1. Поведение.
Внезапное одновременное отключение VPN Site to Site и VPN Remote Access. Нет трафика по VPN и не подключается VPN клиент.
Внезапное одновременное отключение VPN Site to Site и VPN Remote Access. Нет трафика по VPN и не подключается VPN клиент.
2. Диагностика.
2.1 Зайти на Check Point по SSH. Ввести следующие команды для диагностики и анализа проблемы:
2.1 Зайти на Check Point по SSH. Ввести следующие команды для диагностики и анализа проблемы:
- vpn tu tlist - для просмотра всех активных туннелей.
Убедиться, что значения (отмечено красным) совпадает с выводом вашей команды или вывод команды: There are no tunnels. Что означает – нет активных VPN туннелей.
- configload_status – для получения статуса состояния всех блейдов
Убедиться, что блейд VPN не имеет ошибок.
Для выполнения данной команды войти в режим expert.
- uptime - чтобы узнать, как долго работает устройство.
Убедиться, что устройство Check Point работает более 30 дней.
2.1 Зайти на веб-интерфейс Check Point и сгенерировать файл Dr. Spark Reports.
2.2 Перейти на вкладку Logs and Monitoring – Status - Dr. Spark – Generate Dr. Spark Reports.
2.3 После завершения генерации, скачать файл, извлечь архив и открыть файл index.html через браузер.
2.4 Перейти на вкладку VPN - VPN Tunnel Functionality и убедиться, что имеется запись VPN_GET_IPSEC_SA_BY_MSPI ioctl failed (-1).
2.2 Перейти на вкладку Logs and Monitoring – Status - Dr. Spark – Generate Dr. Spark Reports.
2.3 После завершения генерации, скачать файл, извлечь архив и открыть файл index.html через браузер.
2.4 Перейти на вкладку VPN - VPN Tunnel Functionality и убедиться, что имеется запись VPN_GET_IPSEC_SA_BY_MSPI ioctl failed (-1).
3. Причина проблемы:
3.1 Высокое время безотказной работы без перезагрузки Check Point более 200 дней. Длительное время безотказной работы (например, более 200 дней) может привести к исчерпанию ресурсов или к проблемам с кэшированием в ядре, что может повлиять на способность блейд-сервера VPN управлять ассоциациями безопасности (SAs). Высокое время безотказной работы привело к ошибке - VPN_GET_IPSEC_SA_BY_MSPI ioctl (-1), указывающим на то, что ядру не удалось получить требуемый SA— часто из-за повреждения, отсутствия SAS или проблем с памятью/ресурсами ядра.
3.2 Неактуальная прошивка, которая установлена на Check Point.
3.1 Высокое время безотказной работы без перезагрузки Check Point более 200 дней. Длительное время безотказной работы (например, более 200 дней) может привести к исчерпанию ресурсов или к проблемам с кэшированием в ядре, что может повлиять на способность блейд-сервера VPN управлять ассоциациями безопасности (SAs). Высокое время безотказной работы привело к ошибке - VPN_GET_IPSEC_SA_BY_MSPI ioctl (-1), указывающим на то, что ядру не удалось получить требуемый SA— часто из-за повреждения, отсутствия SAS или проблем с памятью/ресурсами ядра.
3.2 Неактуальная прошивка, которая установлена на Check Point.
4. Устранение проблемы.
4.1 Перезапустить блейды VPN.
Зайти на веб-интерфейс Check Point. Перейти на вкладку VPN - Remote Access - Blade Control. Выставить параметр Off, нажать на Save. Далее выставить параметр On, нажать на Save.
Перейти на вкладку VPN - Site to Site - Blade Control. Выставить параметр Off, нажать на Save. Далее выставить параметр On, нажать на Save.
4.2 После перезапуска проверить VPN туннель и подключение VPN клиента.
Перейти на вкладку VPN - Site to Site - VPN Tunnels.
Если VPN поднялся, то в графе Status должен быть – Active.
4.1 Перезапустить блейды VPN.
Зайти на веб-интерфейс Check Point. Перейти на вкладку VPN - Remote Access - Blade Control. Выставить параметр Off, нажать на Save. Далее выставить параметр On, нажать на Save.
Перейти на вкладку VPN - Site to Site - Blade Control. Выставить параметр Off, нажать на Save. Далее выставить параметр On, нажать на Save.
4.2 После перезапуска проверить VPN туннель и подключение VPN клиента.
Перейти на вкладку VPN - Site to Site - VPN Tunnels.
Если VPN поднялся, то в графе Status должен быть – Active.
5. Профилактика недопущения подобной проблемы:
5.1 Необходимо раз в месяц производить перезагрузку Check Point.
5.2 Обновить прошивку до последней, рекомендуемой версии.
Рекомендуемую версию прошивки можно посмотреть на сайте Check Point, на вкладке Information per Releas:
https://support.checkpoint.com/results/sk/sk179615
5.1 Необходимо раз в месяц производить перезагрузку Check Point.
5.2 Обновить прошивку до последней, рекомендуемой версии.
Рекомендуемую версию прошивки можно посмотреть на сайте Check Point, на вкладке Information per Releas:
https://support.checkpoint.com/results/sk/sk179615