Check+Point防火墙设备故障处理指导手册+V2.0 - 图文(7)

VPN 客户端连接常见问题原因解析：

1.VPN 客户端能够连接上网关，而且能够ping通防火墙内网地址，但是ping不到防火墙内网同一网段其他地址，问题原因可能是目标主机有防火墙或者是防病毒软件拦截。

2.建立站点提示提示communicate error

出现这种情况最大的可能就是客户端连接的问题，首先检查客户端连接internet的情况，以及链路的稳定性。确保客户端能够连接internet ,并且链路稳定。

31

3.Gateway no responding

防火墙不响应，尝试解决的办法有2方面，首先检查防火墙上Remote Access的配置， 其次是重新安装客户端。

注意杀毒软件或者防火墙的开启，也可能是导致VPN连接失败的原因，因此请尝试关闭本机防火墙或杀毒软件的服务。

4.提示用户名或者密码错误

第一，确认输入的时候没有错误，第二，如果结合了RSA ACE做动态身份认证，则需要检查令牌是否被锁定，如果锁定则会提示该错误。

5.安装 Securemote NGX HFA2后连接站点失败(使用CP卸载工具卸载后无法安装该版本) 这个问题可能是CP卸载工具版本比较低的原因，导致卸载HFA2版本后删除不干净，因此无法安装新版本。解决办法是安装HFA1版本的客户端。

6.客户端使用Securemote HFA2无法连接站点

Site 建立出现问题，首先确认用户名和口令没有问题，如果还无法连接则尝试重新安装客户端。

7.建立VPN Site的过程中出现 overlapping vpn domain

检查防火墙VPN Domain 的设置确认防火墙的接口所属的网段，不在VPN Domain 中。 具体的解决办法见文档。

8.提示证书问题 出现这种问题，是因为客户端与防火墙上的时间不匹配，导致下载下载防火墙证书到本地时不可用，因此，请检查客户端的时间设置。确认和当前时间一致。

5.6 ClusterXL 排错流程

ClusterXL是实现SPLAT平台的HA功能的模块，在客户环境中由于网络环境或者操作的原因、性能的压力等现Failover(切换)的现象，另外也有可能因为Cluster的原因引起某些流量在穿过HA火墙时出现业务层面的问题，下面的流程从这两方面进行介绍排错的流程。 首先，对ClusterXL可能出现Failover的问题进行排查流程分析，

32

下面介绍当有业务流量在穿越Cluster时，可能出现的问题排错进行分析，如下图，途中Check List 见下文文字描述部分。

33

34

5.6.1 开始ClusterXL debug前需要检查的项目.

? FireWall-1 版本 – 确认member的软件版本是完全一致包括大版本与HFA以及

hotfixes.

? High Availability –确认所有的member有相同的虚地址配置，以及通过cphaprob stat

命令查看Cluster组建是否有状态时\的现象。

? System Information –为避免硬件层面的导致的Cluster故障，确认防火墙的member

都用了相同型号的硬件配置，比如必须相同的CPU数量以及相同的Core数量，内存大小一样。

? IP Interfaces - 注意两台物理member的接口数量必须相同。

? FW-1 Accelerator –在Cluster上出现流量或者应用相关的问题后，检查客户环境使用

启用了SecureXL，如果有开启，则通过命令\关闭加速模块，然后看问题是否还存在，如果问题还是发生，则在SecureXL关闭的前提下进行debug.

? /var/log/messages file –打开messages文件，查看是否有error或者failed相关的信

息，然后查找KB确认问题。

? ha_boot.conf –确认该配置文件在两台火墙上都是一致的内容。cp_components –确

认该配置文件在两台火墙上都是一致的内容。

? HKLM_registry.data –通过检查该文件确认两台member使用了相同的版本、HFA以

及hotfixes.

? Debug –通过检查上述项目，可以排除系统和物理层导致Cluster发生问题的可能，下

文介绍ClusterXL的Debug命令。

5.6.2 CluseterXL问题的Kernel debug 命令

1. 首先需要从Cluster Mmeber上搜集到CPinfo文件

2. 在相关的接口上执行kernel debug和fw monitor,tcpdump 请在Cluster member上执行如下Kernel Debug命令 (请提供与故障相关的IP地址信息) :

1. 为排查fail-over,debug时在所有Cluster member上设置kernel 参数为1 # fw ctl set int fwha_dprint_io 1

# fw ctl set int fwha_dprint_all_net_check 1

2. 搜集故障发生之前的链接表内容

# fw tab -u -f > /con_table_before.txt 2>&1

35