[CheckPoint] des paquets ICMP bypassent le VPN

Il vient de m’arriver un sale bug qui m’a occupé 2h lors d’une formation Checkpoint : autant en faire profiter tout le monde !

Lorsque la règle implicite « Accept ICMP requests » est activée (cf menu « Global properties« ), les pings entre deux réseaux – reliés par un VPN – n’empruntent plus ce VPN !!

Après avoir sniffé l’interface externe, on voit bien les paquets ICMP sortirent NATés et non encapsulés, comme si les règles VPN (basées sur la topologie) n’existaient pas.

J’ai reproduit ce bug sous VPN-1 R71.10, mais également sous R75.20 !

Le tunnel était ok, car les flux TCP passent sans aucune difficulté.

En désactivant cette option, le ping passe enfin via le VPN !!

Après recherche j’ai trouvé un vieux post qui traitait de cela en R65 :  http://www.cpug.org/forums/vpns-virtual-private-networks/12585-icmp-packet-doesnot-go-vpn-tunnel.html

Je peux donc confirmer que ce bug est toutjours en vie…

 

Conclusion : ne pas activer d’autre règle implicite que celle d’interconnexion des éléments Checkpoint.ikoni

Post to Twitter

Posted in | Tagged , , , | Leave a comment

Cisco Ununified Communications

иконографияКартиниUne typo dans le titre ? Non …

Nous profitons d’un fin de mission de MOA sur une infrastructure de téléphonie Cisco pour mettre en exergue les axes qui, selon nous, méritent d’être améliorés (en terme d’unification), dans la solution de communications unifiées Cisco.

Posons le décor :

  • Pas d’intégration Active Directory
  • Cisco Unified Call Manager 8.0.3 (Cluster 4 noeuds)
  • Cisco Unity Connection (Cluster 2 noeuds)
  • Cisco Unified Enterprise Attendant (non redondé)
  • Utilisation d’Extension Mobility

Ci-dessous notre wishlist (noël est passé mais sait-on jamais …)

Credentials en pagaille

Pour un utilisateur lambda, l’utilisation quotidienne de son téléphone lui en coutera l’apprentissage de 4 nouveaux mots de passe. Lesquels ? voilà la liste :

  • Password utilisateur de Cisco Unified Call Manager
  • PIN utilisateur de Cisco Unified Communication Manager
  • Password utilisateur de Cisco Unity Connection
  • PIN utilisateur de Cisco Unity Connection

иконииконописikoniсвети георги

Post to Twitter

Posted in | Tagged , , | Leave a comment

Serveur DHCP BIND et IP secondaire

Dans certains cas extrêmes, il peut arriver qu’un serveur DHCP BIND doive distribuer des IPs dans le réseau de son IP secondaire.
Dans ce cas , il faut utiliser la directive « shared-network » de façon à englober la définition des 2 réseaux dans le named.conf :

shared-network  {
        # réseau primaire Eth0
        subnet 192.168.1.0 netmask 255.255.255.00 {
        }
       # réseau secondaire Eth0:1
       subnet 192.168.2.0 netmask 255.255.255.0 {
       range 192.168.2.101 192.168.2.200;  
       option routers 192.168.2.1;
       option domain-name-servers 192.168.1.241, 192.168.1.242;
       }
}

Подаръцивик услугиИдея за подаръкикониикониПравославни икони

Post to Twitter

Posted in | Tagged , | Leave a comment