Mise en place du debug :

Pour faire cela il y a 2 méthodes :

vpn debug on
vpn debug ikeon

ou

vpn debug trunc

Ces 2 méthodes font la même chose à savoir activer le debug VPND et IKE, sauf que la première garde le contenu des fichier vpnd.elg et ike.elg alors que la seconde vide les fichiers.
$FWDIR/log/vpnd.elg est un fichier lisible, après il faut arriver à le comprendre ...
En revanche le $FWDIR/log/ike.elg (pour IKE v1, pour IKE v2 c'est ikev2.xmll) est un fichier qu'il faut lire avec IKEView (se rapprocher du support CheckPoint pour l'avoir) et qui fournit une mine d'information pour troubleshooter un VPN IPSec.

Il est possible d'augmenter le niveau de debug :

vpn debug on TDERROR_ALL_ALL=5

Cette commande doit être passée après l'activation du debug.

Option - traces réseaux :

fw monitor -e "accept port(500) or port(4500);" -o /var/log/fw_monitor.cap

Ctrl+C pour stopper la trace.
ou

vpn debug mon

Cette dernière est générée dans $FWDIR/log/ikemonitor.snoop
Pour stopper cette trace vpn debug moff.

Visualiser et/ou action sur le tunnel :

GatewayVPN# vpn tu 

**********     Select Option     **********

(1)             List all IKE SAs
(2)             List all IPsec SAs
(3)             List all IKE SAs for a given peer (GW) or user (Client)
(4)             List all IPsec SAs for a given peer (GW) or user (Client)
(5)             Delete all IPsec SAs for a given peer (GW)
(6)             Delete all IPsec SAs for a given User (Client)
(7)             Delete all IPsec+IKE SAs for a given peer (GW)
(8)             Delete all IPsec+IKE SAs for a given User (Client)
(9)             Delete all IPsec SAs for ALL peers and users
(0)             Delete all IPsec+IKE SAs for ALL peers and users

(Q)             Quit

*******************************************
vpn shell /show/tunnels/ike/peer/[peer_ip]     # Affiche les IKE SA pour 1 peer
vpn shell /show/tunnels/ipsec/peer/[peer_ip]   # Affiche la phase2 SA pour 1 peer

vpn shell /tunnels/delete/IKE/peer/[peer_ip]   # Suppression des IKE SA pour 1 peer
vpn shell /tunnels/delete/IPsec/peer/[peer_ip] # Suppression des phases 2 SA pour 1 peer

Désactiver le debug :

Pour faire cela il y a 2 méthodes :

vpn debug off
vpn debug ikeoff

ou

vpn debug truncoff

Résumé des fichiers :

$FWDIR/log/ike.elg
$FWDIR/log/vpnd.elg
/var/log/fw_monitor.cap
$FWDIR/log/ikemonitor.snoop

Bonus :

vpn drv off   # Désactivation du VPN
vpn drv on    # Activation du VPN
# To see local encryption domain
fw tab -f -t vpn_enc_domain
fw tab -t vpn_enc_domain_valid -f -u

# Remote enc domain
fw tab -f -t sr_enc_domain_valid | grep _PEER_IP_

# To see SPI database entries of established VPN tunnels and its parameters
fw tab -f -t inbound_SPI

# To see the active VPN peers with IKE phase up
fw tab -f -t IKE_peers

# To see what port is used for NAT traversal
fw tab -f -t natt_port

# List table of Security Associations
fw tab -f -t IKE_SA_table

# How to check  overlapping VPN domains
vpn overlap_encdom [communities | traditional]

# Nombre de tunnels
fw tab -t peers_count -s

Source

Annexes :