lunes, enero 24, 2005

VPN con Checkpoint y Secureclient

Secureclient es un cliente de VPN para usar contra gateways de Checkpoint. Hasta ahora sólo he usado el modo simplificado de configuración. En este modo, se define un dominio de encriptación, a través de la topologia, o a través de un grupo defiendo aquellos objetos que nos interese formar parte del dominio de encriptación. Se añaden los usuarios y se crea las reglas que permiten a dichos usuarios acceder al domino de encriptación desde su conexión VPN. Claro, esto es simplificando mucho las cosas. Secureclient y el FW-1 utiliza IPSEC para establecer los túnules, soporta un modo de NAT transversal e IKE sobre TCP que permite su uso en situaciones donde exista NAT.

Sin embargo, el uso de la topología bajada desde el FW-1 por parte del cliente de Secureclient me ha dado continuos quebraderos de cabeza, porque el Secureclient se empeñaba establecer la negociación del tunel de la VPN con la interfaz incorrecta del firewall. Por desgracia, no podía aprovecharme de la topología para marcar las interfaces externas e internas - dada la configuración de red que tengo -. Tras mucho mirar las opciones del objeto que define el gateway, miré la opción que me permitió solucionar el problema: decirle al Secureclient que ignorara lo que le decía el gateway para elegir la mejor interfaz para alcanzarla. Esta opción está en el objeto firewall en VPN,VPN Advanced, Dynamic Interface configuration, Enable dynamic resolution by SecureRemote / Secureclient. Con esta opción, el Secureclient dejó de intentar conectarse a la interfaz erronea para establecer el túnel.

No hay comentarios: