Ошибки при работе с Check Point: первая установка политик, подключение WinSCP и проблема при построении S2S VPN
→ Распространённые ошибки при работе с Check Point, часть 1
1
Проблема при построении S2S VPN
Данная проблема может быть связана с тем, что операционная система на оборудовании Check Point не была переустановлена.
Решение:
Как только оборудование Check Point прибывает к вам: в первую очередь нужно переустановить операционную систему на данном устройстве. Это нужно делать потому, что оборудование Check Point завозится в Россию с урезанным шифрованием (т.е будет доступен только алгоритм шифрование DES).
Чтобы установить новую операционную систему, нужно скачать ISOmorphic tool и образ операционной системы. Образ монтируется на флешку с помощью ISOmorphic tool. Вам остается только вставить флешку в устройство и перезагрузить его.
Данная проблема может быть связана с тем, что операционная система на оборудовании Check Point не была переустановлена.
Решение:
Как только оборудование Check Point прибывает к вам: в первую очередь нужно переустановить операционную систему на данном устройстве. Это нужно делать потому, что оборудование Check Point завозится в Россию с урезанным шифрованием (т.е будет доступен только алгоритм шифрование DES).
Чтобы установить новую операционную систему, нужно скачать ISOmorphic tool и образ операционной системы. Образ монтируется на флешку с помощью ISOmorphic tool. Вам остается только вставить флешку в устройство и перезагрузить его.
! Для шлюзов семейства Quantum Spark (SMB) нужно отформатировать флешку в FAT32 и поместить файл прошивки (.img). Затем вставить флешку в устройство и перезагрузить его.
2
Ошибка при попытке в первый раз установить политику
Пример ошибки:
Пример ошибки:
Решение:
Когда шлюз заводится под управление менеджмент сервера, на нём отсутствуют политики, и для начала работы нужно установить политику Access Control. После этого можно устанавливать Threat Prevention.
Также нужно действовать, когда со шлюза была выгружена политика (fw unloadlocal). Но в этом случае ещё придётся отключить акселерацию установки политики.
При установке политики нужно нажать правой кнопкой по обозначению шлюза и поставить галочку «Do not use Install Policy Acceleration for all target»
Когда шлюз заводится под управление менеджмент сервера, на нём отсутствуют политики, и для начала работы нужно установить политику Access Control. После этого можно устанавливать Threat Prevention.
Также нужно действовать, когда со шлюза была выгружена политика (fw unloadlocal). Но в этом случае ещё придётся отключить акселерацию установки политики.
При установке политики нужно нажать правой кнопкой по обозначению шлюза и поставить галочку «Do not use Install Policy Acceleration for all target»
3
Ошибки подключения по WinSCP к устройству
К оборудованию Check Point нужно подключаться по протоколу SCP.
При подключении может возникнуть данная ошибка:
К оборудованию Check Point нужно подключаться по протоколу SCP.
При подключении может возникнуть данная ошибка:
Эта ошибка указывает на то, что WinSCP не знает оболочку.
Причина проблемы: На устройствах Check Point по умолчанию стоит оболочка clish.
Решение:
Для того чтобы мы смогли подключиться по WinSCP нужно сменить оболочку у пользователя, под которым мы хотим подключиться.
Сменить оболочку можно на Web портале. Для этого пройдите в User Management > Users >.
Затем выберите нужного пользователя и нажмите Edit, далее вам нужно сменить оболочку на /bin/bash:
Причина проблемы: На устройствах Check Point по умолчанию стоит оболочка clish.
Решение:
Для того чтобы мы смогли подключиться по WinSCP нужно сменить оболочку у пользователя, под которым мы хотим подключиться.
Сменить оболочку можно на Web портале. Для этого пройдите в User Management > Users >.
Затем выберите нужного пользователя и нажмите Edit, далее вам нужно сменить оболочку на /bin/bash:
Также оболочку можно изменить из командной строки:
В режиме clish
set user <имя пользователя> shell /bin/bash
обратно set user <имя пользователя> shell /etc/cli.sh
В режиме expert
chsh -s /bin/bash <имя пользователя>
обратно chsh -s /etc/cli.sh <имя пользователя>
Для устройств Quantum Spark (SMB) в режиме expert:
bashUser on
Обратно: bashUser off
В режиме clish
set user <имя пользователя> shell /bin/bash
обратно set user <имя пользователя> shell /etc/cli.sh
В режиме expert
chsh -s /bin/bash <имя пользователя>
обратно chsh -s /etc/cli.sh <имя пользователя>
Для устройств Quantum Spark (SMB) в режиме expert:
bashUser on
Обратно: bashUser off
