+1 Hello, En configurant avec Wireshark ensuite pour relire les pcap, le debug n'en est que plus facile. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk39510 Cordialement.
----------------------- Cédric Polomack http://www.secresys.fr 26 juin 2019 11:24 "Claer" <cl...@claer.hammock.fr> a écrit: > Salut, > > Pour Check Point, privilégier l'outil de troubleshoot fw monitor plutot > que tcpdump. > > https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solut > onid=sk30583 > > On 26-06-2019 10.55 +0200, Louis wrote: > >> La cli IP de checkpoint gaia est juste une interface d'iproute2 sous linux. >> Vérifie ton PBR en mode expert via les commandes ip route et ip rule list - >> https://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-policy-routing. >> Fais des tcpdump. >> >> De mémoire, l'ordre de traitement du paquet : >> 1. nat de l'IP source >> 2. firewalling >> 3. routage par iproute2 >> 4. nat de l'IP destination >> >> donc iproute2 voit juste l'IP source nattée pas celle destination. >> >> Le mer. 26 juin 2019 à 10:50, Louis <luigi.1...@gmail.com> a écrit : >> >> Bonjour, >> >> sauf erreur, checkpoint se contre-fiche des adresses MAC. Ca a l'air d'une >> fausse piste. >> >> Le mar. 25 juin 2019 à 19:49, Michel KOENIG <michel.koe...@ncc-info.com> >> a écrit : >> >> Suite des recherches, je penses que c'est un problème d'adresses MAC >> >> Le flux sortant va vers la MAC du VRRP >> >> Le retour se présente avec la MAC du boitier qui est actif >> >> Donc, 2 possibilité pour corriger : >> >> 1/ >> Désactiver le check des tables d'adresses mac pour cette IP sur le >> CheckPoint >> >> 2/ >> Obliger le PepLink a répondre avec sa MAC VRRP >> >> Quelqu'un a l'astuce pour un de ces point ? >> >> Merci >> >> Michel >> >> -----Message d'origine----- >> De : David Ponzone <david.ponz...@gmail.com> >> Envoyé : mardi 25 juin 2019 17:08 >> À : Michel KOENIG <michel.koe...@ncc-info.com> >> Cc : frnog-t...@frnog.org >> Objet : Re: [FRnOG] [TECH] PBR sur CheckPoint >> >>> Le 25 juin 2019 à 16:58, Michel KOENIG <michel.koe...@ncc-info.com> a >> écrit : >>> >>> Bonjour, >>> >>> Nous souhaitons faire une maquette avec PepLink derrière un CheckPoint >>> >>> Le problème semble se situer au niveau de la config de la PBR sur le >> checkpoint >>> >>> Le routage s'effectue bien en sortie mais pas de paquet en retour >> >> Question con, mais ton PBR sur le Checkpoint respecte le NAT de >> l’interface de sortie ? >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org > > -- > Ce message a été vérifié par MailScanner > pour des virus ou des polluriels et rien de > suspect n'a été trouvé. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
