CheckPoint VPN Debugging
Zweck
Probleme treten im VPN-Bereich bei CheckPoint vor allem bei der Anbindung von Gateway anderer Hersteller auf. Die dann im SmartView Tracker angezeigten Meldungen sind leider meist nicht sehr hilfreich. Im Folgenden wird deswegen beschrieben, wie man an umfangreichere Logs kommt.
Voraussetzungen
Dieses How-To beschreibt die Vorgehensweise beispielhaft an einem VPN-1 Gateway (R65) unter SPLAT (2.6).
Schritt für Schritt
- Login per SSH auf das zu debuggende Gateway
ssh admin@192.168.1.253
- Wenn es sich um ein ClusterXL handelt: Nachschauen, ob dieses Gateway das aktive ist:
# cphaprob state
Cluster Mode: New High Availability (Active Up)
with IGMP Membership
Number Unique Address Assigned Load State
1 (local) 192.168.1.253 100% Active
2 192.168.1.252 0% StandbyIm Beispiel sieht man, daß das Gateway mit der Number 1 das lokale ist und den State "Active" hat.
- Expert Mode aufrufen:
# expert
Enter expert password:
You are in expert mode now. - Debugging starten
# vpn debug trunc
# vpn debug monMit "vpn debug trunc" wird sowohl das vpn debug als auch das ike debug gestartet, "vpn debug mon" startet ein Packet capture
- Schließen geöffneter Tunnel:
# vpn tu
Es wird also nach dem Start von "vpn tu" durch Wahl der Option 7 der Tunnel zu dem Gateway gelöscht, welches untersucht werden soll.
********** Select Option **********
(1) List all IKE SAs
...
(7) Delete all IPsec+IKE SAs for a given peer (GW)
...
(Q) Quit
*******************************************
7
Enter IP of peer (format: xxx.xxx.xxx.xxx): 11.22.33.44
Hit <Enter> key to continue ...
********** Select Option **********
(1) List all IKE SAs
...
(7) Delete all IPsec+IKE SAs for a given peer (GW)
...
(Q) Quit
*******************************************
q
Aborting ...
Bei Produktiv-Umgebungen ist zu beachten, daß es hierbei zu Unterbrechungen der Kommunikation kommt!
- Starten der Kommunikation über das VPN
Hierzu wird (mittels Ping o.ä.) Traffic über den Tunnel initiiert. Soll der Verbindungsaufbau in beiden Richtungen untersucht werden, wird danach der Tunnel wie im vorangegangenen Punkt beschrieben, wieder abgebaut und der Traffic nochmal von der Gegenseite aus initiiert. - Beenden des Debugging:
# vpn debug off
# vpn debug ikeoff
# vpn debug moff - Kopieren der angelegten Logdateien (im Beispiel per SCP auf einen SSH-Server mit der Adresse 192.168.1.10 unter dem Benutzer "user" in das Verzeichnis "/logs"):
# cd $FWDIR/log
# scp ike.elg user@192.168.1.10:/logs/ike.elg
# scp vpnd.elg user@192.168.1.10:/logs/vpnd.elg
# scp ikemonitor.snoop user@192.168.1.10:/logs/ikemonitor.snoop"ikemonitor.snoop" enthält den unverschlüsselten IKE Payload! Auch die anderen Dateien enthalten sensible Informationen und sind entsprechend zu behandeln!
- Der Vollständigkeit wegen kann noch ein CPInfo angelegt und kopiert werden ("gwname" sinvollerweise durch den Hostnamen des Gateways ersetzen):
# cpinfo -n -z -o gwname.cpinfo
# scp gwname.cpinfo.gz user@192.168.1.10:/logs/gwname.cpinfo.gz - Abmelden am Gateway
Weitere Informationen
Die offizielle Beschreibung von CheckPoint (Grundlage für dieses How-To) findet man im SupportCenter unter sk33327.
Artikelaktionen