Hello All,
I’m currently configuring a new cluster with a new mgmt-server only for VPN.
i’ve build on a VSX-cluster 2 VS’s, one test and one production VS.
VS3, I’ve build the test vs, with smartcard authentication which connects to our external AD. machine/user are handled by our external domain and the smartcard authentication is as well handled on this external domain, this solution works properly.
VS4, I’ve build the production VS, which the machine/user connects to our internal domain and the MFA is handled by Radius against the external AD.
on this VS i have the issue when i’m trying to logon that I’ll get the error «Negotiation with site failed». I don’t get it always, the other attempts are working well, let’s say it fails 1 out of 3 attempts. Smartlog says the user does not belong to the remote community.
The AD LDAP account unit of both domains are identical in the management server and in the Remote Access community in the participant user groups i have added a user group based on a security group.
Does anybody have an idea what could go wrong?
-
#1
Добрый день! Есть несколько пользователей которые подключаются к NGFW 6700. Подключаются с помощью толстого клиента Check Point Endpoint Security VPN.
Один из пользователей постоянно жалуется что vpn клиент не соединяется, а программа пишет VPN service is down. Пробовал переустанавливать приложение Check Point Endpoint Security, но бестолку. Подскажите в чем может быть дело? Остальные юзеры не жалуются.
ps Не стал писать в раздел по чекпойнтам т.к думаю что дело именно в windows. У всех пользователей честная windows 10 LTSC.
Последнее редактирование: 10.09.2021
-
#2
Думаю стоит проверить системный журнал на предмет ошибок. Что там ?
-
#3
Ошибки такого плана
1. Служба «Check Point Endpoint Security VPN» является зависимой от службы «Check Point Virtual Network Adapter — Apollo», которую не удалось запустить из-за ошибки
Драйвер не был загружен, так как произошел сбой при его инициализации.
2. Служба «События получения неподвижных изображений» завершена из-за следующей внутренней ошибки: Сервер RPC недоступен.
3. Сбой загрузки драйвера Drivervna_ap для устройства ROOTNET001.
4. Сбой при запуске службы «vna_ap» из-за ошибки
Драйвер не был загружен, так как произошел сбой при его инициализации.
-
#4
3. Сбой загрузки драйвера Drivervna_ap для устройства ROOTNET001.
Скорее всего что то с драйвером. Посмотрите что в диспетчере устройств. Переустановите драйвер
-
#5
Там вот такое

Как понять что это за устройство?? Не может же быть что драйвер сетевой карты не инициализировался. Инет вроде бы есть на компе..
Serg
Случайный прохожий
-
#6
Попробуй по не известному устройству правой кнопкой мыши и обновить драйвер. Или попробуй отключить устройство затем включить. Все таки windows 10 это не windows 98 или xp по части поиска драйверов.
-
#7
Попробуй по не известному устройству правой кнопкой мыши и обновить драйвер. Или попробуй отключить устройство затем включить. Все таки windows 10 это не windows 98 или xp по части поиска драйверов.
Это попробовал. Драйвер сам определился. Перезапустил так же службы checkpoint vpn. Заработало. Ура.
Вопрос на засыпку. Как теперь понять почему драйвер сбоит. Я к тому что через день или 2 юзер позвонит опять с этой же проблемой…
-
#8
Это попробовал. Драйвер сам определился. Перезапустил так же службы checkpoint vpn. Заработало. Ура.
Вопрос на засыпку. Как теперь понять почему драйвер сбоит. Я к тому что через день или 2 юзер позвонит опять с этой же проблемой…
Так вы лог дальше и смотрите с компа.
-
#9
Смотрю..
Вот еще че нашел
Сбой загрузки драйвера DriverWudfRd для устройства HIDVID_0951&PID_16A4&MI_03&Col027&1c94fa2&0&0001.
Сбой загрузки драйвера Drivervna_ap для устройства ROOTNET001.
Не удалось инициализировать аварийный дамп.
Не удается найти описание для идентификатора события 3 из источника VNA. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Приложение System с ИД процесса 4 остановило удаление или извлечение для устройства PCIVEN_8086&DEV_A352&SUBSYS_B0051458&REV_103&11583659&0&B8.
Служба «NVIDIA LocalSystem Container» завершена из-за ошибки
Исполняемая групповая команда вернула результат, который указывает на ошибку.
Процесс Explorer.EXE инициировал действие «Выключение питания» для компьютера DESKTOP-OCB45C1 от имени пользователя DESKTOP-OCB45C1ThePsiX по причине: Другое (Незапланированное)
Код причины: 0x0
Тип выключения: Выключение питания
Последнее редактирование: 10.09.2021
-
#10
непонятно короче, то ли отключение питания было, то ли комп BSOD словил после обновлений. Буду наблюдать. Спасибо еще раз!
-
#11
Кто нибудь решил проблему ? У меня тоже самое, но все предложенное не работает. Checkpoint VPN клиент пишет — Client is compliant.
Пробовал переустанавливать — не помогает, драйверы на материнку gigabyte все стоят.
Еще из симптомов — не стартует служба checkpoint VPN с ошибкой 1068.
Что еще.. Пробовал вот это (помогло)
A. Manually Refresh the Virtual Network Adapter status:
- Click «Start», «Run», type regedit, then click «OK».
- Navigate to the following location:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvna_ap- Edit the registry key Start.
- Change the value:
From:
Dword:00000003
To
Dword:00000000
- Exit the registry.
- Restart the system.
так же пробовал вот это
Important: Backup the registry before running the suggested procedure.
- Open regedit on the Windows machine.
- Go to:
ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDeviceInstallParameters- Change the value of the «DeviceInstallDisabled» to «0» (if the registry key doesn’t exist, create a new DWORD key).
- Reboot the client machine.
- Open the Windows Command Prompt.
- Go to:
cd "C:Program Files (x86)CheckPointEndpoint SecurityEndpoint Connect"- Uninstall the VNA driver:
vna_utils.exe -ap vna dev remove_ex netvna.inf cp_apvna[/I]
[*]Re-install the VNA adapter:
vna_utils.exe -ap vna dev install netvna.inf cp_apvna
[*]Stop and start the Endpoint processes:
trac stop
trac start
[*]Connect to VPN.
Последнее редактирование: 09.08.2022
-
#12
Получается служба не стартует из-за сбойного драйвера.
Все обновления для винды установлены. Подскажите кто что знает ??🧐
-
#13
непонятно короче, то ли отключение питания было, то ли комп BSOD словил после обновлений. Буду наблюдать. Спасибо еще раз!
Вообще-то вся головная боль с VPN-клиентами (не только Check Point) происходит как раз из-за установки обновлений Windows. Если обновление содержит изменение сетевой части стека TCP/IP, то ждите подобных сюрпризов. На других компах без проблем с VPN-клиентом — также обновления устанавливаются для Windows?
-
#14
Кто нибудь решил проблему ? У меня тоже самое, но все предложенное не работает. Checkpoint VPN клиент пишет — Client is compliant.
Пробовал переустанавливать — не помогает, драйверы на материнку gigabyte все стоят.
Еще из симптомов — не стартует служба checkpoint VPN с ошибкой 1068.Что еще.. Пробовал вот это (не помогло)
так же пробовал вот это
1. https://supportcenter.checkpoint.co…_doGoviewsolutiondetails=&solutionid=sk101081
2. cmd (admin): sfc /scannow
-
#15
Получается служба не стартует из-за сбойного драйвера.
Все обновления для винды установлены. Подскажите кто что знает ??🧐
Ох уж эти любители поустанавливать обновления на Windows!
-
#16
эт все проходит на ура. Сейчас уже сам разобрался.
Я сначала обновления проставил а потом на эту статейку нарвался.
Дело было все-таки в этом ключе реестра.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvna_ap
- Edit the registry key Start.
Change the value:From:
Dword:00000003 — криво
Dword:00000000 — надо так, работает
Жаль полдня убил блин
-
#17
Ох уж эти любители поустанавливать обновления на Windows!
Они видимо юзеру сами прилетели
-
Previous
-
- 1
- 2
-
Next
Unable to connect to company VPN
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Highlight
- Report to Moderator
I use Checkpoint Endpoint Security to connect to my company network. For the last week I have been unable to connect (it had previously worked for two years fine) The connection eventually fails with ‘Negotiation with site failed’. On the same laptop I can connect successfully, (neighbours broadband, parents broadband, work backup adsl connection). Surely something must be being blocked by Plusnet.
Message 1 of 19
(16,315 Views)
-
All forum topics -
Previous Topic -
Next Topic
18 REPLIES 18
![]()
spraxyt
Superuser
Posts: 10,063
Thanks: 1,370
Fixes: 75
Registered:
06-04-2007
Re: Unable to connect to company VPN
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Highlight
- Report to Moderator
The firewall was set the the standard I believe (I am at work at present so cannot check) I turned off the firewall as a test but it still did not work. I have also reset the router back to the default settings to no avail. I was led to believe the Plusnet’s support was good however my experience of it since logging Question #78428253 (closed in error yesterday) and Question #78712553 has been quite the opposite. The ticket just sits in the queue with no response and phone queue times are over an hour.
Reluctantly I an going to have to find another provider.
Message 3 of 19
(9,305 Views)
![]()
MisterW
Superuser
Posts: 11,673
Thanks: 3,731
Fixes: 284
Registered:
30-07-2007
Re: Unable to connect to company VPN
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Highlight
- Report to Moderator
There were some issues in the past with VPN and the PlusNet supplied router(TG582n). I don’t see why it would suddenly stop working though, unless perhaps the type of VPN being used has been changed. Anyway the instructions to sort the problem are here http://npr.me.uk/vpnissue.html and so may be worth trying ( they can’t do any harm! )
Superusers are not staff, but they do have a direct line of communication into the business in order to raise issues, concerns and feedback from the community.
Message 4 of 19
(9,305 Views)
30FTTC06
Pro
Posts: 2,286
Thanks: 108
Fixes: 4
Registered:
18-02-2013
![]()
MisterW
Superuser
Posts: 11,673
Thanks: 3,731
Fixes: 284
Registered:
30-07-2007
Re: Unable to connect to company VPN
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Highlight
- Report to Moderator
Good point, I’d forgotten about that.
Superusers are not staff, but they do have a direct line of communication into the business in order to raise issues, concerns and feedback from the community.
Message 8 of 19
(9,306 Views)
jelv
Seasoned Hero
Posts: 26,786
Thanks: 990
Fixes: 10
Registered:
10-04-2007
Re: Unable to connect to company VPN
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Highlight
- Report to Moderator
Quote from: stives1974 The firewall was set the the standard I believe (I am at work at present so cannot check) I turned off the firewall as a test but it still did not work.
Did you disconnect and then reconnect the PPP session (or reboot the router) after you’d changed the setting?
Message 9 of 19
(9,306 Views)
Oldjim
Community Veteran
Posts: 38,460
Thanks: 1,034
Fixes: 63
Registered:
15-06-2007
pwatson
Rising Star
Posts: 2,470
Thanks: 8
Fixes: 1
Registered:
26-11-2012
Re: Unable to connect to company VPN
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Highlight
- Report to Moderator
Before you upgrade the firmware, I’d try a further test by setting up a PPPoE connection on your machine plugged directly into the BT modem…
Message 13 of 19
(9,306 Views)
Re: Unable to connect to company VPN
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Highlight
- Report to Moderator
Upgraded Technicolor TG582n FTTC to firmware version 10.2.5.2 still cannot connect to site. Turned firewall off on both router and in Member Centre. Disconnected from internet and rebooted router.
Message 14 of 19
(9,306 Views)
jelv
Seasoned Hero
Posts: 26,786
Thanks: 990
Fixes: 10
Registered:
10-04-2007
-
Previous
-
- 1
- 2
-
Next
Topic Options
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark
- Subscribe
- Printer Friendly Page
Современные приложения не могут подключаться при использовании VPN-подключения Check Point
В этой статье данная статья позволяет решить проблему, из-за которой современные приложения не могут подключаться к Интернету после подключения к корпоративной сети с помощью VPN-программного обеспечения Check Point.
Применяется к: Windows 8
Исходный номер КБ: 2855849
Симптомы
Рассмотрим следующий сценарий.
- Вы используете версию VPN удаленного доступа к конечным точкам Check Point, которая является более ранней, чем E80.50.
- Успешно запущены Windows 8 (Store Apps) и классические настольные приложения.
- Подключение к корпоративной сети с помощью клиентского программного обеспечения Check Point VPN в «концентраторном режиме» (то есть весь трафик проходит через виртуальный сетевой адаптер).
- После подключения индикатор состояния сети показывает, что подключение к Интернету полностью доступно.
В этом сценарии классические приложения могут успешно подключаться к Интернету. Однако современные приложения не могут подключаться. Кроме того, компьютерная версия Windows Internet Explorer 10 не может подключиться, если включен режим расширенной безопасности.
Причина
Эта проблема возникает из-за того, что установленный брандмауэр не может устанавливать правила, позволяющие современным приложениям общаться через виртуальную частную сеть.
Решение
Чтобы устранить эту проблему, установите check Point VPN E80.50 (ожидается, что она будет доступна осенью 2013 г.) на следующем веб-сайте Центра поддержки контрольных точек:
Обходной путь
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы решить эту проблему, запустите следующий Windows PowerShell, чтобы изменить скрытое свойство для виртуального сетевого интерфейса в реестре:
Этот сценарий также задокументирован на следующем веб-сайте Check Point: Microsoft Store (Windows 8) приложение не удается связаться с помощью VPN-туннеля.
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.
Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.
Источник
Современные приложения не могут подключаться при использовании VPN-подключения Check Point
В этой статье данная статья позволяет решить проблему, из-за которой современные приложения не могут подключаться к Интернету после подключения к корпоративной сети с помощью VPN-программного обеспечения Check Point.
Применяется к: Windows 8
Исходный номер КБ: 2855849
Симптомы
Рассмотрим следующий сценарий.
- Вы используете версию VPN удаленного доступа к конечным точкам Check Point, которая является более ранней, чем E80.50.
- Успешно запущены Windows 8 (Store Apps) и классические настольные приложения.
- Подключение к корпоративной сети с помощью клиентского программного обеспечения Check Point VPN в «концентраторном режиме» (то есть весь трафик проходит через виртуальный сетевой адаптер).
- После подключения индикатор состояния сети показывает, что подключение к Интернету полностью доступно.
В этом сценарии классические приложения могут успешно подключаться к Интернету. Однако современные приложения не могут подключаться. Кроме того, компьютерная версия Windows Internet Explorer 10 не может подключиться, если включен режим расширенной безопасности.
Причина
Эта проблема возникает из-за того, что установленный брандмауэр не может устанавливать правила, позволяющие современным приложениям общаться через виртуальную частную сеть.
Решение
Чтобы устранить эту проблему, установите check Point VPN E80.50 (ожидается, что она будет доступна осенью 2013 г.) на следующем веб-сайте Центра поддержки контрольных точек:
Обходной путь
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы решить эту проблему, запустите следующий Windows PowerShell, чтобы изменить скрытое свойство для виртуального сетевого интерфейса в реестре:
Этот сценарий также задокументирован на следующем веб-сайте Check Point: Microsoft Store (Windows 8) приложение не удается связаться с помощью VPN-туннеля.
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.
Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.
Источник
Решение проблемы «Connectivity with the Check Point Endpoint Security Service is lost» в Check Point Endpoint Security VPN
Уже не первый раз сталкиваюсь с проблемой «Connectivity with the Check Point Endpoint Security Service is lost» после установки Check Point Endpoint Security VPN.
Выглядит ошибка «Connectivity with the Check Point Endpoint Security Service is lost» следующим образом:

В попытках решить данную проблему можно наткнуться на несколько советов:
В данном примере советуют открыть список установленных приложений и попытаться запустить «Repair». Но очень вероятно мы получим ошибку «The installer has insufficient privileges to modify this file: C:WINDOWSSysWOW64vsdata.dll» (vsdata.dll, vsutil.dll и vsinit.dll):

В данном случае нам рекомендуют переименовать библиотеку vsdata.dll. Но и переименовать мы ее не сможем, поскольку получим: «Запросите разрешение от СИСТЕМА на изменение этой папки или файла». И как на зло, даже инструкция по смене владельца файла не помогает.
Теоретически, можно загрузиться с какого-нибудь Live CD и сменить имя библиотекам «vsdata.dll, vsinit.dll, vsutil.dll».
4. И, наконец, способ, который помог мне.
Чудом наткнулся на патч, который решает проблему «Connectivity with the Check Point Endpoint Security Service is lost» — https://supportcenter.checkpoint.com/supportcenter/portal?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=111732.
Если помогло и вам, благодарности принимаю в комментариях :).
Источник
Пользователи VPN-сервиса Check Point столкнулись с проблемами из-за просроченного сертификата
Компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года.
Примечательно, что компания предупреждала о наличии патча, исправляющего проблему, еще в августе 2019 года, но, судя по всему, некоторые клиенты Check Point пропустили сообщение или не смогли применить исправление из-за политик организаций.
На прошлой неделе компания выпустила еще одно уведомление, в котором предупредила, что решения Endpoint/VPN E80.81 — E81.10 (только версия для Windows ) и агент SandBlast E80.61 — E81.10 (только версия для Windows) перестанут нормально работать с 1 января 2021 года.
«Эти более не поддерживаемые решения прекратят функционировать 1 января 2021 года. Начиная с этой даты, после перезагрузки компьютера, версии клиента Remote Access VPN and Endpoint Security Client E81.10 и ниже могут перестать работать, а обновиться не получится», — предупредила компания.
Как рассказал изданию The Register один из читателей, работающий в правительственной организации, из-за истекшего срока действия сертификата примерно 1 600 ноутбуков, выделенных сотрудникам, не смогли подключиться к сети. Предлагаемый Check Point патч заменяет .SYS файл без задействования администратора, что запрещено правилами организации, пояснил источник.
В свою очередь, представители Check Point сообщили изданию, что начали информировать пользователей устаревших версий о проблеме еще до нового года. Сколько клиентов уже применили патч, в компании не сообщили.
Источник
Checkpoint проблемы с подключением
![]()
Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Народ. Есть проблема. Есть CheckPoint и. как его настраивать никто не знает. В сети нигде описалова конкретного нет. Может кто помогёт личным опытом. или может кто кинет линку на доки (желательно по русски) по этому зверю.
Заранее спасибо.
Добавляете, плиз, полезную информацию в шапку.
Цитата:
CheckPoitn встает под Linux нормально. Я даже по Solaris ставил
Есть кое-какие доки на Ftp из варезной темы.. Всего записей: 525 | Зарегистр. 02-07-2002 | Отправлено: 18:55 09-07-2002 | Исправлено: Out, 18:06 15-08-2006
| Artempv
Junior Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору medet
Посмотрите этот пост на CPUG (The Check Point User Group) — hxxp://www.cpug.org/forums/installing-upgrading/5267-new-r60-installation-securemote-issues-need-create-ica-reset-sic.html Описана аналогичная ситуация. |
| Всего записей: 119 | Зарегистр. 07-02-2005 | Отправлено: 14:40 13-08-2010 |
| Aluf
Junior Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору доброго дня всем, примите к сведению что ночью со вчера на сегодня все UTM Edge appliances Checkpoint решили организованно сделать reboot по неясной пока причине (просто день такой тяжелый у них
http://www.cpug.org/forums/check-point-utm-1-edge-appliances/14606-all-edge-firewalls-rebooted-10-30-2010-8-58-p-m.html#post64014 |
| Всего записей: 167 | Зарегистр. 28-12-2003 | Отправлено: 21:54 31-10-2010 |
| Garryncha
Newbie |
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день! Прошу помощи в следующей ситуации. Есть шлюз CheckPoint R70 на Windows 2003. У шлюза два интерфейса: внутренний и внешний (интернет). Сделано одно правило типа: any any accept. Сделана трансляция Automatic Hide NAT. Все остальные настройки после установки не изменялись. Проблема заключается в том, что при обращении из внутренней сети к сайтам через браузер какие-то сайты нормально открываются, какие-то открываются, но медленно, какие-то совсем не открываются. Те сайты, которые открывались быстро, через какое-то время перестают открываться совсем. Проблем в сайтах и в интернет-канале нет, т.к. если подключаться в интернет с рабочей станции напрямую, таких проблем нет. При этом, после перезагрузки шлюза с CheckPoint все сайты 1-2 минуты открываются нормально, после этого получается описанная выше картина. При этом все сайты пингуются за 30-40 ms, даже если долго открываются или не открываются браузером. Если запустить Wireshark на внутреннем интерфейсе шлюза, то он показывается SYN-пакеты, которые идут из внутренней сети, но к ним нет SYN-ACK и т.д. Мне кажется, проблема с работой TCP-сессий через CheckPoint, но в чём конкретно не понятно. Подскажите, пожалуйста, в чём может быть причина проблемы и как её устранить? Если нужна дополнительная информация, то какая? |
| Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 16:50 01-11-2010 |
| dshf21391
Advanced Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipconfig /all и route print для полноты картины не помешали бы. А так же инофрмация о том, как настроен объект чекпоинт, включен ли IPS, настроена ли правильно топология. пока всё. |
| Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 19:31 01-11-2010 |
| dshf21391
Advanced Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Aluf Статья на чекпоинте сегодня появилась The cause of this problem is related to a specific counter that elapses every 13.6 years and is not expected to happen again in the life time of the device. |
| Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 11:28 02-11-2010 |
| Garryncha
Newbie |
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вот дополнительная информация. На шлюзе ChekPoint. ipconfig -all Имя компьютера . . . . . . . . . : go-to-internet WAN — Ethernet адаптер: DNS-суффикс этого подключения . . : LAN — Ethernet адаптер: DNS-суффикс этого подключения . . : Там же на шлюзе CheckPoint. IPv4 таблица маршрута Настройки шлюза (через CheckPoint SmartDashboard). Вкладка Топология: Вкладка NAT: пустая. Сделан объект Internal — сеть 10.5.64.0. |
| Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 12:07 02-11-2010 |
| dshf21391
Advanced Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По настройкам всё ок. Симптомы очень странные и больше похожи на реакцию IPS, или антиспуфинга. Smart Tracker смотрел? Попробуй отключить антиспуфинг. Много хостов во внутренней сетке? |
| Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 12:27 02-11-2010 |
| Garryncha
Newbie |
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Выключили Antispoofing на обоих интерфейсах, картина та же.
В Smart Tracker встречаются такие события: Такое подозрение, что CheckPoint сбрасывает сессию, и ответные пакеты считает новой сессией, ждёт SYN. И тогда эти пакеты не пройдут из-за NAT. Во внутренней сети 10 хостов, сейчас при экспериментах 1-2 хоста используем. |
| Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 13:20 02-11-2010 |
| sensemilya2
Newbie |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: DNS-серверы . . . . . . . . . . . : 127.0.0.1 В настройках объекта CP -> advanced -> configure servers -> DNS server галка стоит? |
| Всего записей: 12 | Зарегистр. 22-03-2007 | Отправлено: 14:45 02-11-2010 |
| dshf21391
Advanced Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Garryncha Это настраивается в Global Properties -> Stateful Inspections. Но проблема странная. Ты в этих настройках не лазил? При установленных по умолчанию должно всё нормально работать, по идее. И нагрузки практически то нет, чтобы не хватало памяти ему и он сессии начинал терять. |
| Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 14:51 02-11-2010 |
| Garryncha
Newbie |
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Галки не было. Галку поставили, картина осталась та же. Сначала сайт открывается быстро, потом медленнее, потом ещё медленнее, потом просто страница не доступна. Добавлено: |
| Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 15:06 02-11-2010 |
| dshf21391
Advanced Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Garryncha Нее, попробуй наоборот там время увеличить, а если не поможет, то отключить дропы out of state пакетов на время и посмотреть, что будет. Подозреваю дровишки могут быть кривые на сетевые карты. Либо сами сетевые глючные. |
| Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 15:38 02-11-2010 |
| Garryncha
Newbie |
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Убирали drop пакетов в Stateful Inspection — не помогло. Таймеры не пробовали увеличить. Зато делали следующий эксперимент. На встроенную сетевую карту, где был внутренний интерфейс, назначали внешний адрес, а на внешнюю — внутренний (т.е. наоборот по отношению к тому, что было). Дальше запускали программку-авторизатор для подключения к провайдеру, CheckPoint был выключен — всё работало нормально. Если запускали CheckPoint, то программка-авторизатор разрывала соединение. Подозреваем, что дело во встроенной сетевой карте. Драйвера на неё для Windows XP, для 2003 не нашли у производителя. Дальше обратимся в техподдержку на компьютер, может быть, конкретно наша встроенная сетевая карта неисправна, и нам поменяют материнскую плату по гарантии. |
| Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 13:23 03-11-2010 |
| dshf21391
Advanced Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Если запускали CheckPoint, то программка-авторизатор разрывала соединение. Забавно =)) Ну и доступ в интернет. Цитата: Драйвера на неё для Windows XP, для 2003 не нашли у производителя. На такое железо ставить чекпоинт — это извращение. |
| Всего записей: 954 | Зарегистр. 29-06-2005 | Отправлено: 15:03 03-11-2010 |
| Garryncha
Newbie |
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dshf21391, Цитата: Купите самый дешёвый сервер брэндовый. При немаленькой цене на чекпоинт экономить на железе — это жесть. Это верно. |
| Всего записей: 17 | Зарегистр. 16-03-2006 | Отправлено: 12:10 06-11-2010 |
| BiB2
Junior Member |
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день! Прошу помочь. Checkpoint Firewall NGX R65 on SPLAT. Для доступа к email серверу используется следующее: source destination service action где pop3_mapped и smtp_mapped services: SRV_REDIRECT(110,адрес Email сервера,11011 (pop3 порт Email сервера)) and SRV_REDIRECT(25,адрес Email сервера,2525 (smtp порт Email сервера)) после включения антивируса (быда приобретена подписка), smtp pop3 mapping service не работает — когда я пытаюсь подключиться telnet к 110 порту Firewall host получаю ошибку» -ERR No POP3 service here» Number: 21715 Number: 21716 Источник Adblock |