R81.20 VPN mauvais peer id

J’ai eu une situation étrange aujourd’hui, j’ai mis à niveau le cluster checkpoint de R81.10 à R81.20, sans problème, le cluster fonctionnait et tout était opérationnel.

J’ai reçu une alerte 3 heures après la fin du travail de mise à niveau du cluster, le VPN était en panne, dans les journaux je pouvais voir que le cluster R81.20 envoyait l’adresse IP interne du cluster.

Je suis allé dans la configuration du cluster > VPN IPSec > Sélection de lien, et j’ai défini l’option Toujours utiliser cette adresse sur l’adresse incorrecte qu’il envoyait, j’ai cliqué sur OK puis je suis retourné dans la configuration pour la corriger avec la bonne adresse, puis j’ai appliqué la politique.

Aucun changement n’a été effectué, sur R81.10 tout fonctionnait bien auparavant.

Je m’inquiète maintenant qu’il pourrait y avoir d’autres problèmes comme celui-ci qui pourraient survenir…

C’est pourquoi, quand je fais une mise à niveau de cluster d’une version majeure à une autre, je commence par un nœud, j’attends 2 semaines et ensuite je mets à jour l’autre nœud.

Ce processus m’a bien servi au fil des années. Même si je dis à mon agent TAC de faire attention quand on en parle.

Vérifiez si https://support.checkpoint.com/results/sk/sk172805 s’applique. D’après une expérience récente similaire, une capture de paquets pourrait montrer que la phase 1 initiale utilise la bonne adresse IP de sélection de lien, mais essaie ensuite d’utiliser l’adresse IP du cluster pour la phase 2. Cherchez le trafic UDP 500 et 4500 (NAT-T) dans la capture.