Checkpoint error code 26702

Код ошибки 26702 чекпоинт Обновляем Check Point с R77.30 на 80.20 Подробнейшая инструкция для тех, кому предстоит обновиться до версии 80.20. Осенью 2019 года Check Point прекратил поддержку версий R77.XX, и нужно было обновляться. О разнице между версиями, плюсах и минусах перехода на R80 сказано уже немало. Давайте лучше поговорим о том, как, собственно, […]

Содержание

  1. Код ошибки 26702 чекпоинт
  2. Обновляем Check Point с R77.30 на 80.20
  3. Подготовка
  4. Обновляем сервер управления Check Point SMS
  5. Экспорт конфигурации и логов
  6. Экспорт базы SmartEvent
  7. Обновление
  8. Чек-лист проверок после обновления
  9. Импорт базы SmartEvent
  10. Обновляем кластер Check Point GW (Active/Backup)
  11. Перед началом работ
  12. Обновление
  13. Чек-лист проверок после обновления
  14. Заключение
  15. Checkpoint ошибка 26702 при установке
  16. Are you a member of CheckMates?
  17. Решение проблемы «Connectivity with the Check Point Endpoint Security Service is lost» в Check Point Endpoint Security VPN
  18. Пользователи VPN-сервиса Check Point столкнулись с проблемами из-за просроченного сертификата
  19. Настройка Checkpoint. Часть 1. Установка и первоначальная конфигурация

Код ошибки 26702 чекпоинт

Обновляем Check Point с R77.30 на 80.20

Подробнейшая инструкция для тех, кому предстоит обновиться до версии 80.20.

Осенью 2019 года Check Point прекратил поддержку версий R77.XX, и нужно было обновляться. О разнице между версиями, плюсах и минусах перехода на R80 сказано уже немало. Давайте лучше поговорим о том, как, собственно, обновить виртуальные appliance Check Point (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) и что может пойти не так.

Итак, у нас было 2 инженера CCSE, более десятка виртуальных кластеров Check Point R77.30, несколько облаков, немножечко хотфиксов и целое море разнообразных багов, глюков и всего такого, всех цветов и размеров, а еще очень сжатые сроки. Погнали!

Так выглядит типичная облачная инфраструктура клиента с виртуальным Check Point

Подготовка

Первым делом нужно проверить достаточность ресурсов для обновления. Рекомендованные минимальные требования для R80.20 сейчас выглядят так:

Device CPU RAM HDD
Security Gateway 2 core 4 Gb От 15 GB
SMS 2 core 6 Gb
Рекомендации описаны в документе CP_R80.20_GA_Release_Notes.

Но мы будем реалистами. Если в самой минимальной конфигурации этого достаточно, то, как показывает практика, обычно у нас включена https-инспекция, на SMS работает SmartEvent и т. д., что, разумеется, требует совершенно других мощностей. Но в целом не больших, чем для R77.30.

Но есть нюансы. И касаются они, в первую очередь, размеров физической памяти. Многие операции непосредственно в процессе обновления потребуют места на жестком диске.

Для сервера управления размер свободного пространства на диске будет очень сильно зависеть от объема текущих логов (если мы желаем их сохранить) и от количества сохраненных Database Revisions, хотя они-то нам в большом количестве уже не понадобятся. Разумеется, для нод кластера (если только вы не храните логи еще и локально) это все не имеет значения. Вот как можно проверить наличие необходимого места:

Подключаемся к Smart Management Server по ssh, заходим в expert mode и вводим команду:

На выходе мы увидим примерно такую конфигурацию:

Filesystem Size Used Avail Use% Mounted on
/dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
/dev/sda1 289M 24M 251M 9% /boot
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

Учитывайте, что в зависимости от политики хранения и удаления старых лог-файлов, а также размера экспортируемой базы может понадобиться больше места. Если при создании архива свободного места станет меньше, чем указано в политике хранения лог-файлов, система начнет стирать старые логи и НЕ включит их в архив.

Также для самого процесса обновления системе понадобится минимум 13 GB нераспределенного места на жестком диске. Проверить его наличие можно командой:

Увидим приблизительно вот такой вывод:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a — 141.69G 43.69G

В данном случае у нас есть 43 GB. Ресурсов хватает. Можно приступать к обновлению.

Обновляем сервер управления Check Point SMS

Перед началом работ нужно сделать следующее:

Далее собираем информацию о сетевых интерфейсах, таблице маршрутизации и выгружаем конфигурацию GAIA:

Увеличиваем timeout SSH сессии до 8 часов. Тут как повезет: в зависимости от размеров экспортируемой базы может продолжаться от нескольких минут до нескольких часов. Для этого:

[Expert@HostName]# export TMOUT=3600 указываем новый timeout expert mode (в секундах), если поставить значение 0, то timeout будет выключен.

Подгружаем и монтируем установочный образ SMS. iso к виртуальной машине.

Перед следующим шагом ОБЯЗАТЕЛЬНО еще раз проверьте, что у вас достаточно нераспределенного места на жестком диске (напоминаю, нужно 13 GB).

Экспорт конфигурации и логов

Экспорт базы SmartEvent

Здесь нам понадобится заранее установленный SMS версии R80. Любой тестовый подойдет.

Обновление

Скачиваем образ и проходим Verifier. В случае необходимости устраняем несоответствия.

В результате должны увидеть вот такое сообщение:

Подключаемся к SMS по SSH и меняем shell нашего пользователя на /bin/bash/:

set user shell /bin/bash/

save config (в случае, если мы хотим оставить bin/bash/ как shell по умолчанию и после перезагрузки).

Увеличиваем timeout SSH сессии до 8 часов. Для этого:

[Expert@HostName]# export TMOUT=3600 указываем новый timeout expert mode (в секундах). Если поставить значение 0, то timeout будет выключен.

Наслаждаемся жизнью ближайшие пару часов. НЕ ОТКЛЮЧАЙТЕ SSH-СЕССИЮ во время процедуры. В конце процесс migrate выдаст либо сообщение об успешном завершении операции, либо ошибку.

Чек-лист проверок после обновления

Импорт базы SmartEvent

Обновляем кластер Check Point GW (Active/Backup)

Перед началом работ

Обновление

Чек-лист проверок после обновления

Заключение

В общем-то на этом моменте все – вы обновились.

У нас весь процесс занимал в среднем от 6 до 12 часов, в зависимости от размеров экспортируемых баз. Работы проводили две ночи: одна – для обновления SMS, вторая – для кластера.

Простоя трафика не было, несмотря на то, что все вышеупомянутые ошибки мы проверяли на себе.

Конечно, иногда могут возникнуть и совершенно новые трудности в процессе обновления, но это Check Point, и, как мы все знаем, всегда есть hotfix!

Источник

Checkpoint ошибка 26702 при установке

Celebrate 2023 with CheckMates!

CPX ‍360 2023
The Industry’s Premier Cyber Security Summit and Expo

YOU DESERVE THE BEST SECURITY
Stay Up To Date

CheckMates Go:
Protect Yourself

  • CheckMates
  • :
  • Products
  • :
  • Harmony
  • :
  • Remote Access VPN
  • :
  • Checkpoint ends point security vpn uninstall error.
  • Subscribe to RSS Feed
  • Mark Topic as New
  • Mark Topic as Read
  • Float this Topic for Current User
  • Bookmark
  • Subscribe
  • Mute
  • Printer Friendly Page

Are you a member of CheckMates?

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

I am trying to uninstall check point endpoint security vpn e84.20

I constantly get error code 26702 when trying to uninstall or even reinstall. With that my pc is now almost totally unusable.

Please assist as a matter of urgency.

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content
  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content
  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

https://www.checkpoint.com/support-services/contact-support/
If you’re an end user, you should work with the IT department that provided you the download.

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

do you have administration privileges?

E84.20 version has the following Known Limitation:

Issue ID: EPS-29473 / Description: Installation — Prevents the initiation of repair and uninstall by underprivileged users. Administrative user elevation is required to initiate the procedures.

Источник

Решение проблемы «Connectivity with the Check Point Endpoint Security Service is lost» в Check Point Endpoint Security VPN

Уже не первый раз сталкиваюсь с проблемой «Connectivity with the Check Point Endpoint Security Service is lost» после установки Check Point Endpoint Security VPN.

Выглядит ошибка «Connectivity with the Check Point Endpoint Security Service is lost» следующим образом:

В попытках решить данную проблему можно наткнуться на несколько советов:

В данном примере советуют открыть список установленных приложений и попытаться запустить «Repair». Но очень вероятно мы получим ошибку «The installer has insufficient privileges to modify this file: C:WINDOWSSysWOW64vsdata.dll» (vsdata.dll, vsutil.dll и vsinit.dll):

В данном случае нам рекомендуют переименовать библиотеку vsdata.dll. Но и переименовать мы ее не сможем, поскольку получим: «Запросите разрешение от СИСТЕМА на изменение этой папки или файла». И как на зло, даже инструкция по смене владельца файла не помогает.

Теоретически, можно загрузиться с какого-нибудь Live CD и сменить имя библиотекам «vsdata.dll, vsinit.dll, vsutil.dll».

4. И, наконец, способ, который помог мне.

Чудом наткнулся на патч, который решает проблему «Connectivity with the Check Point Endpoint Security Service is lost» — https://supportcenter.checkpoint.com/supportcenter/portal?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=111732.

Если помогло и вам, благодарности принимаю в комментариях :).

Источник

Пользователи VPN-сервиса Check Point столкнулись с проблемами из-за просроченного сертификата

Компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года.

Примечательно, что компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года, но, судя по всему, некоторые клиенты Check Point пропустили сообщение или не смогли применить исправление из-за политик организаций.

На прошлой неделе компания выпустила еще одно уведомление, в котором предупредила, что решения Endpoint/VPN E80.81 — E81.10 (только версия для Windows ) и агент SandBlast E80.61 — E81.10 (только версия для Windows) перестанут нормально работать с 1 января 2021 года.

«Эти более не поддерживаемые решения прекратят функционировать 1 января 2021 года. Начиная с этой даты, после перезагрузки компьютера, версии клиента Remote Access VPN and Endpoint Security Client E81.10 и ниже могут перестать работать, а обновиться не получится», — предупредила компания.

Как рассказал изданию The Register один из читателей, работающий в правительственной организации, из-за истекшего срока действия сертификата примерно 1 600 ноутбуков, выделенных сотрудникам, не смогли подключиться к сети. Предлагаемый Check Point патч заменяет .SYS файл без задействования администратора, что запрещено правилами организации, пояснил источник.

В свою очередь, представители Check Point сообщили изданию, что начали информировать пользователей устаревших версий о проблеме еще до нового года. Сколько клиентов уже применили патч, в компании не сообщили.

Источник

Настройка Checkpoint. Часть 1. Установка и первоначальная конфигурация


Доброго всем времени суток. Сегодня я хочу начать цикл о настройке и принципах работы межсетевых экранов Checkpoint.

Chekpoint — компания, занимающаяся разработкой решений по сетевой безопасности начиная с 1993 года. Компания позиционирует себя как разработчик собственной архитектуры управлениявзаимодействия — SMART (SecurityManagment Architecture). На основании этой концепции в конечном итоге была создана операционная система Gaia, путём объединения ОС IPSO (Nokia) и ОС SPLAT (ранняя разработка СР на базе Unix-ориентированных систем). В данном программном обеспечении реализован ряд технологий, связанных с безопасностью обмена данными (например пакетная фильтрация, IPS), а так же проприетарная Stateful Inspection основной задачей которой является контроль конкретных соединений в реальном времени.Wikipedia.

Увы, на Хабре не так много статей, посвященных этому вендору. Хотя, на мой взгляд, он заслуживает большего внимания.

Опытные инженеры систем безопасности, скорее всего, не найдут никакой новой информации в этой и последующих статьях. Но для новичков, я надеюсь, они будут полезными. Мы попробуем разобрать принципы работы основных модулей и системы в целом, а так же рассмотрим примеры настройки из “best practice».

Сегодня на повестке дня установка и начальная конфигурация устройства. Добро пожаловать под кат.

На Хабре уже была статья о том, как установить две фаервольных ноды и сделать из них кластер. Попытаюсь уделить внимание вопросам, которые в той статье рассмотрены не были.

Этап 0. Подготовка

В первую очередь нам необходимо подобрать оборудование. Есть, по сути, только два варианта: либо покупать устройство, с любовью оклеенное этикетками Checkpoint и помещенное в специально подготовленный для него корпус, или же собирать платформу самостоятельно. В любом случае выбор устройства будет зависеть от очень большого количества параметров. Мы можем опираться лишь на свой опыт и на ту документацию, которую нам предоставляет сам вендор. Список поддерживаемых серверов можно посмотреть по ссылке. Так же можно примерно посчитать на какую нагрузку будет рассчитан конкретный девайс от компании Checkpoint (осторожно PDF). К сожалению, Checkpoint не предоставляет информацию об установленном в устройства оборудовании, лишь объем оперативной памяти и количество интерфейсов, но в Интернете можно найти кое-какую информацию о CPU.

Этап 1. Установка операционной системы Gaia

После того, как мы выбрали платформу, перейдем к установке операционной системы. Кстати, об операционной системе: Gaia (последняя из операционных систем Checkpoint’а) базируется на дистрибутиве RedHat 5.2. А значит, если Вы до этого работали с linux-based операционными системами, то Вам будет приятно увидеть многие знакомые утилиты и команды.

Здесь будет рассматриваться Gaia R77.10 в виртуальном окружении. Установка предыдущих, так и последующих версий этой операционной системы, ничем не отличается. На сегодняшний день последней является Gaia R77.30.

Компания Checkpoint не предоставляет дистрибутивы своих операционных систем без регистрации и SMS на сайте, поэтому поиск образа я полностью доверяю вам. Если же у вас имеется учетная запись, то загрузить необходимый дистрибутив можно по ссылке.

Теперь мы вооружены всем необходимым и можем перейти непосредственно к установке.

Большинство следующих скриншотов не требуют пояснения: далее, далее, готово. Никто не предлагает установить Mail.Агент или какое-либо другое приложение, не имеющее отношение к теме.

Единственное, на что хочу обратить Ваше внимание – разметка диска. Система выдаст ошибку и прекратит установку, если объем жесткого диска менее 8Гб. В случае наличия от 8 до 15 Гб система самостоятельно разбивает диск на необходимые ей разделы. Если же объем больше 15Гб, то нам разрешат немного повлиять на этот процесс, а именно: изменить размер разделов под system-root (/) и логи (/var/logs/). Эта информация может пригодиться тем, кто собирается ставить Checkpoint на виртуальную машину. Остальным же требуется знать лишь, основное правило, которое заключается в том, что размер раздела “Backup and upgrade» должен быть не менее, чем сумма system-root и logs, так как снэпшоты операционной системы помещаются именно туда.

Теперь несколько рекомендаций по разметке дисков для менеджмент сервера и для фаервольных нод.
Менеджмент сервер:

  • Рут должен быть не менее 6Гб, а если планируется использование дополнительных компонентов (блейдов), таких как: IPS, Application Control, URL Filtering, стоит увеличить размер, хотя бы до 10Гб.
  • Логи – наше все. По крайней мере на менеджент сервере. Все доступное пространство выделяем им, ведь основная функция менеджмент сервера, помимо настройки правил – это хранение всевозможных логов и обновлений.

Фаервол:

  • Рут – единственный раздел который фаерволу действительно нужен, и 10Гб, при включенных дополнительных блейдах, будет тоже вполне достаточно.
  • Размер раздела для логов не так критичен, ведь логи пишутся на менеджмент сервер, а на фаерволе эта директория используется, в основном, для обновлений, поэтому хватит даже 5Гб.

Рис 1.1
Выбираем пункт “Install Gaia on this system»:


Рис 1.2

Тут мы можем посмотреть информацию об установленном оборудовании:

Рис 1.3
Выбираем язык:

Рис 1.4
Размечаем диск:

Рис 1.5
Придумываем пароль:

Рис 1.6
Тут мы можем выбрать и настроить интерфейс, который в дальнейшем будем использовать для подключения к устройству через https и ssh.

Рис 1.7
Непосредственно, настройка.

После этого придется немного подождать, пока система установится на выбранный сервер.

Этап 2.1 Подготовка к настройке

После того, как мы установили операционную систему, логично было бы сразу перейти к настройке политик и другим фаервольным прелестям. Но тут оказывается, что нам необходимо предварительно выбрать, какую функцию будет наш сервер выполнять: будет это фаервол или менеджмент сервер. Таким образом первоначальная конфигурация включает в себя следующие пункты:

  • Выбор роли сервера
  • Параметры менеджмент интерфейса
  • Правила доступа
  • Параметры DNS, NTP, Proxy серверов (proxy только через WebUI)

Первичная настройка Checkpoint для последующей работы с ним доступна в упомянутой выше статье. Мы же сейчас попробуем сделать то же самое, но при помощи командной строки, для этого нам не понадобится отдельный компьютер, сетевое подключение к фаерволу и даже монитор, если Вы знаете толк в извращениях не боитесь трудностей.

Для того что бы произвести конфигурацию фаервола через CLI у нас есть специальная утилита config_system, точнее, это обычный bash-скрипт, содержимое которого Вы можете посмотреть и отредактировать. Лежит он в /bin/config_system.

Этот скрипт редактирует файл базы данных Gaia OS /config/db/initial.

Давайте разберем принцип его работы на примере функции по изменению ip-адреса:

Получение текущих настроек из базы происходит при помощи утилиты /bin/dbget, а изменяет конфигурацию команда /bin/dbset. Вот так выглядит кусок файла, описывающий настройки интерфейса eth0:

Параметр отделяется от значения пробелом. Теперь мы можем попробовать получить какие-нибудь значения при помощи DBGET.

Ключ -c необходим для вывода имени дочернего параметра с не нулевым значением. Что бы дополнительно показать значение этого параметра существует ключ -v.

Мы получили значение равное t, то есть true. По сути это означает лишь то, что на интерфейсе задан ip-адрес, равный 192.168.1.2.

А теперь изменим ip-адрес на интерфейсе. Для этого нам надо:

  • Удалить текущие значения ip-адреса и маски
  • Установить новое значение ip-адреса
  • Установить новое значение маски
  • Сохранить конфигурацию

Этап 2.2 Первоначальная конфигурация

Config_system принимает либо файл, либо строку из необходимых параметров, разделенных амперсандом (&). Синтаксис команды со строкой в качестве параметра будет выглядеть следующим образом:

Значение каждого из этих параметров мы разберем далее. А сейчас разберемся с конфигурационным файлом.
Конфигурационный файл содержит в себе все те же самые значения, каждое на отдельной строке.

Первым делом мы создадим шаблон конфигурационного файла, который потом будем редактировать.

В самом шаблоне довольно подробно описан каждый параметр. Поэтому я просто приведу пример конфигурации для менеджмент сервера:

И одного фаервола:

Единственное, на чем хочется остановиться отдельно — параметр ftw_sic_key=»». SIC, или Secure Internal Communication key — это одноразовый пароль, который нужен, что бы фаерволом можно было управлять с менеджмент сервера (поэтому мы задали его только на фаерволе). Он нам будет нужен один раз при добавлении фаервола в панель управления менеджмент сервера.

Последний шаг — это отдать полученный файл скрипту и подождать пока завершится конфигурация:

Теперь перезагружаем сервер и все готово.

Этап 3. Подведение итогов

Теперь у нас есть один менеджмент сервер и один фаервол. Они готовы к дальнейшей настройке.

В следующей статье мы научимся добавлять фаерволы для управления с одного менеджмент сервера. Узнаем как из них организовать кластер, если изначально мы к этому готовы не были. Рассмотрим варианты кластеров и их принцип работы. А так же пробежимся по способам настройки NATа и простейшим фаервольным политикам.

Спасибо за внимание. Буду рад ответить на ваши вопросы.

Источник

Источник

  • #1

Добрый день! Есть межсетевой экран с gaia 80.40, к нему через Mobile acces подключены пользователи в office mode сеть. Один из пользователей жалуется что checkpoint не соединяется по vpn. Пишет vpn service is down.
Когда я к нему подключился у видел что служба check point VPN — в типе запуска «Вручную», поставил автоматически. После этого все заработало.
Через неделю опять проблема повторяется. Человек сетует — нет подключения, служба остановлена и в статусе вручную. Как определить почему сбоит служба ?
Пробовал endpoint vpn переустанавливать — какое-то время работает, потом все тоже самое.
В журнале вижу такие ошибки, но понять не могу как связано с vpn (и связано ли вообще)

Произошла ошибка DCOM «1084» при попытке запуска службы camsvc с аргументами «Недоступно» для запуска сервера:
Windows.Internal.CapabilityAccess.CapabilityAccess

Произошла ошибка DCOM «1084» при попытке запуска службы TokenBroker с аргументами «Недоступно» для запуска сервера:
Windows.Internal.Security.Authentication.Web.TokenBrokerInternal

Product: Check Point Endpoint Security VPN — The installer has encountered an unexpected error installing this package. This may indicate a problem with this package. The error code is 26702. The arguments are: ExtractHelperFiles, ,

Установщик Windows изменил настройку продукта. Продукт: Check Point Endpoint Security VPN. Версия: 98.61.1507. Язык: 1033. Изготовитель: Check Point Software Technologies Ltd.. Изменение настройки завершено с состоянием: 1603.

Сбой активации лицензий (slui.exe) со следующим кодом ошибки:
hr=0x8007267C

Product: Check Point Endpoint Security VPN — Error 1706. An installation package for the product Check Point Endpoint Security VPN cannot be found. Try the installation again using a valid copy of the installation package ‘E82.40_CheckPointVPN (2).msi’.

Подскажите что можно попробовать, что бы решить проблему окончательно:cautious:

  • #2

А какая версия операционной системы у «проблемного пассажира»?

BSD

BSD

Случайный прохожий


  • #3

Похоже на конфликт со службой или драйвером в ОС. Может юзер что то сам делает после чего все умирает ?
Странная ошибка

An installation package for the product Check Point Endpoint Security VPN cannot be found

  • #4

А какая версия операционной системы у «проблемного пассажира»?

windows 10 prof, такая же как у других пользователей (с одного образа заливал)

BSD

BSD

Случайный прохожий


  • #5

Может он сифилис словил какой нибудь? Есть антивирус в PC ?
Если вариант заражения исключаем то нужно проверять целостность файлов операционной системы
sfc /scannow

Неясно так же что там с обновлениями windows…

  • #6

Сталкивался с похожей ситуацией, пользователь пытается подключиться и отваливается. Важно видеть что пакеты приходят и уходят в состоянии туннеля, в этом случае пакеты не уходили из за антивируса. И была ситуация, когда сеть на чеке, объявленная на интерфейсе, совпадала с локальной сетью пользователя. 192.168.0.1 на чеке и у пользователя основной шлюз (прошивка 80.40). Соединение сразу обрывалось.

  • #7

Сталкивался с похожей ситуацией, пользователь пытается подключиться и отваливается. Важно видеть что пакеты приходят и уходят в состоянии туннеля, в этом случае пакеты не уходили из за антивируса. И была ситуация, когда сеть на чеке, объявленная на интерфейсе, совпадала с локальной сетью пользователя. 192.168.0.1 на чеке и у пользователя основной шлюз (прошивка 80.40). Соединение сразу обрывалось.

Не, тут несколько другое было. У меня службы, отвечающие за VPN туннель не стартовали. Так и не выяснил в чем проблема была. Решилось переустановкой windows (более свежей сборки) и новым checkpoint vpn client

  • #8

И была ситуация, когда сеть на чеке, объявленная на интерфейсе, совпадала с локальной сетью пользователя. 192.168.0.1 на чеке и у пользователя основной шлюз (прошивка 80.40)

Вы имеете в виду office mode сеть ?

  • #9

Сталкивался с похожей ситуацией, пользователь пытается подключиться и отваливается. Важно видеть что пакеты приходят и уходят в состоянии туннеля, в этом случае пакеты не уходили из за антивируса. И была ситуация, когда сеть на чеке, объявленная на интерфейсе, совпадала с локальной сетью пользователя. 192.168.0.1 на чеке и у пользователя основной шлюз (прошивка 80.40). Соединение сразу обрывалось.

было такое, ага.

Источник

Check point error 26702

CPX ‍360 2023
The Industry’s Premier Cyber Security Summit and Expo

Five Dangerous Cyber Threats
You Should Expect in 2023

YOU DESERVE THE BEST SECURITY
Stay Up To Date

CheckMates Go:
Protect Yourself

  • Subscribe to RSS Feed
  • Mark Topic as New
  • Mark Topic as Read
  • Float this Topic for Current User
  • Bookmark
  • Subscribe
  • Mute
  • Printer Friendly Page

Are you a member of CheckMates?

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

I am having an error installing CheckPointVPN with the Windows Installer package «E80.90_CheckPointVPN.msi». I have tried the newest version too, but end up getting the same error.

The error is attached. Even when I try repairing or removing/uninstalling it, it shows the same error.

I would be thankful for every help, since I need to get this installed and working immediately.

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

There’s an issue with a range of versions that requires a patch in order to uninstall or upgrade.
Get it from here: https://www.checkpoint.com/fix/

Run the patch.
Then you can uninstall or upgrade to the most recent release.

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

Hi, I also have trouble installing Check Point Endpoint VPN, E83.20, on Windows 10. The MSI installer fails with error code 26702.

— ran the patch EPPatch.msi as suggested in sk171213

— tried to uninstall the old client, version 80.92, which resulted in an infinite hangup and only apparently went through after using Revo Uninstaller on it

— in between my many attempts, got the windows/SysWOW64/vsdata.dll error as well as the 26702 one, but am unable to rename that file even with local admin privileges

— have an epklib.bad and an epklib.sys.delete file in windows/system32/drivers

I simply cannot install the new EP client, the installer WILL NOT run. I am desperate, I have no VPN connection to my office and colleagues have been struggling to help me.

Please advise on how to proceed. The current situation is: patch installed, old client uninstalled (no longer shows in the list of apps), new client installer failing with 26702.

Absolutely desperate here, I have no VPN for 2 days now.

Источник

Check point error 26702

CPX ‍360 2023
The Industry’s Premier Cyber Security Summit and Expo

Five Dangerous Cyber Threats
You Should Expect in 2023

YOU DESERVE THE BEST SECURITY
Stay Up To Date

CheckMates Go:
Protect Yourself

  • CheckMates
  • :
  • Products
  • :
  • Harmony
  • :
  • Endpoint
  • :
  • Error 26704 while installing, then registry
  • Subscribe to RSS Feed
  • Mark Topic as New
  • Mark Topic as Read
  • Float this Topic for Current User
  • Bookmark
  • Subscribe
  • Mute
  • Printer Friendly Page

Are you a member of CheckMates?

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

Hello, first of all i tried to update the product when it prompt to update, and i got an error and had to uninstall it.

Then i manually d/l the some versions until 84.00 of checkpoint client.

I couldnt by any means install any versions of app and always returning me error 26704, and aborting the installation.

I did read in other topic about removing/renaming vsdata.dll for directory cos if not found during the process it would be installed, and i did it.

After that the problem changed, to the pic i attached.

Pls, i need help to solve this ASAP, cos i need to work tomorrow, and i cant go out due pandemic crisis.

Источник

Check point error 26702

CPX ‍360 2023
The Industry’s Premier Cyber Security Summit and Expo

Five Dangerous Cyber Threats
You Should Expect in 2023

YOU DESERVE THE BEST SECURITY
Stay Up To Date

CheckMates Go:
Protect Yourself

  • CheckMates
  • :
  • Products
  • :
  • Harmony
  • :
  • Remote Access VPN
  • :
  • Checkpoint ends point security vpn uninstall error.
  • Subscribe to RSS Feed
  • Mark Topic as New
  • Mark Topic as Read
  • Float this Topic for Current User
  • Bookmark
  • Subscribe
  • Mute
  • Printer Friendly Page

Are you a member of CheckMates?

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

I am trying to uninstall check point endpoint security vpn e84.20

I constantly get error code 26702 when trying to uninstall or even reinstall. With that my pc is now almost totally unusable.

Please assist as a matter of urgency.

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content
  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content
  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

https://www.checkpoint.com/support-services/contact-support/
If you’re an end user, you should work with the IT department that provided you the download.

  • Mark as New
  • Bookmark
  • Subscribe
  • Mute
  • Subscribe to RSS Feed
  • Permalink
  • Print
  • Report Inappropriate Content

do you have administration privileges?

E84.20 version has the following Known Limitation:

Issue ID: EPS-29473 / Description: Installation — Prevents the initiation of repair and uninstall by underprivileged users. Administrative user elevation is required to initiate the procedures.

Источник

Обновляем Check Point с R77.30 на 80.20

Подробнейшая инструкция для тех, кому предстоит обновиться до версии 80.20.

Осенью 2019 года Check Point прекратил поддержку версий R77.XX, и нужно было обновляться. О разнице между версиями, плюсах и минусах перехода на R80 сказано уже немало. Давайте лучше поговорим о том, как, собственно, обновить виртуальные appliance Check Point (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) и что может пойти не так.

Итак, у нас было 2 инженера CCSE, более десятка виртуальных кластеров Check Point R77.30, несколько облаков, немножечко хотфиксов и целое море разнообразных багов, глюков и всего такого, всех цветов и размеров, а еще очень сжатые сроки. Погнали!

Так выглядит типичная облачная инфраструктура клиента с виртуальным Check Point

Подготовка

Первым делом нужно проверить достаточность ресурсов для обновления. Рекомендованные минимальные требования для R80.20 сейчас выглядят так:

Device CPU RAM HDD
Security Gateway 2 core 4 Gb От 15 GB
SMS 2 core 6 Gb
Рекомендации описаны в документе CP_R80.20_GA_Release_Notes.

Но мы будем реалистами. Если в самой минимальной конфигурации этого достаточно, то, как показывает практика, обычно у нас включена https-инспекция, на SMS работает SmartEvent и т. д., что, разумеется, требует совершенно других мощностей. Но в целом не больших, чем для R77.30.

Но есть нюансы. И касаются они, в первую очередь, размеров физической памяти. Многие операции непосредственно в процессе обновления потребуют места на жестком диске.

Для сервера управления размер свободного пространства на диске будет очень сильно зависеть от объема текущих логов (если мы желаем их сохранить) и от количества сохраненных Database Revisions, хотя они-то нам в большом количестве уже не понадобятся. Разумеется, для нод кластера (если только вы не храните логи еще и локально) это все не имеет значения. Вот как можно проверить наличие необходимого места:

Подключаемся к Smart Management Server по ssh, заходим в expert mode и вводим команду:

На выходе мы увидим примерно такую конфигурацию:

Filesystem Size Used Avail Use% Mounted on
/dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
/dev/sda1 289M 24M 251M 9% /boot
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

Учитывайте, что в зависимости от политики хранения и удаления старых лог-файлов, а также размера экспортируемой базы может понадобиться больше места. Если при создании архива свободного места станет меньше, чем указано в политике хранения лог-файлов, система начнет стирать старые логи и НЕ включит их в архив.

Также для самого процесса обновления системе понадобится минимум 13 GB нераспределенного места на жестком диске. Проверить его наличие можно командой:

Увидим приблизительно вот такой вывод:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a — 141.69G 43.69G

В данном случае у нас есть 43 GB. Ресурсов хватает. Можно приступать к обновлению.

Обновляем сервер управления Check Point SMS

Перед началом работ нужно сделать следующее:

Далее собираем информацию о сетевых интерфейсах, таблице маршрутизации и выгружаем конфигурацию GAIA:

Увеличиваем timeout SSH сессии до 8 часов. Тут как повезет: в зависимости от размеров экспортируемой базы может продолжаться от нескольких минут до нескольких часов. Для этого:

[Expert@HostName]# export TMOUT=3600 указываем новый timeout expert mode (в секундах), если поставить значение 0, то timeout будет выключен.

Подгружаем и монтируем установочный образ SMS. iso к виртуальной машине.

Перед следующим шагом ОБЯЗАТЕЛЬНО еще раз проверьте, что у вас достаточно нераспределенного места на жестком диске (напоминаю, нужно 13 GB).

Экспорт конфигурации и логов

Экспорт базы SmartEvent

Здесь нам понадобится заранее установленный SMS версии R80. Любой тестовый подойдет.

Обновление

Скачиваем образ и проходим Verifier. В случае необходимости устраняем несоответствия.

В результате должны увидеть вот такое сообщение:

Подключаемся к SMS по SSH и меняем shell нашего пользователя на /bin/bash/:

set user shell /bin/bash/

save config (в случае, если мы хотим оставить bin/bash/ как shell по умолчанию и после перезагрузки).

Увеличиваем timeout SSH сессии до 8 часов. Для этого:

[Expert@HostName]# export TMOUT=3600 указываем новый timeout expert mode (в секундах). Если поставить значение 0, то timeout будет выключен.

Наслаждаемся жизнью ближайшие пару часов. НЕ ОТКЛЮЧАЙТЕ SSH-СЕССИЮ во время процедуры. В конце процесс migrate выдаст либо сообщение об успешном завершении операции, либо ошибку.

Чек-лист проверок после обновления

Импорт базы SmartEvent

Обновляем кластер Check Point GW (Active/Backup)

Перед началом работ

Обновление

Чек-лист проверок после обновления

Заключение

В общем-то на этом моменте все – вы обновились.

У нас весь процесс занимал в среднем от 6 до 12 часов, в зависимости от размеров экспортируемых баз. Работы проводили две ночи: одна – для обновления SMS, вторая – для кластера.

Простоя трафика не было, несмотря на то, что все вышеупомянутые ошибки мы проверяли на себе.

Конечно, иногда могут возникнуть и совершенно новые трудности в процессе обновления, но это Check Point, и, как мы все знаем, всегда есть hotfix!

Источник

Пользователи VPN-сервиса Check Point столкнулись с проблемами из-за просроченного сертификата

Компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года.

Примечательно, что компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года, но, судя по всему, некоторые клиенты Check Point пропустили сообщение или не смогли применить исправление из-за политик организаций.

На прошлой неделе компания выпустила еще одно уведомление, в котором предупредила, что решения Endpoint/VPN E80.81 — E81.10 (только версия для Windows ) и агент SandBlast E80.61 — E81.10 (только версия для Windows) перестанут нормально работать с 1 января 2021 года.

«Эти более не поддерживаемые решения прекратят функционировать 1 января 2021 года. Начиная с этой даты, после перезагрузки компьютера, версии клиента Remote Access VPN and Endpoint Security Client E81.10 и ниже могут перестать работать, а обновиться не получится», — предупредила компания.

Как рассказал изданию The Register один из читателей, работающий в правительственной организации, из-за истекшего срока действия сертификата примерно 1 600 ноутбуков, выделенных сотрудникам, не смогли подключиться к сети. Предлагаемый Check Point патч заменяет .SYS файл без задействования администратора, что запрещено правилами организации, пояснил источник.

В свою очередь, представители Check Point сообщили изданию, что начали информировать пользователей устаревших версий о проблеме еще до нового года. Сколько клиентов уже применили патч, в компании не сообщили.

Источник

Источник

Современные приложения не могут подключаться при использовании VPN-подключения Check Point

В этой статье данная статья позволяет решить проблему, из-за которой современные приложения не могут подключаться к Интернету после подключения к корпоративной сети с помощью VPN-программного обеспечения Check Point.

Применяется к: Windows 8
Исходный номер КБ: 2855849

Симптомы

Рассмотрим следующий сценарий.

  • Вы используете версию VPN удаленного доступа к конечным точкам Check Point, которая является более ранней, чем E80.50.
  • Успешно запущены Windows 8 (Store Apps) и классические настольные приложения.
  • Подключение к корпоративной сети с помощью клиентского программного обеспечения Check Point VPN в «концентраторном режиме» (то есть весь трафик проходит через виртуальный сетевой адаптер).
  • После подключения индикатор состояния сети показывает, что подключение к Интернету полностью доступно.

В этом сценарии классические приложения могут успешно подключаться к Интернету. Однако современные приложения не могут подключаться. Кроме того, компьютерная версия Windows Internet Explorer 10 не может подключиться, если включен режим расширенной безопасности.

Причина

Эта проблема возникает из-за того, что установленный брандмауэр не может устанавливать правила, позволяющие современным приложениям общаться через виртуальную частную сеть.

Решение

Чтобы устранить эту проблему, установите check Point VPN E80.50 (ожидается, что она будет доступна осенью 2013 г.) на следующем веб-сайте Центра поддержки контрольных точек:

Обходной путь

Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы решить эту проблему, запустите следующий Windows PowerShell, чтобы изменить скрытое свойство для виртуального сетевого интерфейса в реестре:

Этот сценарий также задокументирован на следующем веб-сайте Check Point: Microsoft Store (Windows 8) приложение не удается связаться с помощью VPN-туннеля.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.

Источник

Современные приложения не могут подключаться при использовании VPN-подключения Check Point

В этой статье данная статья позволяет решить проблему, из-за которой современные приложения не могут подключаться к Интернету после подключения к корпоративной сети с помощью VPN-программного обеспечения Check Point.

Применяется к: Windows 8
Исходный номер КБ: 2855849

Симптомы

Рассмотрим следующий сценарий.

  • Вы используете версию VPN удаленного доступа к конечным точкам Check Point, которая является более ранней, чем E80.50.
  • Успешно запущены Windows 8 (Store Apps) и классические настольные приложения.
  • Подключение к корпоративной сети с помощью клиентского программного обеспечения Check Point VPN в «концентраторном режиме» (то есть весь трафик проходит через виртуальный сетевой адаптер).
  • После подключения индикатор состояния сети показывает, что подключение к Интернету полностью доступно.

В этом сценарии классические приложения могут успешно подключаться к Интернету. Однако современные приложения не могут подключаться. Кроме того, компьютерная версия Windows Internet Explorer 10 не может подключиться, если включен режим расширенной безопасности.

Причина

Эта проблема возникает из-за того, что установленный брандмауэр не может устанавливать правила, позволяющие современным приложениям общаться через виртуальную частную сеть.

Решение

Чтобы устранить эту проблему, установите check Point VPN E80.50 (ожидается, что она будет доступна осенью 2013 г.) на следующем веб-сайте Центра поддержки контрольных точек:

Обходной путь

Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы решить эту проблему, запустите следующий Windows PowerShell, чтобы изменить скрытое свойство для виртуального сетевого интерфейса в реестре:

Этот сценарий также задокументирован на следующем веб-сайте Check Point: Microsoft Store (Windows 8) приложение не удается связаться с помощью VPN-туннеля.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.

Источник

Решение проблемы «Connectivity with the Check Point Endpoint Security Service is lost» в Check Point Endpoint Security VPN

Уже не первый раз сталкиваюсь с проблемой «Connectivity with the Check Point Endpoint Security Service is lost» после установки Check Point Endpoint Security VPN.

Выглядит ошибка «Connectivity with the Check Point Endpoint Security Service is lost» следующим образом:

В попытках решить данную проблему можно наткнуться на несколько советов:

В данном примере советуют открыть список установленных приложений и попытаться запустить «Repair». Но очень вероятно мы получим ошибку «The installer has insufficient privileges to modify this file: C:WINDOWSSysWOW64vsdata.dll» (vsdata.dll, vsutil.dll и vsinit.dll):

В данном случае нам рекомендуют переименовать библиотеку vsdata.dll. Но и переименовать мы ее не сможем, поскольку получим: «Запросите разрешение от СИСТЕМА на изменение этой папки или файла». И как на зло, даже инструкция по смене владельца файла не помогает.

Теоретически, можно загрузиться с какого-нибудь Live CD и сменить имя библиотекам «vsdata.dll, vsinit.dll, vsutil.dll».

4. И, наконец, способ, который помог мне.

Чудом наткнулся на патч, который решает проблему «Connectivity with the Check Point Endpoint Security Service is lost» — https://supportcenter.checkpoint.com/supportcenter/portal?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=111732.

Если помогло и вам, благодарности принимаю в комментариях :).

Источник

Пользователи VPN-сервиса Check Point столкнулись с проблемами из-за просроченного сертификата

Компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года.

Примечательно, что компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года, но, судя по всему, некоторые клиенты Check Point пропустили сообщение или не смогли применить исправление из-за политик организаций.

На прошлой неделе компания выпустила еще одно уведомление, в котором предупредила, что решения Endpoint/VPN E80.81 — E81.10 (только версия для Windows ) и агент SandBlast E80.61 — E81.10 (только версия для Windows) перестанут нормально работать с 1 января 2021 года.

«Эти более не поддерживаемые решения прекратят функционировать 1 января 2021 года. Начиная с этой даты, после перезагрузки компьютера, версии клиента Remote Access VPN and Endpoint Security Client E81.10 и ниже могут перестать работать, а обновиться не получится», — предупредила компания.

Как рассказал изданию The Register один из читателей, работающий в правительственной организации, из-за истекшего срока действия сертификата примерно 1 600 ноутбуков, выделенных сотрудникам, не смогли подключиться к сети. Предлагаемый Check Point патч заменяет .SYS файл без задействования администратора, что запрещено правилами организации, пояснил источник.

В свою очередь, представители Check Point сообщили изданию, что начали информировать пользователей устаревших версий о проблеме еще до нового года. Сколько клиентов уже применили патч, в компании не сообщили.

Источник

Checkpoint проблемы с подключением

Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Народ. Есть проблема. Есть CheckPoint и. как его настраивать никто не знает. В сети нигде описалова конкретного нет. Может кто помогёт личным опытом. или может кто кинет линку на доки (желательно по русски) по этому зверю.
Заранее спасибо.

Добавляете, плиз, полезную информацию в шапку.

Цитата:

CheckPoitn встает под Linux нормально. Я даже по Solaris ставил

Есть кое-какие доки на Ftp из варезной темы.. Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006

Artempv

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору medet

Посмотрите этот пост на CPUG (The Check Point User Group) — hxxp://www.cpug.org/forums/installing-upgrading/5267-new-r60-installation-securemote-issues-need-create-ica-reset-sic.html

Описана аналогичная ситуация.
Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 14:40 13-08-2010
Aluf

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору доброго дня всем,
примите к сведению что ночью со вчера на сегодня все UTM Edge appliances Checkpoint решили организованно сделать reboot по неясной пока причине (просто день такой тяжелый у них

http://www.cpug.org/forums/check-point-utm-1-edge-appliances/14606-all-edge-firewalls-rebooted-10-30-2010-8-58-p-m.html#post64014

Всего записей: 167 | Зарегистр. 28-12-2003 | Отправлено: 21:54 31-10-2010
Garryncha

Newbie

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день!
Прошу помощи в следующей ситуации.
Есть шлюз CheckPoint R70 на Windows 2003.
У шлюза два интерфейса: внутренний и внешний (интернет).
Сделано одно правило типа: any any accept.
Сделана трансляция Automatic Hide NAT.
Все остальные настройки после установки не изменялись.
Проблема заключается в том, что при обращении из внутренней сети к сайтам через браузер какие-то сайты нормально открываются, какие-то открываются, но медленно, какие-то совсем не открываются.
Те сайты, которые открывались быстро, через какое-то время перестают открываться совсем.
Проблем в сайтах и в интернет-канале нет, т.к. если подключаться в интернет с рабочей станции напрямую, таких проблем нет.
При этом, после перезагрузки шлюза с CheckPoint все сайты 1-2 минуты открываются нормально, после этого получается описанная выше картина.
При этом все сайты пингуются за 30-40 ms, даже если долго открываются или не открываются браузером.
Если запустить Wireshark на внутреннем интерфейсе шлюза, то он показывается SYN-пакеты, которые идут из внутренней сети, но к ним нет SYN-ACK и т.д.
Мне кажется, проблема с работой TCP-сессий через CheckPoint, но в чём конкретно не понятно.
Подскажите, пожалуйста, в чём может быть причина проблемы и как её устранить?
Если нужна дополнительная информация, то какая?
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 16:50 01-11-2010
dshf21391

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipconfig /all и route print для полноты картины не помешали бы.
А так же инофрмация о том, как настроен объект чекпоинт, включен ли IPS, настроена ли правильно топология. пока всё.
Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 19:31 01-11-2010
dshf21391

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Aluf
Статья на чекпоинте сегодня появилась
The cause of this problem is related to a specific counter that elapses every 13.6 years and is not expected to happen again in the life time of the device.
Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 11:28 02-11-2010
Garryncha

Newbie

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вот дополнительная информация.
На шлюзе ChekPoint.

ipconfig -all
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : go-to-internet
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : широковещательный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

WAN — Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapte
r
Физический адрес. . . . . . . . . : 01-51-B1-B2-79-37
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 92.64.5.13
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз . . . . . . . . . . : 92.64.5.1
DNS-серверы . . . . . . . . . . . : 127.0.0.1

LAN — Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce 10/100 Mbps Ethernet
Физический адрес. . . . . . . . . : 43-5C-39-C4-EB-73
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.5.64.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Там же на шлюзе CheckPoint.
route print

IPv4 таблица маршрута
=====================================================================
Список интерфейсов
0x1 . MS TCP Loopback interface
0x2 . 01 51 B1 B2 79 37 . D-Link DFE-520TX PCI Fast Ethernet Adapter — VPN
-1 / Firewall-1 Miniport
0x3 . 43 5C 39 C4 EB 73 . NVIDIA nForce 10/100 Mbps Ethernet — VPN-1 / Fi
rewall-1 Miniport
=====================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 92.64.5.1 92.64.5.13 20
10.5.64.0 255.255.255.0 10.5.64.1 10.5.64.1 20
10.5.64.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.5.64.1 10.5.64.1 20
92.64.5.0 255.255.255.128 92.64.5.13 92.64.5.13 20
92.64.5.13 255.255.255.255 127.0.0.1 127.0.0.1 20
92.255.255.255 255.255.255.255 92.64.5.13 92.64.5.13 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.5.64.1 10.5.64.1 20
224.0.0.0 240.0.0.0 92.64.5.13 92.64.5.13 20
255.255.255.255 255.255.255.255 10.5.64.1 10.5.64.1 1
255.255.255.255 255.255.255.255 92.64.5.13 92.64.5.13 1
Основной шлюз: 92.64.5.1
===========================================================================
Постоянные маршруты:
Отсутствует

Настройки шлюза (через CheckPoint SmartDashboard).
Имя шлюза: go-to-internet
IP-адрес: 10.5.64.1 (автоматически получен во вкладке)
Включен только Firewall (URL Filtering, IPSec, IPS и пр. выключены).

Вкладка Топология:
Внешний интерфейс: 92.64.5.13
Внутренний интерфейс: 10.5.64.1
(автоматически получены во вкладке)
На оба интерфейса назначен Antispoofing.
На внутреннем интерфейсе выбраны адреса за ним — по его сетевому адресу и маске.

Вкладка NAT: пустая.

Сделан объект Internal — сеть 10.5.64.0.
На объекте Internal настроено NAT — Automatic Hide behind Gateway.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 12:07 02-11-2010
dshf21391

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По настройкам всё ок.
Симптомы очень странные и больше похожи на реакцию IPS, или антиспуфинга.
Smart Tracker смотрел? Попробуй отключить антиспуфинг.
Много хостов во внутренней сетке?
Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 12:27 02-11-2010
Garryncha

Newbie

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Выключили Antispoofing на обоих интерфейсах, картина та же.

В Smart Tracker встречаются такие события:
Action: Drop
Rule: — (Current Rule, Rule Name, User — все прочерк)
Source: сайт (например, yandex.ru)
Destination: 92.64.5.13
Source port: 80 (http)
Information: TCP Packet out of state: first packet isn’t SYN. TCP Flags: RST-ACK (а также бывает всё то же самое, только TCP Flags FIN+ACK).

Такое подозрение, что CheckPoint сбрасывает сессию, и ответные пакеты считает новой сессией, ждёт SYN. И тогда эти пакеты не пройдут из-за NAT.
Может быть, дело в том, что какие-то таймеры сбрасывают сессию? Где можно их посмотреть?

Во внутренней сети 10 хостов, сейчас при экспериментах 1-2 хоста используем.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 13:20 02-11-2010
sensemilya2

Newbie

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

DNS-серверы . . . . . . . . . . . : 127.0.0.1

В настройках объекта CP -> advanced -> configure servers -> DNS server галка стоит?
Всего записей: 12 | Зарегистр. 22-03-2007 | Отправлено: 14:45 02-11-2010
dshf21391

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Garryncha
Это настраивается в Global Properties -> Stateful Inspections. Но проблема странная. Ты в этих настройках не лазил? При установленных по умолчанию должно всё нормально работать, по идее. И нагрузки практически то нет, чтобы не хватало памяти ему и он сессии начинал терять.
Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 14:51 02-11-2010
Garryncha

Newbie

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Галки не было.
Галку поставили, картина осталась та же.

Сначала сайт открывается быстро, потом медленнее, потом ещё медленнее, потом просто страница не доступна.

Добавлено:
Да, посмотрели Stateful Inspection. Там стояли настройки по умолчанию (которые и в документации описаны). Попробовали другие настройки (Agressive, тоже из документации, по идее с ними ещё хуже должно работать), получилось то же самое. Вернулись к настройкам по умолчанию, всё так же.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 15:06 02-11-2010
dshf21391

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Garryncha
Нее, попробуй наоборот там время увеличить, а если не поможет, то отключить дропы out of state пакетов на время и посмотреть, что будет.
Подозреваю дровишки могут быть кривые на сетевые карты. Либо сами сетевые глючные.
Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 15:38 02-11-2010
Garryncha

Newbie

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Убирали drop пакетов в Stateful Inspection — не помогло.
Таймеры не пробовали увеличить.
Зато делали следующий эксперимент.
На встроенную сетевую карту, где был внутренний интерфейс, назначали внешний адрес, а на внешнюю — внутренний (т.е. наоборот по отношению к тому, что было).
Дальше запускали программку-авторизатор для подключения к провайдеру, CheckPoint был выключен — всё работало нормально.
Если запускали CheckPoint, то программка-авторизатор разрывала соединение.
Подозреваем, что дело во встроенной сетевой карте.
Драйвера на неё для Windows XP, для 2003 не нашли у производителя.
Дальше обратимся в техподдержку на компьютер, может быть, конкретно наша встроенная сетевая карта неисправна, и нам поменяют материнскую плату по гарантии.
Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 13:23 03-11-2010
dshf21391

Advanced Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

Если запускали CheckPoint, то программка-авторизатор разрывала соединение.
Подозреваем, что дело во встроенной сетевой карте.

Забавно =)) Ну и доступ в интернет.

Цитата:

Драйвера на неё для Windows XP, для 2003 не нашли у производителя.

На такое железо ставить чекпоинт — это извращение.
Купите самый дешёвый сервер брэндовый. При немаленькой цене на чекпоинт экономить на железе — это жесть.
Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 15:03 03-11-2010
Garryncha

Newbie

 Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dshf21391,
Цитата:

Купите самый дешёвый сервер брэндовый. При немаленькой цене на чекпоинт экономить на железе — это жесть.

Это верно.
Но я слушаюсь начальства, тем более, когда оно не право.

Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 12:10 06-11-2010
BiB2

Junior Member

 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день! Прошу помочь.
Checkpoint Firewall NGX R65 on SPLAT.
Для доступа к email серверу используется следующее:

source destination service action
USERs Firewall host pop3_mapped accept
smtp_mapped

где pop3_mapped и smtp_mapped services: SRV_REDIRECT(110,адрес Email сервера,11011 (pop3 порт Email сервера)) and SRV_REDIRECT(25,адрес Email сервера,2525 (smtp порт Email сервера))

после включения антивируса (быда приобретена подписка), smtp pop3 mapping service не работает — когда я пытаюсь подключиться telnet к 110 порту Firewall host получаю ошибку» -ERR No POP3 service here»
в SmartView Tracker 2 сообщения на каждую попытку отправить почту

Number: 21715
Date: 9Nov2010
Time: 10:30:33
Interface: POP3 transparent proxy
Origin: FW
Type: Log
Action: Reject
Service: pop-3 (110)
Source Port: 4126
Source: 10.33.6.67
Destination: FW (10.6.1.50)
Protocol: tcp
Rule: 38
Rule UID:
Current Rule Number: 38-Standard
Information: email_control: Security Server
email_session_id: <4cd906a9-5-3201060a-7b6>
email_recipients_num: 0
File Direction: to/from this gateway
Product: VPN-1 Power/UTM
Reason: Failed to connect to POP3 server
Policy Info: Policy Name: Standard
Created at: Tue Nov 09 10:29:35 2010
Installed from: FW

Number: 21716
Date: 9Nov2010
Time: 10:30:33
Interface: POP3 transparent proxy
Origin: FW
Type: Log
Action:
Service: pop-3 (110)
Source Port: 4126
Source: 10.33.6.67
Destination: FW (10.6.1.50)
Protocol: tcp
Rule: 38
Rule UID:
Current Rule Number: 38-Standard
Information: email_control: Security Server
email_session_id: <4cd906a9-5-3201060a-7b6>
email_recipients_num: 0
File Direction: to/from this gateway
Product: VPN-1 Power/UTM
SmartDefense Profile: Default_Protection
Policy Info: Policy Name: Standard
Created at: Tue Nov 09 10:29:35 2010
Installed from: FW
читал Secureknowledge base articles sk34862
sk32198 но там проблема в использовании NAT, у меня NAT для Email сервера для внутренних пользователей не используется.
Заранее спасибо за помощь

Источник

Adblock
detector

Источник

Понравилась статья? Поделить с друзьями:
  • Checking libraries copying library jinput error copying library jinput
  • Checking for apr no configure error apr not found please read the documentation
  • Checking file system on c как исправить windows 7
  • Checking error authentication method locked перевод
  • Checking engine version error 6006 missing latest engine files update engine to fix it