samedi 1 octobre 2011

Debug VPN sur Check Point / en CLI avec 'vpn debug' et 'vpn tunnelutil' & IKE Viewer

Lorsque votre tunnel VPN ne monte pas ou lorsque les requêtes autorisées n'aboutissent pas, l'application 'vpn' accessible en commandes en ligne (CLI) peut être d'une très grande aide (en fait... c'est quasi obligatoire :) ).

Vous devez donc accéder en CLI sur la Security Gateway VPN active.

Exécutez la commande 'vpn' de sorte à en voir les modalités d'utilisation:

# vpn

Usage:
vpn debug ...                            # print debug msgs to VPN log files
vpn crl_zap                              # erase all CRLs from cache
vpn drv ...                              # attach vpn driver to fw driver and more
vpn ver [-k]                             # display VPN version
vpn accel ...                            # operations on VPN accelerator card and VPNx
vpn crlview ...                          # debugging tool for CRLs
vpn compstat                             # display compression/decompression statistics
vpn compreset                            # reset compression/decompression statistics
vpn macutil [user_name]                  # display generated MAC address by username or
                                         # DN from arg or stdin (also: vpn mu)
vpn tunnelutil                           # launch TunnelUtil tool to control
                                         # VPN Tunnels (also: vpn tu)
vpn export_p12 ...                       # tool to export p12 from gw certificate
vpn nssm_topology ...                    # generate topology in NSSM format for
                                         # Nokia clients
vpn rll dump fileName                    # Route Lookup Layer: Dump DB
vpn rll sync                             #                     Sync DB
vpn sw_topology ...                      # Download topology for SofaWare GWs
vpn overlap_encdom ...                   # Display overlapping encryption domains
vpn dll dump fileName                    # DNS Lookup Layer: Dump DB
vpn dll resolve [hostname]               #                   Request Resolve
vpn ipafile_check filename [level]       # Verify candidate for ipassignment.conf
vpn set_slim_server...                   # Starting/stopping the slim web server
vpn set_snx_encdom_groups...             # enabling/disabling the encryption domain per usergroup feature for snx
vpn mep_refresh                          # Initiate MEP re-decision in case of
                                         # backup stickiness configuration
vpn rim_cleanup                          # Clean RIM routes
vpn shell ...                            # Command Line Interface
vpn set_trac disable/enable              # Starting/Stopping trac server
vpn neo_proto [on/off]                   #switching neo client protocol

Vous le voyez: cette commande va vous permettre de faire un travail très fin autour de votre VPN.

Les commandes les plus utiles (ou en tous cas celles qui sont suffisantes) sont:
 . vpn debug
 . vpn tunnelutil

La première va vous permettre d'activer certains niveau de debugage => la génération de fichier de debug à utiliser avec des outils externes.
La seconde vous permettra d'interagir avec l'établissement du tunnel et de ses deux phases: IKE et IPSec


Utilisation de la commande 'vpn debug'
Les options suivantes sont disponibles:

# vpn debug --help
 Usage: vpn debug < on [ DEBUG_TOPIC=level ] | off | ikeon [ -s size(Mb) ]| ikeoff | trunc | truncon | truncoff | timeon [ SECONDS ] | timeoff | ikefail [ -s size(Mb) ]| mon | moff >

Les fichiers de debug seront générés dans l'arborescence des fichiers de log $FWDIR/log.

La commande 'vpn debug ikeon' activera ainsi la génération du fichier de debug ike.elg. Celui-ci renseigne sur l'établissement des deux phases de votre VPN: si l'une d'entre-elles a échouée, le fichier en stipulera la raison.
Ce fichier est exploitable par l'outil (magique ?) IKE Viewer.
Ce dernier est accessible depuis le Usercenter à l'URL: http://dl3.checkpoint.com/paid/11/IKEView-NGX.zip?HashKey=1352291050_70cdc9eff560511a1a696b6ebe1d072f&xtn=.zip

Utilisation de la commande 'vpn tunnelutil'
Les options suivantes sont diponibles:

# vpn tunnelutil --help      

**********     Select Option     **********

(1)List all IKE SAs
(2)List all IPsec SAs
(3)List all IKE SAs for a given peer (GW) or user (Client)
(4)List all IPsec SAs for a given peer (GW) or user (Client)
(5)Delete all IPsec SAs for a given peer (GW)
(6)Delete all IPsec SAs for a given User (Client)
(7)Delete all IPsec+IKE SAs for a given peer (GW)
(8)Delete all IPsec+IKE SAs for a given User (Client)
(9)Delete all IPsec SAs for ALL peers and users
(0)Delete all IPsec+IKE SAs for ALL peers and users

(Q)Quit

*******************************************
Et oui: vous allez pouvoir vous assurer du statu des phases IKE et IPSec et interagir avec elles.

Aucun commentaire:

Enregistrer un commentaire