |
|
On Thu, 9 Aug 2001 21:11:39 +0200, Gorm@Area51.DK (Gorm Jorgensen)
wrote:
Hej igen Gorm
>Dobbeltklik på "konvolutten" hop ind i Tools -> Encryption Scheme ->
>Advanced -> sæt flueben i "Force Udp Encapsulation".
Done.
>Gå i File -> Kill og genstart SecuRemote applikationen; så skulle der være
>hul igennem, men der kan være et væld af andre ting som der skal pilles ved.
Det virker desværre ikke (hulk)
Jeg får hverken svar på ping eller ved replikering af Lotus Notes.
>Men hvilken version af firewallen har du ?
Se - her må jeg desværre være dig svar skyldigt. Jeg arbejder for et
amerikansk firma, og firewall'en og mailserveren står overthere
Vi fik for et stykke tid siden en mail, hvori vi fik besked på at
opgradere klienten til version 4.1 SP3. Ellers ville vi ikke længere
kunne komme gennem. Jeg går derfor ud fra, de kører med denne version.
Correct me if my assuming is wrong
>Det er rigtigt at din lokale ip kommer til at stå som source ip i
>firewallen, men under normale omstændigheder er dette ikke noget problem, ej
>heller i din firewall konfiguration da SecuRemote brugere autentikeres ved
>brug af passwords og ikke source ip.
Hvis vi antager (wildshot - i know) at firmaet bruger IP-nummeret til
et eller andet, kan jeg så "gøre noget ved" klienten, så den ikke
pakker mit lokale IP ind som source?
Findes der noget kanon software, der kan sniffe, hvilke porte der er i
funktion. Jeg kan replikere gennem mit modem, så det kunne være
interessant at "kigge" på, hvilke porte firewall'en reelt bruger -
eller hva'?
>> Det er jeg meget glad for at høre. Du er hermed blevet mit "offer",
>> indtil jeg får det her hø til at virke
>>
>Hehe.
Lad os se, hvor længe det "he he" holder
1000 tak for al din hjælp !!!!
--
Flemming H.
[remove 2 spaces in mail)
| |
Gorm Jorgensen (10-08-2001)
| Kommentar Fra : Gorm Jorgensen |
Dato : 10-08-01 10:43 |
|
> Det virker desværre ikke (hulk)
> Jeg får hverken svar på ping eller ved replikering af Lotus Notes.
>
>>Men hvilken version af firewallen har du ?
>
> Se - her må jeg desværre være dig svar skyldigt. Jeg arbejder for et
> amerikansk firma, og firewall'en og mailserveren står overthere
> Vi fik for et stykke tid siden en mail, hvori vi fik besked på at
> opgradere klienten til version 4.1 SP3. Ellers ville vi ikke længere
> kunne komme gennem. Jeg går derfor ud fra, de kører med denne version.
> Correct me if my assuming is wrong
>
>>Det er rigtigt at din lokale ip kommer til at stå som source ip i
>>firewallen, men under normale omstændigheder er dette ikke noget problem, ej
>>heller i din firewall konfiguration da SecuRemote brugere autentikeres ved
>>brug af passwords og ikke source ip.
>
> Hvis vi antager (wildshot - i know) at firmaet bruger IP-nummeret til
> et eller andet, kan jeg så "gøre noget ved" klienten, så den ikke
> pakker mit lokale IP ind som source?
>
Hvis det er at de allerede bruger det ip-net din pc ligger i er der ikke
nogen vej uden om at skifte ip-adresser på dit lokale netværk..
Men få dem i USA til at kigge nærmere på problemet evt. i samarbejde med en
lokal leverandør, da der kan være mange årsager til problemet.
> Findes der noget kanon software, der kan sniffe, hvilke porte der er i
> funktion. Jeg kan replikere gennem mit modem, så det kunne være
> interessant at "kigge" på, hvilke porte firewall'en reelt bruger -
> eller hva'?
>
En alm. sniffer kan gøre jobbet..
Ved en IKE konfiguration med udp_encapsulation bruges udp port 500, og udp
port 2746. IPSec (IP protokol 50) er pakket ind i udp, deraf
udp_encapsulation.
--
Gorm Jorgensen - Area51.DK
d+ s: a-- C+++ UB++++ P+ L++ E--- W+++ N+ w--- O- M-- V-- PGP++ tv- G--
| |
|
|