Hallo Dieter,

das ist IMHO kein HS-Thema, sondern eher ein Checkpoint-Thema. Auf die Schnelle kann ich dir keine Lösung anbieten, werde aber einen meiner Demo-HS kurzfristig mal ins Büro schleppen und nach Lösungen "fahnden".

Tipp: Setze dich mal mit den Administratoren zusammen! Es gibt ein Tool "SmartView Tracker". Damit lassen sich alle ein-/und ausgehenden Datenpakete visualisieren. Damit kann man dann ergründen, ob und warum einzelne Datenpakete von der FW geblockt wurden.

Würde ich auch so sehen. Stichpunkte für die ggf. relevanten Einstellparameter auf der SecurRemote-Seite (oder SecurClient, dann kommt noch eine lokale Firewall mit ggf. Filtern dazu) sind u.a. "Office-Mode" und "UDP-Kapselung", auch können es zu lange Datenpakete sein, die durch das Einpacken in den VPN-Tunnel entstehen. "NATten" ist bei manchen Zugriffen über den VPN-Tunnel auch ein Problem. Auch möglichst immer die aktuellste Version des Clients verwenden (z.Zt. NGX R60 HFA2).

Für vieles gibt es Einstellmöglichkeiten beim VPN-Client (oder der VPN-1 Firewall), würde aber hier zu weit führen und wäre nur Spekulation. Habt Ihr keine Euch betreuuende Firma, die das checken kann ?

Gruß
Hartmut

Erst einmal Danke für Eure Hilfe

1. Mittlerweile funktioniert das ganze auch über meinen DSL-Anschluss, nachdem der Router umkonfiguriert wurde. Aber eben nur, wie die UMTS-Sache.

Den Fehler bei der UMTS-Technik zu suchen, scheidet jetzt aus.
Der wirklich fähige Administrator der Gegenseite und der wirklich fähige Mann von GIRA haben schon heute sehr viel Zeit damit verbracht, daß das Problem gelöst wird, leider hatten Sie noch keinen Erfolg.

Als Client habe ich den NGX R60 HFA1 (Build 019) erhalten.

Eine Firma, die diese Software supportet kenne ich leider nicht, werde aber mal im IE suchen.

Halte Euch auf dem laufenden.

Gruß
Dieter

Hallo Dieter,

ein paar Versuche, die können eigentlich nix kaputt machen:

Versuche einmal den aktuelleren Client. Gibt es zum kostenlosen Download unter http://www.checkpoint.com/downloads/index.html

Ein Update auf die neue Version erhält die Einstellungen, die bisher gültig waren.

Alternativ / zusätzlich könntest Du folgende Einstellungen ausprobieren (wenn es nichts bringt, dann wieder in den Ursprungszustand zurückstellen):

Rechte Maustaste auf das Checkpoint-Symbol in der Taskleiste -> Einstellungen -> Standort/Profil markieren -> Eigenschaften-Knopf -> Erweitert-Tabulator [Anmerkung: Kann auch anders aussehen, je nach Sprach- und Userlevel-Einstellung]:

Ich würde dann "Erweiterte Verbindungsmöglichkeiten" und "NAT-Tunnel verwenden" aktivieren. Darunter auch beide Haken "IKE über TCP und "UDP-Kapselung erzwingen". Insbesondere das letzte ist einen Versuch wert.

Office-Mode wäre auch ein Versuch, dass muss aber an der Firewall selbst freigegeben und konfiguriert sein.

Wenn nichts fruchtet, dann halt alle Einstellungen wieder zurück (vorher notieren). Deinstallation des Clients auf die alte Version geht aber leider nicht so einfach ...


Grüße
Hartmut

Es gibt Neuigkeiten

Hallo Michel,
Hallo Hartmut,

wollte Euch nur mitteilen, daß ich den HS nicht mehr von dem Rechner über Netzwerk programmieren kann, auf dem der Checkpoint-Client installiert ist.
Habe das Notebook (das auch die UMTS-Verb. hersgestellt hat) über LAN getestet, dann meinen Desktop-PC. Beide haben nicht funktioniert.
Dann habe ich noch ein Notebook (ohne Checkpoint) getestet - siehe da, es hat funktioniert.

Es gibt in Deutschland keinen Support für dieses Programm.

Wollte ich Euch nur mitteilen.
Schönes WE

Dieter

Hallo Dieter,

ich weiß nicht, ob Du das Thema hier weiter diskutieren willst (da wahrscheinlich nicht direkt EIB bezogen) und wie wichtig es Dir ist.

Ich würde Dir gerne (wenn gewünscht) noch Anregungen geben (habe beruflich mit Checkpoint zu tun), aber es fehlt halt an Infos.

Deine Aussage kann man aber nicht so stehen lassen: Nicht wenige Firmen verdienen Ihren Unterhalt mit IT-Security und der selbsternannte Marktführer Checkpoint spielt dort nicht unwesentlich mit. Es gibt halt keinen (kostenlosen) Support für diese Art Fragen, die mehr eine Konfigurationsproblematik als ein Produktsupport-Thema sind.

Generell sollte ein Unternehmen, das eine Checkpoint-Firewall einsetzt, einen Support-Vertrag für regelmäßige Aktualisierungen der Software als auch eine betreuende Firma (oder eigenes Knowhow) für Konfigurationsänderungen und sonstigen Support haben. Alles andere ist (auch bei einem Sicherheitsprodukt) grob fahrlässig.

Ich habe es so verstanden, dass einer Deiner Kunden Checkpoint einsetzt, (von Dir) einen Homeserver hast und Du den auch aus Deinem Büro konfigurieren willst. Für den Zugang haben Sie Dir den Checkpoint-Client gegeben / (installiert ?) und jetzt funktioniert nicht alles über den VPN-Tunnel. Irgendwer muss da "mehr" über die eingesetzte Konfiguration und das Regelwerk wissen, da soltest Du nochmals nachhaken. In kleinerem Rahmen kann ich gerne helfen (vielleicht zusammen im Chat ?), aber ohne genaue Randbedingungen und insbesondere auch gleichzeitigen Blick auf die Firewall-Logs bleibt das nur Rätselraten.

Du kannst die aktuellen Verbindungsprobleme auf Deinen beiden Geräten mit Checkpoint-Client sicher dadurch lösen, dass Du in der Netzwerkumgebung das entsprechende Protokoll von Checkpoint "abhakelst", dann sollte zumindest bei direkter Verbindung wieder alles gehen, da der Client dann nur "passiv" auf Deinen PCs rumliegt.

Gruß
Hartmut

Dieses Problem ist immer wieder zu beobachten, nicht nur bei einer Verbindung von einem Pc über VPN zum Hs sondern generell bei "Tunnelen".

VPN ist eben nicht VPN

PPTP VPN , leichte Verschlüsselung (40 bit), "schwere" Verschlüsselung (128 bi)


IPSec, mit 3DES, 3DES_COMP, 3DES_PFS, 3DES_PSF_COMP, ACM, AES, BLOWFISH, MS....

RSA, PSK, X.509

RSA Schlüssel mit 512bit, 1024 bit, ... 4096 bit

L2TP

Zertifikate... und und und...



und da blicken manchmal selbst die "Profis" nicht mehr durch und so manche Verbindung "geht in die Hose" oder kommt erst gar nicht zustande.

Da werden Daten-Pakete als IKE definiert und dann bricht die Verbindung ab oder gar nicht...


Meistens kann nur der Netz-Admin helfen, der für die Firewall/VPN im Netz zuständig ist... ggf. auf ein "anderes" VPN ausweichen - im schlimmsten Fall den HS ins "Feuer" -> DMZ stellen... (kann man auch "sicher" machen)...


oder "Vor Ort" programmieren

Erstmal vielen Dank,

bin halt kein IT-Security Spezialist. HS habe ich auch noch nicht soviele gemacht. Ich suche den Fehler halt immer zuerst bei mir.

Einen anderen Tunnel werde ich wohl nicht bekommen.
Für GIRA ist die ganze Sache jedenfalls sehr spannend.

Evtl. werde ich zum Umkonfigurieren auf ISDN ausweichen müssen.

Bis vor einige Tagen kannte ich nur Checkpoint Charlie.

Das das ein Marktführer ist, war mir nicht bewusst.

Ich halte Euch auf dem laufenden.

Gruß
Dieter

Hallo Dieter,

es gibt da noch, wie von Alfred schon angedeutet, die Möglichkeit einen zusatzlichen VPN-Tunnel zu graben, der auch durch die Checkpoint-Firewall grabt: das Stichwort hier lautet openvpn.

Habe ich jetzt auch bei mir eingerichtet, da ein VPN-Tunnel zu mir nach Hause durch die Checkpoint-FW auch nicht möglich war.
Jetzt lauft´s!