这篇文章介绍了如何在Prem上的WatchGuard Firebox和位于家庭路由器后面的家庭中的Check Point设备之间配置分支机构VPN(BOVPN)。

我发现以下有趣的一些配置。尽管可以正常工作,但本地网络设置使我感到困惑。可能是因为Firebox的特色

拓扑结构

确保防火墙UDP500公开到Internet

UDP500是IPSEC协议。 

由于在本地站点中,我在Checkpoint防火墙192.168.2.22前面有一个家庭路由器,因此我必须打开UDP 500端口以连接Checkpoint防火墙网关。 

在每个站点上创建网关

1  在CheckPoint防火墙上,创建一个新的可互操作的设备:

您还可以创建一个VPN社区,将两个网关都添加到设置中:

2  在WatchGuard上,创建一个新的分支机构网关:

在“凭据方法”部分下,选择“使用预共享密钥”,然后输入与在Checkpoint防火墙中输入的密钥相同的密钥。

创建阶段1(主)策略

1  在CheckPoint防火墙上,





2  在WatchGuard上, 

在本实验中,我将SHA1和AES128与DH组2配合使用。

创建第二阶段(快速)策略

1  在CheckPoint防火墙上,





2  在WatchGuard上, 

在本实验中,我将SHA256和AES256与DH组14一起使用。

我发现有趣的一件事是设置本地ip。如果我将本地路由设置为172.x.x.0 / 24这样的网络,则隧道将失败。 用一个静态ip找不到路由。
如果我将其设置为172.x.x.x / 32或Any IPv4,则隧道会立即出现。奇怪。 

可以在VPN菜单中更改默认的Phase2提案->第二阶段提案页面。 

创建防火墙策略以允许VPN流量

1  在CheckPoint防火墙上,

2  在WatchGuard上,它将自动为入站和出站流量添加两个BOVPN规则:

测试和故障排除

1  在CheckPoint防火墙上,
  • ping,tracert,VPN tu和tcpdump -nni任何主机<远程VPN网关公用IP>
  • 日志搜索<远程VPN网关公用IP>

2  在WatchGuard上, 

WatchGuard System Manager重置密钥并清除错误消息

Firebox系统管理器–网关上的右键菜单– 虚拟专用网诊断报告

系统管理员–流量监控器

参考文献

来自Blogger http://blog.fabiandinkins.com/2020/12/create-vpn-tunnel-between-checkpoint.html

通过 约翰

发表评论