CheckPoint – Joindre le firewall passif via un tunnel VPN connecté au cluster (sur l’actif)

De base, il est impossible de joindre le firewall passif au travers d’un tunnel VPN connecté sur l’actif.

Pour pouvoir le permettre, il faut effectuer la modification suivante (sur les deux membres pour que cela marche en cas de bascule) en CLI :

fw ctl set int fwha_forw_packet_to_not_active 1

Vous pouvez vérifier la bonne prise en compte du paramètre avec la commande :

fw ctl get int fwha_forw_packet_to_not_active

Cette modification se perd au reboot de l’équipement. Pour la conserver, il faut :

  • Sur une SPLAT :

Ajouter dans le fichier $FWDIR/boot/modules/fwkern.conf, la ligne fwha_forw_packet_to_not_active=1

 

  • Sur un IPSO Nokia :

Mettre en place du NAT
SRC vers FW Actif Naté par ClusterSRC vers FW Passif Naté par Cluster

Mettre en place les règles FW :
Cluster vers FW1 et FW2 sur les port necessaires PERMIT

Désactiver le Extended Cluster Anti-Spoofing sur le cluster (dans la topologie)

Passer la commande suivante en SSH/Console :

fw ctl set int fw_local_interface_anti_spoofing 0

Pour que la modification reste au reboot :

En console :

nokia[admin]# dbset advanced:loader t

Puis se connecter sur Voyager (Configuration > Tools > Firewall Kernel Tuning in the navigation tree) et saisir fw_local_interface_anti_spoofing INTEGER 0

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s