.

iT邦幫忙

0

checkpoint r82 cluster fail

  • 分享至 

  • xImage

小弟正自學r82 cluster lab,但總是建不起來,以下是我的操作步驟,還請大大們教學,感激不盡!
1)拓樸
https://ithelp.ithome.com.tw/upload/images/20241219/20142793O7aqvb5Prv.png

2)我的cp1 & cp2僅安裝gateway、並勾選clusterXL;反之sms僅安裝management。
https://ithelp.ithome.com.tw/upload/images/20241219/20142793eKZckBs6nS.png

3)sms已成功納管cp1 & cp2
https://ithelp.ithome.com.tw/upload/images/20241219/201427935vhEvjjV5j.png

4)建立cluster
https://ithelp.ithome.com.tw/upload/images/20241219/20142793GRJCrlrKwO.png

5)增加cp1 & cp2作為cluster members
https://ithelp.ithome.com.tw/upload/images/20241219/20142793QulIatJMzH.png

6)clusterXL預設值
https://ithelp.ithome.com.tw/upload/images/20241219/20142793oFltWosGQ6.png

7)cluster所有介面設定
https://ithelp.ithome.com.tw/upload/images/20241219/201427931vUvOp07I6.png

8)重點來了! 在publish後(發布成功),我不知道哪個步驟錯誤,不但無法做cluster,連cp1 & cp2也失聯
https://ithelp.ithome.com.tw/upload/images/20241219/20142793ETaOJys2tT.png

.
圖片
  直播研討會

2 個回答

1
bluegrass
iT邦高手 1 級 ‧ 2024-12-19 22:36:42
最佳解答

你DEPLOY CLUSTER GATEWAY的時候

兩只GATEWAYS的那個預設POLICY PACKAGE有改動過不?

下次INSTALL之前, 試試在POLICY PACKAGE最上方加入一條POLICY:

Source: 192.168.123.0/24
Destination: 一樣都是 192.168.123.0/24
ACTION: ALLOW
SERVICE: ANY

看看成功不.

看更多先前的回應...收起先前的回應...
I.T. Wang iT邦新手 1 級 ‧ 2024-12-21 16:16:53 檢舉

失敗。
參考大大建議,我做了兩種測試
1.前面步驟如同我的發問截圖,然後new policy,結果失敗
2.publish & install同時做,仍失敗,如截圖步驟
3.https://ithelp.ithome.com.tw/upload/images/20241221/20142793hMKsYXOdEe.png
我看fail log,我的理解是gaia要求先publish cluster的配置,才能install policy到目標物件(如理解有務請更正我),但又回到1.的測試步驟。

I.T. Wang iT邦新手 1 級 ‧ 2024-12-22 21:12:34 檢舉

已解決。
1.我改用增加gw,取代新增已存在gw
2.在cluster取消anti-bot & advanced dns, anti-virus
https://ithelp.ithome.com.tw/upload/images/20241222/20142793Mo3CfrnWcD.png
3.在cp1&cp2所有介面取消執行anti-spoofing
https://ithelp.ithome.com.tw/upload/images/20241222/20142793eqA0jAwQWc.png
4.先publish,雖然仍會失聯cluster & members,但目的是為了install policy需要目標物件;
再去create policy,成功!
https://ithelp.ithome.com.tw/upload/images/20241222/201427936jsCuxUnbR.png
https://ithelp.ithome.com.tw/upload/images/20241222/20142793bElmkWTmQ1.png

但更讓我困惑的是,我非常確定成功因素包含創建這條策略,但我試著停用甚至刪除它,理論上我的cluster & member應該又失聯,事實上卻仍運作正常。
總之,謝謝大大幫忙

預設POLICY要先允許,然後antispoofing也是要先關閉或調成detect,等cluster 創建完成之後再改回來

How to use the fw ctl zdebug command to view drops on the Security Gateway
https://support.checkpoint.com/results/sk/sk167457

I.T. Wang iT邦新手 1 級 ‧ 2024-12-27 13:56:25 檢舉

@CyberSerge
謝謝您,我再試試看

我要發表回答

立即登入回答