Montag, 11. Juni 2012

Check Point: Gaia+ und PPPoE

Problemstellung

Check Point hat mit dem Release des Betriebsystems "Gaia" die besten Merkmale aus Secure Platform (SPLAT) und Nokias IPSO zusammengeführt. Seit Check Points Release R75.40 kann man Gaia installieren.

Einige Features sind im ersten General-Availabilty-Wurf nicht enthalten, daher ist Ende Mai ein Feature Pack namens Gaia+ erschienen. Details und Downloads hierzu sind im sk-Artikel 75260 abrufbar.

Ein in unserer Laborumgebung erforderliches Merkmal ist die Einwahl per PPPoE, die mit Gaia+ möglich sein soll. Nach einigen Tests stellte sich heraus, dass dieses Merkmal leider noch nicht so funktionierte wie gewünscht, denn es kam keine PPP-Verbindung zustande.

Fehleranalyse

Mittels tcpdump auf der ausgehenden Netzwerkschnittstelle findet man heraus, dass die Check Point sehr wohl mit dem Access Concentrator des Providers Daten austauscht. Im LCP-Protokollablauf finden sich allerdings einige "Conf-Requests" aus Richtung Access Concentrator, die jeweils mit "Conf-NAK" von der Check Point abgewiesen werden.

Blickt man mit Wireshark oder ähnlichen Tools tiefer in die Pakete hinein, findet man heraus, dass all diese Conf-Requests die Authentifizierungsmethode "Password Authentication Protocol" (PAP, Hex 0xC023) anbieten. Die Check Point verlangt aber stattdessen stur das "Challenge Handshake Response Protocol" (CHAP, Hex 0xC227), woraufhin der Verbindungsaufbau nach einigen Versuchen vom Access Concentrator mit einem Termination Request beendet wird.

Lösung

Offenbar ist die Check Point schon so konfiguriert, dass sie bei Vorhandensein der entsprechenden Zugangsdaten sowohl CHAP als auch PAP nutzt. Daher ist die Lösung (oder möglicherweise der Workaround, siehe unten) das Eintragen der Zugangsdaten in der Datei /etc/ppp/pap-secrets. Man kann dazu die entsprechende Zeile aus der /etc/ppp/chap-secrets kopieren.

Ob dies nun tatsächlich die Lösung oder nur ein Workaround ist, wird sich in den folgenden Tagen zeigen, wenn einige Policy Installations durchgeführt wurden oder Parameter innerhalb Gaias geändert werden. Schlimmstenfalls muss die Zeile regelmäßig per Cronjob eingefügt werden...



Sofern Sie weitere Informationen oder Unterstützung benötigen, finden Sie alle Kontaktdaten auf http://www.seculonia.net.

Ihr SECULONIA-Team
Eingestellt von um

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Abonnieren Kommentare zum Post (Atom)