通常,当您的防火墙策略配置不正确时,Checkpoint SmartDashboard会在您验证或安装防火墙策略时通知您有用的详细信息。但是有时候,这些信息会让您感到迷茫。我最近遇到了一个案件。

我研究了一种IPSec 虚拟专用网 配置 从我的vpn网关fw-ras到客户的网关。有趣的流量是从客户的公共ip到我们服务器的公共ip地址20.153.121.59,该地址已NAT到内部ip地址10.1.106.59。在我网关的vpn域上包括此公用ip 20.153.121.59和内部网段10.1.106.x / 24。

虚拟专用网 工作正常。客户能够通过IPSec 虚拟专用网 隧道与我们联系。顺便说一下,我正在使用默认的NAT行为,即客户端发生NAT。我遇到的问题是验证和安装策略时出现“部分重叠的加密域”警告消息。

症状:

这是屏幕截图和复制的错误/警告消息:

“网络安全政策“标准”是在2015年8月26日星期三13:36:44制定的。

存在以下错误和警告:网关 fw-ras 纳米级 具有部分重叠的加密域。因此,Endpoint Connect用户将不支持 环保部 配置SecureRemote / SecureClient用户将无法创建站点。如果不应将任何GW导出到SR / SC,请从RemoteAccess社区中将其删除,或取消选中SR的可导出复选框。重叠域包括:10.1.72.14 – 10.1.72.16的专有域 fw-ras 包括:20.153.121.59 – 20.153.121.62的专有域 纳米级 包括:10.1.240.0 – 10.1.240.255”

基本上,它提到一些IP地址用于多个vpn域,尤其是在RemoteAccess社区中。但是我仔细检查了网关fw-ras和vpnm,它们的加密域根本不重叠。

有趣的事情,如果我删除了 来自网关fw-ras的vpn加密域的20.153.121.59,此错误/警告消息消失了。但是,IPSec vpn配置将需要此公用ip地址,以确保可以对流量进行加密并将其发送到客户的网关。

解决方案:

消息中提到的好消息是“如果不应将任何GW导出到SR / SC,请从RemoteAccess社区中将其删除,或取消选中SR的可导出框”。由于网关fw-ras不在RemoteAccess社区中,因此对我来说,唯一的选择是取消选中SR的可导出框。
我在网关的属性窗口中找到了该选项-> IPSec 虚拟专用网 ->传统模式配置…:

取消选中“ Execableable for SecuRemote / SecureClient”后,安装就完美无缺了。

参考:

sk101986 –策略验证期间“网关ZZZ和YYY具有部分重叠的加密域”错误

通过 约翰

发表评论