Exclure l’adresse d’une passerelle VPN du domaine d’encryption

Je sais pas si c’est nouveau, mais depuis la MAJ de notre cluster en R75.20, j’ai était confronté au problème suivant :

– Lorsque l’on essaye de joindre un port via l’adresse WAN d’un firewall avec lequel on monte un VPN, il essaye de passer dans le VPN. Ce qui est problématique car on souhaiterais que cela passe en clair.

L’explication à était trouvé sur le blog de Lachmann (http://blog.lachmann.org/) :

When you define a peer gateway for a VPN community, you also have to define the topology of the gateway that is used for VPN connections. This is the encryption domain.

Defining an encryption domain for external VPN peer

What you don’t see is that the encryption domain does not only include the IP addresses of networks associated with the gateway, but also the gateway IP address itself.

This behaviour is not shared by others vendors like Cisco for example, they only use the explictly defined encryption domains.

Common scenario:

You have a VPN with a partner and exchange encrypted traffic. In addition, the partner offers you webpages available over the Internet and reachable over the official IP address of his VPN gateway.

When you try for example to access this webpage from within your network, the traffic will be send encrypted to the remote gateway, let’s say a Cisco ASA Firewall.

The Cisco ASA does not see it’s outside IP address as within the own encryption domain and refuses to create a SA. So your connection attempt will fail.

The solution to this is to exclude the external IP address of the remote VPN peer gateway from VPN.

Une SK CheckPoint indique bien la résolution (sk44014) :

Procedure:

  1. On the Security Management server add the following lines at the end of the $FWDIR/lib/crypt.def file:

    change the line
    #define NON_VPN_TRAFFIC_RULES 0
    to:
    #define NON_VPN_TRAFFIC_RULES (dst= IP_Address_Of_VPN_Peer)

    The <IP address> is the IP address of the remote peer which should be excluded from the VPN-1 gateway’s remote encryption domain.

    Note: location of crypt.def file depands on the software version.

    • R75.20 = $FWDIR/lib/crypt.def
    • R75 – R75.10 = CPR75CMP-R75.20/lib/crypt.def
    • R70.x – R71.x = CPR71CMP-R75.20/lib/crypt.def
    • R65 = CPNGXCMP-R75.20/lib/crypt.def
  2. Install the Security policy.

 

Si comme moi vous vous dites, mais comment j’en rajoute plusieurs, il suffit de faire quelque chose du genre : (dst=x.x.x.x or dst=y.y.y.y or dst=z.z.z.z)

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s