Checkpoint vpn client windows 10 настройка

Обновлено: 05.07.2024

В статье описывается настройка Check Point для подключения к Remote Access VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

  1. Пользователь подключается к VPN, вводит логин и пароль в клиенте Remote Access;
  2. Check Point NGFW подключается к компонету MultiFactor Radius Adapter по протоколу RADIUS;
  3. Компонент либо Check Point NGFW проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в клиенте Remote Access VPN (Endpoint Security/MAB).

Настройка Check Point NGFW

Запустите консоль управления SmartConsole.

Настройка RADIUS сервера

Необходимо создать новые объект сервера Radius.

  1. С правой стороны, в разделе объектов, выбрать пункт New > Server > More > RADIUS и выполнить следующие настройки:
    • Название: Multifactor Radius Server;
    • Host: адрес компонента MultiFactor Radius Adapter (создайте новый объект или выберите существующий);
    • Service: NEW-RADIUS (port 1812);
    • Shared Secret: из настроек компонента;
    • Verison: RADIUS Ver. 2.0;
    • Authentication method: PAP.


Настройка Remote Access VPN в Check Point

  1. Откройте настройки объекта шлюза безопасности Check Point, раздел Mobile Access -> Authentication. Откройте Settings:
    • Allow newer clients that supports Multiple Login Options to use this authentication method: да;
    • Authentication method: RADIUS;
    • Server: Multifactor Radius Server.
  1. Повторите настройку для VPN Clients -> Authentication. В итоге конфигурация в обоих разделах должна выглядеть следующим образом:

Настройка группы пользователей

С правой стороны, в разделе объектов, выбрать пункт New > More > User > Access Role. Задать параметры для нового объекта и указать источник данных о пользователях.

Настройка политики доступа

В разделе Security policies > Policy > создайте новую политику для доступа пользователей Remote Access VPN к внутренней сети:

  • Source: <Созданная раннее Access Role>
  • VPN: RemoteAccess

Настройка таймаута RADIUS сервера


  1. Нажмите на иконку в левом верхнем углу, выберите Global Properties -> Advanced -> Configure -> FireWall-1 -> Authentication -> RADIUS
  2. Увеличьте radius_retrant_timeout до 60 секунд.

В условиях последних нововведений, ВПН стали еще более распространенными, чем раньше. Но если говорить о корпоративной работе, Checkpoint VPN является важным «софтом», который обеспечивает надежную связь между терминалами VPN и специальными шлюзами безопасности.

Общая информация

Для компаний, CheckРoint VPN Client является отличным корпоративным решением, поскольку имеет следующие преимущества:

  • Улучшение корпоративных сетей в разрезе безопасности настройки и расширения;
  • Обеспечение безопасности в сфере удаленного доступа к корпоративной сети;
  • Удобная связь между единичными удаленными юзерами и целыми филиалами, бизнес-партнерами.

Компоненты, объединяющиеся в Checkpoint vpn client

Для нас, check point vpn – определенная программа, но работоспособность достигается посредством слаженной работы следующих компонентов:

В совокупности они и дают ту работу, которая необходима в каждом конкретном случае.

Внедрение Check Point VPN Client

Внедрение CheckPoint VPN Windows 10, да и других операционных системах, обеспечивает формирование надежных соединений между всеми удаленными клиентами и шлюзами безопасности.

Зачастую для корпоративных целей внедряются VPN – сообщества, которые создаются надстройкой над специальными туннелями, между шлюзами безопасности, входящими в корпоративную сеть.

Для того чтобы создать дополнительные безопасные туннели для удаленных от коммерческой сети пользователей, создаются отдельные VPN – сообщества с удаленным доступом для каждого нового клиента.

Настройка vpn checkpoint

Для того, чтобы произвести настройку специального соединения между устройством и шлюзом, необходимо:

  • Произвести настройку VPN и терминала (введение названия шлюза, его платформы и IPv4 адреса через консоль);
  • Настроить с VPN взаимодействующее устройство (присваиваете имя шлюзу и выбираете его в соответствующем меню, а также IP-адрес. В меню Meshed Community Properties вводите название VPN-сообщества);
  • Определить для устройства совместимый домен шифрования VPN;
  • Создание правил для трафика во вкладке меню «Policy»;
  • Завершение процедуры и исправление ошибок (процедура настройки будет готова, когда установлена политика, безопасность соединения обеспечивается отлично и исправлены проблемы checkpoint endpoint security vpn).

Вот список проблем, которые могут возникать:

  • Снижение трафика шлюза на 1\3, после того, как позиция внутреннего IP-адреса была установлена как настройка основного IP. В таком случае основным IP установить внешний IP-адрес шлюза.
  • Создание IKE ключей было успешно, но трафик шлюза был остановлен. В таком случае отключите NAT-T во вкладке меню IPSec VPN и настройте IKEv2. Если это не сработало, отключите IKEv2 и передайте настройки IKEv1.

После того, как проблемы устранены, настройку CheckPoint VPN Client можно считать выполненной.

Если вы хотите построить Site-to-site VPN, выбирая «железо», то необходимо знать и понимать все особенности.

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

  • Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
  • Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:

  • VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
  • Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
  • WAF: Barracuda WAF;
  • DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

  • Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
  • Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx);
  • Реализация любых других решений: AlienVault (SIEM).

Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца!

Если вы хотите построить Site-to-site VPN, выбирая «железо», то необходимо знать и понимать все особенности. В этой статье будут описаны достоинства и недостатки установки данного оборудования в офисах, приведены модели Check Point, используемые в тех или иных сегментах, а также некоторые советы и лайфхаки по построению VPN-сети.

Общительный Check Point.

За счет использования IPSec туннеля данное оборудование способно работать с другими производителями (тем же самым cisco, например). Но необходимо учитывать некоторые нюансы касательно этого: правильная настройка фаз. Вот пример:


С этими параметрами все должно работать нормально.

Оборудование для сетей с наличием филиалов.

Выбирая устройство для построения сети, необходимо учитывать два способа развития событий.

Check Point

Все просто – ставим их железо в центральный офис и филиал. За счет единого центра управления, довольно легко и просто настраивать оборудование «везде и сразу». Подробнее об их центре управления мы писали ранее, повторно описывать не будем.

Подчеркнем лишь в очередной раз, как упрощается система администрирования всех устройств, находящихся далеко друг от друга территориально. Также это ускоряет процесс настройки VPN.


Если все так хорошо, почему хочется сказать маленькое «но»? Наверное потому, что если использование Check Point в большом предприятии – вполне разумно и логично, то затраты на его покупку могут себя не оправдать при работе в маленьком офисе. Да, управлять им – удобно. Но бОльшая часть функций будет необходима только для настроек в головном офисе. Такие дела.

Check Point +..

Второй способ решает проблему первого, так как в маленьком офисе теперь не нужно ставить дорогостоящее железо. Хватит любого другого, который поддерживает IPSec. Вот только теперь появляется вопрос – а что, все настройки вручную прописывать? Да, скажем больше – увеличение сети также приведет к ручной работе немаленьких масштабов. А еще вам недоступно резервирование VPN-канала. То есть, если все накроется, то накроется конкретно.

Но если не говорить о грустном, то все нужно решать по ситуации. Для большого бизнеса действительно намного проще использовать первый способ. Да, вы потратитесь на оборудовании, но зато сэкономите на убытках, если вдруг что-то сломается. Зато для небольшого предприятия, у которого мало отдельно стоящих филиалов – вполне можно использовать второй способ.

Выход в сеть для филиалов.

При настройке VPN для филиалов, необходимо учитывать, как и ранее, два способа развития.

Первый дает больше свободы, так как все филиалы способны спокойно выходить в сеть, используя VPN лишь для связи с головным офисом (при подключении к корпоративному порталу, например). Плюс в этом – если что-то случится с оборудованием в головном офисе, то филиалы (сильные и независимые) продолжат функционировать в привычном режиме. Будет ограничен только доступ к корпоративным порталам.

Минус во всем этом есть, и он большой. Значительно усложняется настройки безопасности для всей сети в целом, поскольку нужно настроить политики для каждого офиса отдельно. Причем для каждого, как вы понимаете, «нельзя халявить». Единственный выход из этого минуса – поставить везде один Check Point (так как с одним железом проще настраивать несколько офисов, как вы помните). Мониторинг логов и безопасности будет отражен в едином отчете, а настройки политик безопасности будут происходить централизован.

Второй способ не дает свободы вообще и используется исключительно при небольшом количестве филиалов.

Заключается он в том, что весь «удаленный» трафик идет на головной офис, и только там попадает в сеть Интернет. Да, значительно упрощается настройка политик безопасности, так как все они предназначены только для центрального офиса, можно покупать любое оборудование для удаленной сети (опять же, единственное требование – поддержка IPSec).

Но важно понимать, если что-то пойдет не так в головном офисе, то вся сеть падет намертво. Ну и при масштабируемости сети все не так гладко, как хотелось бы. Дополнительно необходимо рассчитать параметры оборудования, устанавливаемого в центральном офисе, с учетом всего трафика, приходящего из филиалов.

Лицензии

В статье уже описывались способы экономии на закупке оборудования. Но еще есть способ потратить значительно меньше на приобретение лицензии. Например, если в филиалах у вас установлен check point и нуждаетесь вы исключительно в VPN, можно воспользоваться блейдом IPSec VPN (он не лицензируется).

Также, если вы уверены в силах своих администраторов и надежности покупаемого оборудования, то можно не тратиться на сервис тех.поддержки. Тут, конечно, выбор каждого. Но бывают случаи, когда данный сервис экономически выгоднее, чем покупка нового оборудования, например.

Малый бизнес

Check Point хорош еще тем, что может подойти не только для крупной организации. Ранее уже обсуждались преимущества его установки в маленьких удаленных филиалах с центральным управлением из сервера управления в головном офисе. Такие модели устройств могут использоваться в небольших организациях:


То есть для небольших офисов, как правило, используются модели 5000, 3000, 1400 (для совсем маленьких). Все необходимые функции в них присутствуют.

Топологии VPN

Разобравшись с «железом», можно приступать к более техническим деталям и поговорить о VPN.

Check Point для VPN использует топологии Star и Mesh.

При построении «звезды» VPN-каналы от удаленных сетей идут в центр. То есть, даже если одному филиалу нужно сконнектиться с другим, то трафик сначала пойдет в центральную точку. И тем не менее, данная топология используется чаще всего. И вторая топология подразумевает собой соединение каждого устройства друг с другом. Выглядит это примерно так:


Никто не запрещает при этом соединять две топологии в одну.


Т.е. создать несколько топологий Star через одну Mesh. Довольно удобно при наличии большого количества филиалов.

Непосредственно VPN

Теперь можно смело переходить к преимуществам VPN, если во всех офисах установлены Check Point-ы.

Во-первых, главная особенность - наличие двух туннелей на выбор.

Domain Based.

Суть в том, что в настройках всех устройств необходимо указать локальные сети филиалов. За счет единого центра управления они будут принимать настройки в автоматическом режиме вне зависимости от топологии сети. Достаточно легкий и удобный способ.


Route Based.

Здесь все сложнее. Как раз для любителей хард-кора и cisco. На шлюзе создается виртуальный туннельный интерфейс (VTI) и поднимается VPN-канал с туннельными адресами. Шифрование происходит именно для того трафика, который идет в туннель. Если настроить еще и OSPF, то устройства в автоматическом режиме будут отправлять нужный трафик в нужный туннель.

Как видите, первый вариант намного проще. Но тут, опять же – каждому свое, и необходимо смотреть по ситуации.

Еще немного о VPN

  1. Есть два способа построения VPN- используя сертификаты и на базе pre-shared key. Тут уж выбор за каждым, важнее другое – наличие в Check Point интегрированного центра сертификации. Он занимается автоматической генерацией сертификатов для шлюзов, которые к нему подключены. Можно еще воспользоваться чужим центром сертификации, но это – лишняя работа.
  2. Теперь поговорим немного об отказоустойчивости. Если в головном офисе и филиалах установлены check-point’ы, то можно сделать два сетевых канала, один из которых будет резервным. Не стоить забывать о такой возможности.
  3. Мы уже писали ранее о лицензии, особенно о том, как на них можно сэкономить. Суть в том, что сервер управления безопасностью тоже подлежит лицензированию по количеству управляемых устройств. Целый кластер идет как два устройства – это тоже необходимо учитывать при планировании бюджетных средств.

Еще можно добавить к этому и другие возможности VPN от check point, как например: поддержка туннеля без трафика, правила безопасности отдельно для нешифрованного трафика, исключение некоторых типов данных из туннеля и т.п.
Но сейчас мы пытались указать на общее преимущество VPN от данного производителя, и надеемся, что это удалось.

date

13.12.2019

directory

Windows 10

comments

комментариев 6

зависает vpn подключение в Windows 10 1903

Не появляется запрос пароля для L2TP VPN подключения

Такое ощущение, что в этом диалоге VPN подключения почему-то блокируется вывод окна с запросом данных пользователя. В результате VPN подключение никак не может завершиться

Есть обходное решение этой проблемы. Попробуйте использовать для установления VPN подключения старую-добрую Windows утилиту rasphone.exe, которая все еще присутствует в современных версиях Windows 10 (эта утилита должна быть знакома всем тем, кто пользовался dial-up подключением в Windows).

Для удобства пользователей вы можете вынести ярлык на rasphone.exe на рабочий стол. Для автоматического подключения вы можете указать в настройках ярлыка имя вашего VPN подключения так: C:\WINDOWS\system32\rasphone.exe -d "VPN Name" (название VPN подключения можно взять из Control Panel -> Network Adapters и взять его в кавычки, если оно содержит пробелы в имени).

автоматическое vpn подключение rasphone.exe -d

Что интересно, проблема возникает только c L2TP подключением (даже при включенном настроенном параметре реестра AssumeUDPEncapsulationContextOnSendRule = 2). Другое VPN подключение на этом же компьютере, но с протоколом PPTP и типом аутентификации MS-CHAP v2 работает нормально

Ошибка RASMAN для Always on VPN

Другая проблема возникает с VPN подключением к корпоративной сети в режиме Always on VPN (AOVPN). При инициализации такого VPN подключения служба RASMAN (Remote Access Connections Manager) останавливается, а в журнале событий Application появляется событие с Event ID 1000 и текстом:

ошибка RASMAN 0xc0000005Faulting application name: svchost.exe_RasMan…”, “Faulting module name: rasmans.dll

Если обновление не исправило проблему, попробуйте переустановите виртуальные адаптеры WAN miniports в диспетчере устройств.

  1. Запустите Device manager (devmgmt.msc);
  2. Разверните секцию Network Adapters
  3. Последовательно щелкните правой кнопкой по следующим адаптерам и удалите их (Uninstall device): WAN Miniport (IP), WAN Miniport(IPv6) и WAN Miniport (PPTP).
  4. После удаления выберите в меню Action -> Scan for Hardware changes и дождитесь, пока Windows не обнаружит и не установит драйвера для этих виртуальных устройств;
  5. После этого сбросьте сетевые настройки Windows 10 : Settings -> Network & Internet -> Network Reset -> Reset now;
  6. Теперь вам нужно пересоздать ваши VPN подключения (Руководство по VPN для начинающих) и проверить подключение.

Изначально проблема с режимом Always on VPN подключением была связана с тем, что пользователь отключил на компьютере телеметрию (эх, Microsoft). Для корректной работы Always on VPN подключения вам придется временного включить телеметрию на компьютере. Для включения телеметрии вы можете воспользоваться одним из способов, описанных ниже.

Способ 1. Откройте редактор локальных политики (gpedit.msc) и перейдте в секцию Computer Configuration -> Administrative Templates –> Windows Components -> Data Collection and Preview Builds.

политика Allow Telemetry в windows

Найдите и включите политику Allow Telemetry = Enabled. Установите один из следующих режимов: 1 (Basic), 2 (Enhanced) или 3 (Full).

Способ 2. Того же самого эффекта можно добиться, вручную изменив параметр реестра AllowTelemetry (тип REG_DWORD) в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection. Здесь также нужно установить одно из трех значение: 1, 2 или 3.

Вы можете изменить этот параметр с помощью редактора реестра (regedit.exe) или с помощью PowerShell-командлета New-ItemProperty:

New-ItemProperty -Path ‘HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection\’ -Name AllowTelemetry -PropertyType DWORD -Value 1 –Force

включить AllowTelemetry через реестр

После этого нужно перезапустить службу Remote Access Connection Manager (RasMan) через консоль services.msc или с помощью командлета Restart-Service:

Restart-Service RasMan -PassThru

При одключении от VPN пропадает Интернет

Также в Windows 10 был другой баг, когда после отключения от VPN переставал работать доступ в Интернет. Проблема решалась созданием маршрута по-умолчанию или отключением/включением виртуального адаптера WAN Miniport (IP).

Читайте также: