5.3 VPN故障排查流程
如果在真实环境中碰到在VPN策略、路由、以及NAT和IPS或者Anti-Spoofing配置都正常的情况下,VPN Tunnel无法正常起来,我们知道VPN协商有2个阶段,main mode与quick mode,通过检查如下2个阶段协商的过程,查找VPN不通的原因,首先查看Main Mode常见报错的处理过程:
26
如果在SmartView Tracker中看到的报错日志与Quick Mode相关,请参考如下Quick
Mode的排错流程。
27
5.4 VPN Debug的排错流程
进行VPN故障的debug,在防火墙expert模式下执行:(打开另一命令窗口)
先删除$FWDIR/log/目录下vpnd.elg文件 rm vpnd.elg vpn debug trunc
vpn debug on TDERROR_ALL_ALL=5
1. 打开新的命令行窗口,收集Kernel Debug的信息(打开另一个命令窗口)
fw ctl debug 0
fw ctl debug -buf 32000
fw ctl debug -m fw + conn drop vm fw ctl debug -m VPN all
fw ctl kdebug -t -f > vpn.debug
等待debug 运行2分钟后,结束debug,命令如下:
2. 结束1~2 的debug 操作。
结束Kernel debug fw ctl debug 0 命令 结束VPN debug
vpn debug on TDERROR_ALL_ALL=1 vpn debug ikeoff vpn debug off
3. vpn tu工具
运行vpn tu, 然后选择第7项, 然后输入对端防火墙的公网建立VPN Tunnel的IP地址。 (7) Delete all IPsec+IKE SAs for a given peer (GW) 如果问题依然存在,重启防火墙看问题是否得到恢复。
4. 收集cpinfo信息
在设备上运行 cpinfo –n –z –o /var/log/filename 收集上述生成的文件和debug文件cd $FWDIR/log目录下
debug文件会自动生成在$FWDIR/log目录, 搜集vpnd.elg和ike.elg文件。
信息搜集完成后,发送给Check Point 工程师继续排错。
5.5 Endopoint Connect 连接问题排错流程
在客户使用Endpoint IPSEC VPN连接访问VPN网关时,出现VPN访问的故障类似于无法连通,连通后无法访问应用等问题,通常我们首先建议检查VPN配置,然后检查网络链路是否正常,是否与杀毒软件冲突,以及客户端时间设置是否正确,或者是否装有桌面版的防火墙等因素,确认并非上述等问题后,下面进行详细的排错过程。
28
在执行debug时,凡带有 debug connection Id的命令需要慎重考虑防火墙当前负载和可用性能后在执行。
29
在执行debug时,凡带有 debug connection Id的命令需要慎重考虑防火墙当前负载和可用性能后在执行。
30