CheckPoint. Разрешение PPTP подключений во вне

При попытках подключения из внутренней сети ко внешним VPN серверам по протоколу PPTP через CheckPoint соединение может не устанавливаться. При том происходит это через раз. Проблема заключается в том, что IPS не может разобрать шифрованный PPTP/GRE трафик, поэтому закрывает данное соединение.
Симптомы проблемы:
1) При прохождении GRE через CheckPoint Gateway трафик не натируется
2) Сбой подключения PPTP, во время установки шифрованного GRE канала через Hide-NAT CheckPoint
3) PPTP/GRE трафик перестает проходить после включения SecureXL Optimized Drops

Причины проблемы:
Одна из основных причин — это то, что GRE протокол не использует порты для установки подключения шифрованного соединения, поэтому CheckPoint не может разобрать его пакеты

Решение проблемы:
Необходимо включить соответствующий пункт в IPS для того, чтобы CheckPoint смог разобрать GRE/PPTP трафик и выпустил его через Hide-NAT
1) Создать правило, разрешающее прохождение PPTP трафика из локальной сети во вне (если такого правила нет, конечно)
2) На CheckPoint шлюзе необходимо включить IPS блейд
Включение IPS блейда на CheckPoint Gateway

3) Переходим на вкладку IPS, слева разворачиваем пункт «Protection«, выбираем «By Type»
4) В поле «Look for» вводим PPTP
Настройка IPS в SmartDashboard

5) Открываем свойства двойным кликом
6) Редактируем политику, которая установлена (Default_Protection по умолчанию)
7) Устанавливаем Detect в поле «Override IPS policy with»
Установка детектирования PPTP трафика

8) Сохраняем и применяем политику на шлюз

Сразу хочу предупредить, что лицензия на  IPS блейд покупается отдельно 

Оригинальная статья доступна по ссылке

You may also like...