Re: [FRnOG] [TECH] PBR sur CheckPoint
+1 Hello, En configurant avec Wireshark ensuite pour relire les pcap, le debug n'en est que plus facile. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails==sk39510 Cordialement. --- Cédric Polomack http://www.secresys.fr 26 juin 2019 11:24 "Claer" a écrit: > Salut, > > Pour Check Point, privilégier l'outil de troubleshoot fw monitor plutot > que tcpdump. > > https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails= > onid=sk30583 > > On 26-06-2019 10.55 +0200, Louis wrote: > >> La cli IP de checkpoint gaia est juste une interface d'iproute2 sous linux. >> Vérifie ton PBR en mode expert via les commandes ip route et ip rule list - >> https://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-policy-routing. >> Fais des tcpdump. >> >> De mémoire, l'ordre de traitement du paquet : >> 1. nat de l'IP source >> 2. firewalling >> 3. routage par iproute2 >> 4. nat de l'IP destination >> >> donc iproute2 voit juste l'IP source nattée pas celle destination. >> >> Le mer. 26 juin 2019 à 10:50, Louis a écrit : >> >> Bonjour, >> >> sauf erreur, checkpoint se contre-fiche des adresses MAC. Ca a l'air d'une >> fausse piste. >> >> Le mar. 25 juin 2019 à 19:49, Michel KOENIG >> a écrit : >> >> Suite des recherches, je penses que c'est un problème d'adresses MAC >> >> Le flux sortant va vers la MAC du VRRP >> >> Le retour se présente avec la MAC du boitier qui est actif >> >> Donc, 2 possibilité pour corriger : >> >> 1/ >> Désactiver le check des tables d'adresses mac pour cette IP sur le >> CheckPoint >> >> 2/ >> Obliger le PepLink a répondre avec sa MAC VRRP >> >> Quelqu'un a l'astuce pour un de ces point ? >> >> Merci >> >> Michel >> >> -Message d'origine- >> De : David Ponzone >> Envoyé : mardi 25 juin 2019 17:08 >> À : Michel KOENIG >> Cc : frnog-t...@frnog.org >> Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint >> >>> Le 25 juin 2019 à 16:58, Michel KOENIG a >> écrit : >>> >>> Bonjour, >>> >>> Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint >>> >>> Le problème semble se situer au niveau de la config de la PBR sur le >> checkpoint >>> >>> Le routage s'effectue bien en sortie mais pas de paquet en retour >> >> Question con, mais ton PBR sur le Checkpoint respecte le NAT de >> l’interface de sortie ? >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org > > --- > Liste de diffusion du FRnOG > http://www.frnog.org > > -- > Ce message a été vérifié par MailScanner > pour des virus ou des polluriels et rien de > suspect n'a été trouvé. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PBR sur CheckPoint
La cli IP de checkpoint gaia est juste une interface d'iproute2 sous linux. Vérifie ton PBR en mode expert via les commandes ip route et ip rule list - https://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-policy-routing/. Fais des tcpdump. De mémoire, l'ordre de traitement du paquet : 1. nat de l'IP source 2. firewalling 3. routage par iproute2 4. nat de l'IP destination donc iproute2 voit juste l'IP source nattée pas celle destination. Le mer. 26 juin 2019 à 10:50, Louis a écrit : > Bonjour, > > sauf erreur, checkpoint se contre-fiche des adresses MAC. Ca a l'air d'une > fausse piste. > > > Le mar. 25 juin 2019 à 19:49, Michel KOENIG > a écrit : > >> Suite des recherches, je penses que c'est un problème d'adresses MAC >> >> Le flux sortant va vers la MAC du VRRP >> >> Le retour se présente avec la MAC du boitier qui est actif >> >> Donc, 2 possibilité pour corriger : >> >> 1/ >> Désactiver le check des tables d'adresses mac pour cette IP sur le >> CheckPoint >> >> 2/ >> Obliger le PepLink a répondre avec sa MAC VRRP >> >> Quelqu'un a l'astuce pour un de ces point ? >> >> Merci >> >> Michel >> >> -----Message d'origine- >> De : David Ponzone >> Envoyé : mardi 25 juin 2019 17:08 >> À : Michel KOENIG >> Cc : frnog-t...@frnog.org >> Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint >> >> >> >> > Le 25 juin 2019 à 16:58, Michel KOENIG a >> écrit : >> > >> > Bonjour, >> > >> > Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint >> > >> > Le problème semble se situer au niveau de la config de la PBR sur le >> checkpoint >> > >> > Le routage s'effectue bien en sortie mais pas de paquet en retour >> >> Question con, mais ton PBR sur le Checkpoint respecte le NAT de >> l’interface de sortie ? >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PBR sur CheckPoint
Bonjour, sauf erreur, checkpoint se contre-fiche des adresses MAC. Ca a l'air d'une fausse piste. Le mar. 25 juin 2019 à 19:49, Michel KOENIG a écrit : > Suite des recherches, je penses que c'est un problème d'adresses MAC > > Le flux sortant va vers la MAC du VRRP > > Le retour se présente avec la MAC du boitier qui est actif > > Donc, 2 possibilité pour corriger : > > 1/ > Désactiver le check des tables d'adresses mac pour cette IP sur le > CheckPoint > > 2/ > Obliger le PepLink a répondre avec sa MAC VRRP > > Quelqu'un a l'astuce pour un de ces point ? > > Merci > > Michel > > -Message d'origine- > De : David Ponzone > Envoyé : mardi 25 juin 2019 17:08 > À : Michel KOENIG > Cc : frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint > > > > > Le 25 juin 2019 à 16:58, Michel KOENIG a > écrit : > > > > Bonjour, > > > > Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint > > > > Le problème semble se situer au niveau de la config de la PBR sur le > checkpoint > > > > Le routage s'effectue bien en sortie mais pas de paquet en retour > > Question con, mais ton PBR sur le Checkpoint respecte le NAT de > l’interface de sortie ? > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] PBR sur CheckPoint
Suite des recherches, je penses que c'est un problème d'adresses MAC Le flux sortant va vers la MAC du VRRP Le retour se présente avec la MAC du boitier qui est actif Donc, 2 possibilité pour corriger : 1/ Désactiver le check des tables d'adresses mac pour cette IP sur le CheckPoint 2/ Obliger le PepLink a répondre avec sa MAC VRRP Quelqu'un a l'astuce pour un de ces point ? Merci Michel -Message d'origine- De : David Ponzone Envoyé : mardi 25 juin 2019 17:08 À : Michel KOENIG Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint > Le 25 juin 2019 à 16:58, Michel KOENIG a écrit : > > Bonjour, > > Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint > > Le problème semble se situer au niveau de la config de la PBR sur le > checkpoint > > Le routage s'effectue bien en sortie mais pas de paquet en retour Question con, mais ton PBR sur le Checkpoint respecte le NAT de l’interface de sortie ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] PBR sur CheckPoint
Oui, dans le PepLink j'ai bien dans les sessions comme IP source l'IP de l'interface de sortie du CheckPoint -Message d'origine- De : David Ponzone Envoyé : mardi 25 juin 2019 17:08 À : Michel KOENIG Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint > Le 25 juin 2019 à 16:58, Michel KOENIG a écrit : > > Bonjour, > > Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint > > Le problème semble se situer au niveau de la config de la PBR sur le > checkpoint > > Le routage s'effectue bien en sortie mais pas de paquet en retour Question con, mais ton PBR sur le Checkpoint respecte le NAT de l’interface de sortie ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PBR sur CheckPoint
> Le 25 juin 2019 à 16:58, Michel KOENIG a écrit : > > Bonjour, > > Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint > > Le problème semble se situer au niveau de la config de la PBR sur le > checkpoint > > Le routage s'effectue bien en sortie mais pas de paquet en retour Question con, mais ton PBR sur le Checkpoint respecte le NAT de l’interface de sortie ? --- Liste de diffusion du FRnOG http://www.frnog.org/
