Za pomocą produktów firmy Check Point w łatwy i szybki sposób można zestawiać VPN-y. Co jednak, gdy mamy działający VPN typu Site-to-Site VPN a zmienił się adres IP dla VPN Gateway podanego w konfiguracji tegoż site’a? Gdy konfigurujemy Edge Appliance za pomocą interfejsu WWW i zmienimy w konfiguracji VPN-u adres na nowy może okazać się, że Edge dalej wysyła ping do starego adresu IP.
W takiej sytuacji Check Point SmartView Tracker wyświetla odrzucane co 30 sekund próby połączenia ICMP przychodzące od naszego Edge’a a wysyłane w kierunku nieaktualnego adresu IP.
Gdy nawet po restarcie Edge’a sytuacja nie ulega zmianie spowodowane jest to nieaktualnym wpisem w ustawieniach Site-to-Site VPN, którego nie można zmienić za pomocą interfejsu WWW. Pomocna wtedy okazuje się możliwość konfiguracji urządzenia Edge przez SSH.
Aby zmienić adres IP, do Edge’a logujemy się za pomocą ulubionego klienta usług SSH (np. PuTTY) i wydajemy komendę:
show vpn sites
W efekcie zobaczymy ustawienia naszych wszystkich site’ów VPN. Szukamy dla którego site’a ustawienia keepalive-settings wskazują na niewłaściwy IP. Najczęściej będzie to site o numerze 1. Dla pewności możemy wydać komendę:
show vpn sites 1 keepalive-settings
Gdy potwierdzi się fakt błędnego wpisu zmieniamy go komendą:
show vpn sites 1 keepalive-settings ip1 xxx.xxx.xxx.xxx (gdzie 1 jest numerem site’a a xxx.xxx.xxx.xxx jest prawidłowym, nowym adresem IP)
Po restarcie Edge’a SmartView Tracker nie powinien już wyświetlać niepożądanego ruchu przychodzącego od naszego Edge’a.
Komentarz