Bonjour,
Nous avons éliminé les pb potentiels côté ADSL/SFR en bypassant tout équipement
hors modem.
De ce côté cela fonctionne : le client CPS "capsule" se connecte bien au CPS
central 4800.
De même avec un routeur basique, connecté en PPOE via le modem.
Nos premiers tests de bypass avaient été un peu brouillon et précipités.
En revenant aux configurations problématiques.
- Netasq U30s, firmware le plus à jour possible (nous avons tout un lot de Uxx
plus ou moins anciens sur les petits sites).
- en ouvrant tout (avec le support d'un intégrateur), nous n'arrivons
pas à monter le tunnel sur le PC, connecté sur l'un des port switch du U30.
Pour bénéficier d'un support plus cohérent, nous avons mis à la place du U30s
un CPS-L71, tout ouvert.
Nous constatons le même phénomène.
Avantage, nous avons pu ouvrir un ticket chez Checkpoint pour avoir des
éléments de résolution, sans que le support ne nous dise "c'est le Netasq".
Nous avons conservé cette configuration en atelier pour constituer un banc de
test, pour affiner (semaine prochaine ou suivante, la personne qui suit le
dossier partant en congé).
Nous avons sur notre site principal une liaison ADSL avec les mêmes
caractéristiques que les sites distants.
Nous allons tracer pour voir à quelle étape la négociation s'arrête.
Est ce lors de la négociation dynamique d'un port, ce qui traumatiserait la
partie firewall, ou autre.
Donc à suivre.
-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com]
Envoyé : vendredi 29 décembre 2017 14:38
À : Ville numérique <ville.numeri...@mairie-nanterre.fr>
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] client VPN Capsule checkpoint sur ADSL SFR -
difficulté
Rien à voir: Tu as donc un Checkpoint comme terminateur de tunnels derrière le
Netasq ?
Tu as pris une trace pour voir si tu recevais les paquets SSL/IPSec venant du
site distant chez SFR ?
Tu as vérifié si le site distant SFR pouvait atteindre ton site principal tout
court (icmp ou HTTP ou autre) ?
Tu as peut-être juste un problème de connectivité tout simple.
Le 28 déc. 2017 à 13:38, Ville numérique a écrit :
> Bonjour,
>
> Une question avant de recourir à Wireshark and co : Quelqu'un a-t-il
> rencontré (et résolu :) ) ce qui suit ?
>
> Nous avons des dizaines d'abonnements ADSL (écoles, centres de
> loisirs, etc), fournis par **SFR**
>
> Le filtrage et sécurité est assuré par des boitiers Netasq /
> stormshield Uxx [juste pour information, ils ne sont pas en cause,
> voir plus loin]
>
> Dans d'autres contextes nous utilisons des abonnements ADSL **Orange**, avec
> des box (travail à domicile, astreintes) ou routeurs.
>
> Pour accéder au réseau d'entreprise, dans ce dernier cas, nous montons un
> tunnel VPN via le client « Capsule » de Checkpoint (CPS),.
> Cela fonctionne aussi pour des itinérants, via partage 4G du smartphone.
>
> Nous avons envisagé pour une application particulière de faire **de même**
> dans les sites avec **ADSL SFR**.
> Or pas moyen de monter un tunnels VPN.
> Nous avons
>Bypassé les Netasq et mis des routeurs récents : pas de
> succès bypassé toutes les équipements intermédiaires, en remettant le
> modem fourni par SFR à l'origine. : pas de succès Agi sur le MTU, pour
> tenir compte du PPOE, etc Ouvert un ticket au support entreprise de
> SFR
>
> Si quelqu'un a une idée, ou a rencontré cela avec ADSL SFR, nous
> sommes preneurs
>
> Daniel MALGUY
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
