Доброго времени суток!
Сразу оговорюсь, проблема ИМХО в Чеке.
Так, что вопрос к тем кто реально делал сие, а не в теории.

Имеется:
-- пачка DFL (на выбор - 800/860/1600/1660/2500, бери любой)
-- шайтанкоробка - CheckPoint 1100

Требия:
Пробросить IPSec между шайтанкоробкой и DFL

Проблема:
мля, а вот проблема в "системе ниппель":
-- туннель подымается БЕЗ проблем, висит сутками без отвалов и всего прочего,
и Чек и ДФЛ - логируют/семафорят - работа туннеля корректна.
-- только вот одна мелочь - он работает В ОДНУ СТОРОНУ!!!
от сети за ДФЛ к сети за Чеком все проходит - вороти в сети Чека, что хочешь
а вот обратно НИЧЕГО, НОЛЬ, даже без палочки.
От сети Чека в сеть ДФЛ пакеты не идут НИКАК!

Что делали?:
-- меняли Чек на ДФЛ - все начинало исправно робить на техже условиях
(на базовом ДФЛ настройки/правила не трогали)
-- Тыкали вариации (из тех что доступно) туннеля на Чеке -- бесполезно

ИМХО:
при поднятии туннеля Чек не создает на него маршрут для пакетов, и кидает все на ВАН
Как заставить эту шайтанакоробку пропускать пакеты в туннель???
(блин, там так все убого и куцо - аж ппц, за что там такие деньги берут вообще)

З.Ы. Знаю, что немного не по профилю форума, но может кто делал уже такое и подскажет.
(на шайтанфоруме все такие умные аж противно )

а дайте ссыль на шайтам коробку ....


не соответствие .

как вариант .
1. запустить на любом компе в сети за чеком , пинг на сеть за дфл с -t . и в соединениях смотреть - прилетело ли что то ?
2. посмотреть посмотреть логи на DFL.
покажите . правила на DFL для туннеля .

больше идей нет , пока нет ...


ну и соснифте траффик на ван вашего чека , ну или хотя бы снимите трассу - куда завернет ваши пакеты для сети DFL.

а то пост так красиво начинался , и закончился ИМХО. Не кошерно для пользователя с таким набором железок , и думаю что знания выше уровня ДИРОК, и настройки PPTP Интернета

PS ну и выкладывайте что делали . может теоретически догадаемся что в вашем чеке тыкать

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

мануал? держите (в конкретном случае он локально развернут, централа нет и не будет)
https://www.checkpoint.com/products/110 ... index.html
http://dl3.checkpoint.com/paid/6a/CP_11 ... 3&xtn=.pdf
http://dl3.checkpoint.com/paid/fb/fbec6 ... 9&xtn=.pdf
https://www.cpug.org/forums/showthread. ... liance-FAQ
или почухать его желаете?
====================
шайтанкоробка - одним словом
в принципе это смесь ежа и ужа -- DIR-140L (по возможностям маршрутизации и т.п )
с прикрученой UTM и заточкой на централизованное управление,
т.е. полноценно маршрутить он вам не даст, вот например (наш любимый IPSec)
-- проблема в том, что при создании тоннеля, в списке роутов не появляются роуты на подсеть за ДФЛ
и добавить их туда никак - IPSec не есть интерфейс (как у ДФЛ) - только лан или ван
====================

Не прилетело. ДФЛ вообще ничего не видит "оттуда"
А в логах шайтана пусто на сей счет, куда деваются хз.

и чего их смотреть? если при неизменных правилах на "базе", на клиенте робят и ДФЛ и ДИР140
вот только шайтан не робит.

аналогично



Не, ну я кнешно, дурочка и блондинка, не отрицаю.
Но вот ДФЛ и кошаки у меня в любых вариациях робят, а это шайтанама никак
Может не так топик начала (или восприняли не так как задумывалось), просто правила ДФЛов отполированы
до блеска и сопли по ним жевать нечего. Тут блин иная религия однака, шайтанская,и вот в нее я еще не вкурила,
вот и спрашивала, мож у кого были знамения какие, где там волшебный раздел настроек


ну пока только еще болгаркой его не шлифанула, жаба давит (60Кр жалко), а такбы уже и...

так а трассу куда уводит ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Здесь мало обладателей шайтанамакоробок. Надо все-таки терзать участников на шайтанама-форуме.
Ну, или подождите полгода, ко мне 41я железка в полном обвесе приедет, будем вместе разбираться 😀

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Посмотрите как у Вас на чекпойнте настроен NAT и включено ли Proxy ARP. Я несколько раз видел такие "односторонние" туннели.