最近我通过ikeview工具完成了检查点VPN故障排除过程。要下载ikeview工具,请单击 这里  or Support Center 下载链接.

IKeView实用程序是一个核对点工具,用于分析IKE.ELG(IKEv1)和IKEv2.xmll(r71及更高版本的ikev2)files.ike.elg和ikev2.xmll文件对调试站点非常有用 - 到站点VPN和检查点远程访问客户端加密故障。

在安全网关上启用IKE调试模式会将冗长的加密 - 流量信息写入$ fwdir / log / ike.elg或$ fwdir / log / ikev2.xmll文件。启用IKE调试模式后,安全网关不需要重启或重新启动。输出以文本格式编写,可以使用普通文本编辑器读取,但解释繁琐。 IKeView公用事业的GUI清楚地指定IPSEC阶段1和IKEV1和IKEv2的每个数据包级别的第2阶段

以下是一些步骤:

STEP 1

- 清除任何现有  IKE.ELG.  文件,这将开始一个新的  IKE.ELG.  文件并重命名旧的。
[[电子邮件 protected]:0]# vpn debug trunc
[[电子邮件 protected]:0]# ls -la $ fwdir / log / ike *
STEP 2
- 打开debug ike调试
[[电子邮件 protected]:0] #vpn debug ikeon
STEP 3
- 如果您不在乎,请在感兴趣的网关或所有隧道之间清除现有隧道。如果没有隧道,这将强制阶段1&2要完成。如果存在隧道然后
根据连接到的网络,可能仅需要阶段2。
[[电子邮件 protected]:0]# vpn tunnelutil
选择选项0(删除所有对等体和用户的Ipsec + IKE SA)
点击进入
STEP 4
- 触发VPN连接
创建一个连接以触发使用命令ping,ftp,ssh,http的VPN连接,
STEP 5
- 关闭ike调试

[[电子邮件 protected]:0]#VPN调试IKEOFF

STEP 6
- 得到   IKE.ELG.  file
[[电子邮件 protected]:0]# cd $FWDIR/log/  IKE.ELG.  [check date]
无论是ftp这个文件关闭还是scp
STEP 7
- 分析  IKE.ELG.  file in IKEView.

例1 :成功的第1阶段和第2阶段,并发出正确的加密域

例2:阶段1


例3. :从检查点发出错误的加密域

对等体将发送回报错误消息,称无效ID信息
例4. :阶段2失败,错误消息无效 - 有效负载类型



其他命令:



FW键-t vpn_enc_domain_valid -f -u

“无效ID”是II阶段错误。在阶段II期间,网络与II期身份验证参数一起交换。要在尝试建立隧道时确认运行以下命令:
FW键-t vpn_enc_domain_valid -f -u

如果您有许多VPN,则该命令可能不会有帮助,因为它不会单独分页加密域。但基本上,这将列出检查点发送的加密域。如果可能是比您配置的更大的子网。如果是这种情况,请在这些论坛中搜索“Supernetting”。有几种方法可以解决这个问题。 

参考:

使用IKeView进行故障排除检查点VPN
启用IKE和VPN调试

经过 Jon.

发表评论