Direkt zum Inhalt | Direkt zur Navigation

Benutzerspezifische Werkzeuge

Anmelden

Unitas Network GmbH

This Slogan Viewlet registered to Chameleon Theme

MEHR NEUES >

Nachrichten: Umzug 04.07.2016; Netzwerktechniker gesucht 27.06.2016; Virtuelle Appliances 28.03.2016; Weitere Nachrichten…

Sie sind hier: Startseite / Wissenswertes / Anleitungen / CheckPoint VPN Debugging

CheckPoint VPN Debugging

Erstellung von Debugging-Informationen, welche dem CheckPoint Support zugesendet werden können

Zweck

Probleme treten im VPN-Bereich bei CheckPoint vor allem bei der Anbindung von Gateway anderer Hersteller auf. Die dann im SmartView Tracker angezeigten Meldungen sind leider meist nicht sehr hilfreich. Im Folgenden wird deswegen beschrieben, wie man an umfangreichere Logs kommt.

Voraussetzungen

Dieses How-To beschreibt die Vorgehensweise beispielhaft an einem VPN-1 Gateway (R65) unter SPLAT (2.6).

Schritt für Schritt

Wenn es sich um ein ClusterXL handelt: Nachschauen, ob dieses Gateway das aktive ist:

# cphaprob state

Cluster Mode:   New High Availability (Active Up)
 with IGMP Membership

Number     Unique Address  Assigned Load   State

1 (local)  192.168.1.253   100%            Active
2          192.168.1.252   0%              Standby

Im Beispiel sieht man, daß das Gateway mit der Number 1 das lokale ist und den State "Active" hat.

Expert Mode aufrufen:

# expert
Enter expert password:

You are in expert mode now.

Debugging starten
```
# vpn debug trunc
# vpn debug mon
```
Mit "vpn debug trunc" wird sowohl das vpn debug als auch das ike debug gestartet, "vpn debug mon" startet ein Packet capture

Schließen geöffneter Tunnel:

# vpn tu

**********     Select Option     **********

(1)             List all IKE SAs
...
(7)             Delete all IPsec+IKE SAs for a given peer (GW)
...

(Q)             Quit
*******************************************

7

        Enter IP of peer (format: xxx.xxx.xxx.xxx): 11.22.33.44

Hit <Enter> key to continue ...
**********     Select Option     **********

(1)             List all IKE SAs
...
(7)             Delete all IPsec+IKE SAs for a given peer (GW)
...
(Q)             Quit

*******************************************

q

Aborting ...

Es wird also nach dem Start von "vpn tu" durch Wahl der Option 7 der Tunnel zu dem Gateway gelöscht, welches untersucht werden soll.

Bei Produktiv-Umgebungen ist zu beachten, daß es hierbei zu Unterbrechungen der Kommunikation kommt!

Starten der Kommunikation über das VPN
Hierzu wird (mittels Ping o.ä.) Traffic über den Tunnel initiiert. Soll der Verbindungsaufbau in beiden Richtungen untersucht werden, wird danach der Tunnel wie im vorangegangenen Punkt beschrieben, wieder abgebaut und der Traffic nochmal von der Gegenseite aus initiiert.

Beenden des Debugging:

# vpn debug off
# vpn debug ikeoff
# vpn debug moff

Kopieren der angelegten Logdateien (im Beispiel per SCP auf einen SSH-Server mit der Adresse 192.168.1.10 unter dem Benutzer "user" in das Verzeichnis "/logs"):
```
# cd $FWDIR/log
# scp ike.elg user@192.168.1.10:/logs/ike.elg
# scp vpnd.elg user@192.168.1.10:/logs/vpnd.elg
# scp ikemonitor.snoop user@192.168.1.10:/logs/ikemonitor.snoop
```
"ikemonitor.snoop" enthält den unverschlüsselten IKE Payload! Auch die anderen Dateien enthalten sensible Informationen und sind entsprechend zu behandeln!
Der Vollständigkeit wegen kann noch ein CPInfo angelegt und kopiert werden ("gwname" sinvollerweise durch den Hostnamen des Gateways ersetzen):
```
# cpinfo -n -z -o gwname.cpinfo
# scp gwname.cpinfo.gz user@192.168.1.10:/logs/gwname.cpinfo.gz
```
Abmelden am Gateway

Weitere Informationen

Die offizielle Beschreibung von CheckPoint (Grundlage für dieses How-To) findet man im SupportCenter unter sk33327.

Artikelaktionen

Drucken

abgelegt unter: Anleitung, Security, CheckPoint

Navigation