FAQ

Устранение неполадок в модуле VPN на Check Point Quantum Spark

1. Поведение.

Внезапное одновременное отключение VPN Site to Site и VPN Remote Access. Нет трафика по VPN и не подключается VPN клиент.
2. Диагностика.

2.1 Зайти на Check Point по SSH. Ввести следующие команды для диагностики и анализа проблемы:
- vpn tu tlist - для просмотра всех активных туннелей.

Убедиться, что значения (отмечено красным) совпадает с выводом вашей команды или вывод команды: There are no tunnels. Что означает – нет активных VPN туннелей.
- configload_status – для получения статуса состояния всех блейдов

Убедиться, что блейд VPN не имеет ошибок.

Для выполнения данной команды войти в режим expert.
- uptime - чтобы узнать, как долго работает устройство.

Убедиться, что устройство Check Point работает более 30 дней.
2.1 Зайти на веб-интерфейс Check Point и сгенерировать файл Dr. Spark Reports.

2.2 Перейти на вкладку Logs and Monitoring – Status - Dr. Spark – Generate Dr. Spark Reports.

2.3 После завершения генерации, скачать файл, извлечь архив и открыть файл index.html через браузер.

2.4 Перейти на вкладку VPN - VPN Tunnel Functionality и убедиться, что имеется запись VPN_GET_IPSEC_SA_BY_MSPI ioctl failed (-1).
3. Причина проблемы:

3.1 Высокое время безотказной работы без перезагрузки Check Point более 200 дней. Длительное время безотказной работы (например, более 200 дней) может привести к исчерпанию ресурсов или к проблемам с кэшированием в ядре, что может повлиять на способность блейд-сервера VPN управлять ассоциациями безопасности (SAs). Высокое время безотказной работы привело к ошибке - VPN_GET_IPSEC_SA_BY_MSPI ioctl (-1), указывающим на то, что ядру не удалось получить требуемый SA— часто из-за повреждения, отсутствия SAS или проблем с памятью/ресурсами ядра.

3.2 Неактуальная прошивка, которая установлена на Check Point.
4. Устранение проблемы.

4.1 Перезапустить блейды VPN.

Зайти на веб-интерфейс Check Point. Перейти на вкладку VPN - Remote Access - Blade Control. Выставить параметр Off, нажать на Save. Далее выставить параметр On, нажать на Save.

Перейти на вкладку VPN - Site to Site - Blade Control. Выставить параметр Off, нажать на Save. Далее выставить параметр On, нажать на Save.

4.2 После перезапуска проверить VPN туннель и подключение VPN клиента.

Перейти на вкладку VPN - Site to Site - VPN Tunnels.

Если VPN поднялся, то в графе Status должен быть – Active.
5. Профилактика недопущения подобной проблемы:

5.1 Необходимо раз в месяц производить перезагрузку Check Point.

5.2 Обновить прошивку до последней, рекомендуемой версии.

Рекомендуемую версию прошивки можно посмотреть на сайте Check Point, на вкладке Information per Releas:

https://support.checkpoint.com/results/sk/sk179615
2025-01-28 10:00