1. Поведение.
При активном VPN от Check Point Quantum Spark до стороннего оборудования (Например, MikroTik) из любой внутренней сети Check Point Quantum Spark нет ping и связи по внешнему IPадресу MikroTik с кем строит VPN туннель Check Point Quantum Spark. При этом из других сетей, отличных от Check Point Quantum Spark, доступ к внешнему IP адресу MikroTik имеется.
При активном VPN от Check Point Quantum Spark до стороннего оборудования (Например, MikroTik) из любой внутренней сети Check Point Quantum Spark нет ping и связи по внешнему IPадресу MikroTik с кем строит VPN туннель Check Point Quantum Spark. При этом из других сетей, отличных от Check Point Quantum Spark, доступ к внешнему IP адресу MikroTik имеется.
Например,
Check Point Quantum Spark:
· Внешний IP адрес – 1.1.1.1
· Внутренняя сеть – 192.168.1.0/24
MikroTik:
· Внешний IP адрес– 2.2.2.2
· Внутренняя сеть – 192.168.2.0/24
При активном VPN, из внутренней сети Check Point (192.168.1.0/24) нет связи с MikroTik(2.2.2.2) по внешнему адресу.
При отключенном VPN, из внутренней сети Check Point (192.168.1.0/24) есть связь с MikroTik (2.2.2.2) по внешнему адресу
При отключенном VPN, из внутренней сети Check Point (192.168.1.0/24) есть связь с MikroTik (2.2.2.2) по внешнему адресу
2. Причина проблемы.
Данное поведение возникает по причине того, что при активном VPN, во время инициировании трафика на удаленный Peer (MikroTik IP 2.2.2.2) из внутренней сети Check Point, трафик Check Point направляет по VPN и шифрует. Однако вторая фаза для данного трафика не поднимается, так как на удаленной стороне (MikroTik) не указано, что необходимо шифровать внешний IP адрес. Связи с вышеуказанным, трафик отбрасывается.
Данное поведение возникает по причине того, что при активном VPN, во время инициировании трафика на удаленный Peer (MikroTik IP 2.2.2.2) из внутренней сети Check Point, трафик Check Point направляет по VPN и шифрует. Однако вторая фаза для данного трафика не поднимается, так как на удаленной стороне (MikroTik) не указано, что необходимо шифровать внешний IP адрес. Связи с вышеуказанным, трафик отбрасывается.
3. Устранение проблемы.
На стороне Check Point необходимо исключить из удаленного домена шифрования внешний IP адрес Peer.
Для этого, нужно сделать следующее:
На стороне Check Point необходимо исключить из удаленного домена шифрования внешний IP адрес Peer.
Для этого, нужно сделать следующее:
1) На Check Point Spark перейти на вкладку VPN – VPN Sites.
2) Открыть настройки VPN. Во вкладке Remote sites раскрыть раздел Remote sites Encryption Domain добавить исключение в Exclude networks внешний IP адрес удаленного Peer. В нашем примере – это IP адрес 2.2.2.2.
3) Применить и сохранить настройки.
4) Убедиться, что теперь из внутренней сети Check Point можно связаться с удаленным Peer(MikroTik) по внешнему IP адресу.
