Il vient de m’arriver un sale bug qui m’a occupé 2h lors d’une formation Checkpoint : autant en faire profiter tout le monde !
Lorsque la règle implicite « Accept ICMP requests » est activée (cf menu « Global properties« ), les pings entre deux réseaux – reliés par un VPN – n’empruntent plus ce VPN !!
Après avoir sniffé l’interface externe, on voit bien les paquets ICMP sortirent NATés et non encapsulés, comme si les règles VPN (basées sur la topologie) n’existaient pas.
J’ai reproduit ce bug sous VPN-1 R71.10, mais également sous R75.20 !
Le tunnel était ok, car les flux TCP passent sans aucune difficulté.
En désactivant cette option, le ping passe enfin via le VPN !!
Après recherche j’ai trouvé un vieux post qui traitait de cela en R65 : http://www.cpug.org/forums/vpns-virtual-private-networks/12585-icmp-packet-doesnot-go-vpn-tunnel.html
Je peux donc confirmer que ce bug est toutjours en vie…
Conclusion : ne pas activer d’autre règle implicite que celle d’interconnexion des éléments Checkpoint.ikoni