VPN IPSEC CheckPoint

Neste post vou demonstrar a configuração de uma VPN IPSEC no firewall CheckPoint.

Estaremos utilizando a versão R75.40.

Topologia utilizada para demonstrar as configurações:

checkpoint_vpn_01

Fazendo uso do SmartDashboard iremos acessar a caixa do firewall

checkpoint_vpn_02

Primeiramente iremos criar dois grupos:

SITE_B: este será o nome dado ao grupo onde serão colocados a rede(s) do peer de destino.

NET_VPN: este será o nome dado ao grupo onde serão alocados todos as redes atrás do CheckPoint que serão compartilhadas através do túnel VPN.

Acessando o menu para criar os grupos

checkpoint_vpn_03

Criando o grupo SITE_B, neste momento não será adicionado nenhum host ou network.

checkpoint_vpn_04

Criando o grupo VPN_NET, neste momento não será adicionado nenhum host ou network.

checkpoint_vpn_05

Após criar os grupos, iremos criar dois objetos de Network:

Acessando o menu para criar os objetos de rede

checkpoint_vpn_06

Criando o objeto NET_192.168.0.0, rede interna do CheckPoint.

checkpoint_vpn_07

Criando o objeto NET_10.10.10.0, rede interna do peer de destino.

checkpoint_vpn_08

O próximo passo é adicionar esses objetos aos grupos criados.

SITE_B

checkpoint_vpn_09

VPN_NET

checkpoint_vpn_10

Existe duas formas para configurar a VPN com o peer de destino, caso o dispositivo de destino seja um CheckPoint então vá ao menu Externally Managed VPN Gateway.

checkpoint_vpn_11

No nosso exemplo será demonstrado a configuração com um outro dispositivo sem ser CheckPoint, pois acaba sendo mais “trabalhoso”.

Primeiramente de um duplo click no objeto do firewall, neste caso o checkpoint_fw.

checkpoint_vpn_12

Habilite a opção IPSec VPN

checkpoint_vpn_13

Agora navegue até a opção Topology

checkpoint_vpn_14

No menu VPN Domain, selecione a opção Manually defined, agora adicione o objeto VPN_NET.

checkpoint_vpn_15

Agora pressione OK  para aplicar as configurações.

Agora navegue até a opção Interoperable Device, neste menu é usado para todo os dispositivos que não sejam CheckPoint.

checkpoint_vpn_16

Será exibida a tela abaixo, preencha o endereço do peer de destino e o nome da VPN.

checkpoint_vpn_17

Agora navegue até a guia Topology, será necessário adicionar o grupo SITE_B na opção VPN Domain.

checkpoint_vpn_18

Após este processo pressione OK.

Agora navegue até o menu VPN Communities, nesta navegue até a opção New Site To Site > Meshed

checkpoint_vpn_19

No primeiro menu defina apenas o nome do túnel VPN

checkpoint_vpn_20

Agora navegue até o menu Participating Gateways e pressione em Add; será exibido o objeto do firewall CheckPoint e o do peer de destino.

checkpoint_vpn_21

Neste caso iremos adicionar os dois objetos.

checkpoint_vpn_22

Agora navegue até o menu Encryption, neste opção é definida o meio de criptografia a ser utilizado. Para o nosso exemplo manteremos o valor default.

checkpoint_vpn_23

Navegue até a opção Advanced Settings > Shared Secret

checkpoint_vpn_24

Selecione a opção Use only Shared Secret for all External members para poder definir a senha a ser trocada com o peer de destino. Após selecionar a opção pressione em Edit.

checkpoint_vpn_25

Agora navegue até o menu Advanced VPN Properties; é neste menu que definimos o DH, se será utilizado o PFS, NAT transversal, … .

checkpoint_vpn_26

Após realizar este processo finalizamos a configuração do túnel VPN, agora iremos criar uma regra de acesso fazendo uso desta VPN.

Na criação da regra de firewall, edite o campo VPN, pois será onde iremos apontar o túnel SITE_B que acabamos de configurar.

checkpoint_vpn_27

Para o nosso exemplo criamos duas regras fazendo uso através do túnel.

checkpoint_vpn_29

Alguns objetos do firewall podem estar configurados para realizar NAT, seja ele static ou behind, por este motivo iremos garantir que a comunicação através dessas redes não sofram qualquer tipo de NAT.

Navegue até o menu NAT.

checkpoint_vpn_37

Agora iremos configuração duas regras, dizendo que entre as redes deles devem manter o seu ip real.

checkpoint_vpn_38

Agora iremos instalar todas essas configurações no firewall, para isso pressione na opção abaixo.

checkpoint_vpn_30

Agora pressione OK.

checkpoint_vpn_31

O processo de verificação e instalação será iniciado.

checkpoint_vpn_33

Configurações aplicadas com sucesso.

checkpoint_vpn_34

Agora basta um dos hosts das lans internas iniciarem a conexão para o túnel ser estabelecido.

Troubleshooting

Visualizar trafego com o peer de destino através do tcpdump

CLI > tcpdump -i any ‘host 100.100.100.1’

Fazer uso do SmartView Tracker, onde será exibido os logs e mensagens de sucesso e erro do túnel VPN.

checkpoint_vpn_36

E assim finalizamos mais um post.

Tags: