CheckPoint - troubleshooting VPN IPSec
Alasta 22 Octobre 2014 checkpoint CheckPOint cli
Description : Voici quelques commandes pour aider à la mise en place d'un tunnel VPN IPSec sur CheckPoint.
Mise en place du debug :
Pour faire cela il y a 2 méthodes :
vpn debug on vpn debug ikeon
ou
vpn debug trunc
Ces 2 méthodes font la même chose à savoir activer le debug VPND et IKE, sauf que la première garde le contenu des fichier vpnd.elg et ike.elg alors que la seconde vide les fichiers.
$FWDIR/log/vpnd.elg est un fichier lisible, après il faut arriver à le comprendre ...
En revanche le $FWDIR/log/ike.elg (pour IKE v1, pour IKE v2 c'est ikev2.xmll) est un fichier qu'il faut lire avec IKEView (se rapprocher du support CheckPoint pour l'avoir) et qui fournit une mine d'information pour troubleshooter un VPN IPSec.
Il est possible d'augmenter le niveau de debug :
vpn debug on TDERROR_ALL_ALL=5
Cette commande doit être passée après l'activation du debug.
Option - traces réseaux :
fw monitor -e "accept port(500) or port(4500);" -o /var/log/fw_monitor.cap
Ctrl+C pour stopper la trace.
ou
vpn debug mon
Cette dernière est générée dans $FWDIR/log/ikemonitor.snoop
Pour stopper cette trace vpn debug moff.
Visualiser et/ou action sur le tunnel :
GatewayVPN# vpn tu ********** Select Option ********** (1) List all IKE SAs (2) List all IPsec SAs (3) List all IKE SAs for a given peer (GW) or user (Client) (4) List all IPsec SAs for a given peer (GW) or user (Client) (5) Delete all IPsec SAs for a given peer (GW) (6) Delete all IPsec SAs for a given User (Client) (7) Delete all IPsec+IKE SAs for a given peer (GW) (8) Delete all IPsec+IKE SAs for a given User (Client) (9) Delete all IPsec SAs for ALL peers and users (0) Delete all IPsec+IKE SAs for ALL peers and users (Q) Quit *******************************************
vpn shell /show/tunnels/ike/peer/[peer_ip] # Affiche les IKE SA pour 1 peer vpn shell /show/tunnels/ipsec/peer/[peer_ip] # Affiche la phase2 SA pour 1 peer vpn shell /tunnels/delete/IKE/peer/[peer_ip] # Suppression des IKE SA pour 1 peer vpn shell /tunnels/delete/IPsec/peer/[peer_ip] # Suppression des phases 2 SA pour 1 peer
Désactiver le debug :
Pour faire cela il y a 2 méthodes :
vpn debug off vpn debug ikeoff
ou
vpn debug truncoff
Résumé des fichiers :
$FWDIR/log/ike.elg
$FWDIR/log/vpnd.elg
/var/log/fw_monitor.cap
$FWDIR/log/ikemonitor.snoop
Bonus :
vpn drv off # Désactivation du VPN vpn drv on # Activation du VPN
# To see local encryption domain fw tab -f -t vpn_enc_domain fw tab -t vpn_enc_domain_valid -f -u # Remote enc domain fw tab -f -t sr_enc_domain_valid | grep _PEER_IP_ # To see SPI database entries of established VPN tunnels and its parameters fw tab -f -t inbound_SPI # To see the active VPN peers with IKE phase up fw tab -f -t IKE_peers # To see what port is used for NAT traversal fw tab -f -t natt_port # List table of Security Associations fw tab -f -t IKE_SA_table # How to check overlapping VPN domains vpn overlap_encdom [communities | traditional] # Nombre de tunnels fw tab -t peers_count -s