Is it even possible???

To0w1r3d,

go to services and create a new one: protocol ESP SPI 256:4294967295. Proceed with setting packet filter rules allowing udp/500 (IKE) and the recently created ESP service as destination select the CP definition.

Please note that due to the ipsec protocol characteristics only one connection at the same time is possible.

read u
o|iver

  

Everyone, thank you for your response.  I created the ESP service and packet filter allowing IKE and ESP to pass.  I still couldn't make a connection with the client that I had used to connect with in the past.

Good news it does look like it's possible...so I will press further until I get it.  Just knowing it can be done, is a HUGE help, thanks again for your help!   

Hi !
As promised, here is what I had to do to make the « Checkpoint-client » work:
   1.) Define 2 additional services
                 Name      Protocol    S-Port/Client    D-Port/Server
            Checkpoint      udp            2746                  2746
            Cisco xout       udp        1024:65535          62516 

   2.) Create the following filter rules
             From (Client)          Service           To (Server)             Action 
            LAN_Network__    Cisco xout          Broadcast               Allow 
            LAN_Network__    Checkpoint             Any                     Allow
            LAN_Network__    ISAKMP                  Any                     Allow
            LAN_Network__         ESP                   Any                     Allow
            MyOffice_LAN        ISAKMP          LAN_Network__         Allow
            MyOffice_LAN        ISAKMP         DMZ_Interface__       Allow
            MyOffice_LAN            ESP            LAN_Network__         Allow

     LAN_Network__    ..........   my internal network
     DMZ_Interface__  ..........   my external interface
     MyOffice_LAN       ..........   my office network

After that and an additional restart of the checkpoint client, everything came right up.
Good luck –
Regards,
Erich
   

Success...thank you Erich and Oliver...:::Awesome:::

    

Just a quick note by default Checkpoint Securemote/SecureClient uses UDP 2746 for its nat-traversal mechanism... so the client needs outbound 2746 and possibly outbound UDP 500 or TCP 500 depending on what the admin is using for IKE.... Checkpoint NG w/ AI has a new mode called visitor mode which will actually tunnel all the traffic over http or https or basically whatever you define it to use... kinda cool but not widely used yet.   

I am looking to get this to work but i do not have a DMZ interface..only internal and external..do the rules change for this?

i have the ip of the firewall/server on the other end..it is static so i setup a network definition for it as :255.255.255.255
all of my machines behind the firewall are behind  static dhcp ip's so i have a network definition for the laptop of 192.168.0.21

what i did was set packet filter rules  heather laptop  vpn server--> any--->allow
I also did the same going the other way..no connections..i also tried olvier's settings..no success....i do not have three nics in the mahcine....i have ipsec NAT transveral on..[:)] ASL 4.018
   

I am looking to get this to work but i do not have a DMZ interface..only internal and external..do the rules change for this?

i have the ip of the firewall/server on the other end..it is static so i setup a network definition for it as :255.255.255.255
all of my machines behind the firewall are behind  static dhcp ip's so i have a network definition for the laptop of 192.168.0.21

what i did was set packet filter rules  heather laptop  vpn server--> any--->allow
I also did the same going the other way..no connections..i also tried olvier's settings..no success....i do not have three nics in the mahcine....i have ipsec NAT transveral on..[:)] ASL 4.018