12.9.1. Диагностика и мониторинг соединения

Для поиска неисправностей инструментами UserGate используйте функцию захвата пакетов на интерфейсе и расширенные логи.

Для создания правила захвата пакетов на интерфейсе перейдите во вкладку Диагностика и мониторинг в раздел Сеть --> Захват пакетов. В качестве фильтра используйте IP-адрес хоста, укажите интерфейс и настроенный фильтр в правиле PCAP.

image385

Запустите запись, нажав Начать запись.

Измените уровень детализации журналов диагностики на Debug во вкладке Настройки в разделе UserGate --> Управление устройством.

Попробуйте установить соединение, включив необходимое правило. Соединение не было установлено:

image386

Отключите правило, измените уровень детализации журналов на Error и остановите захват пакетов. Скачайте файл PCAP и журналы работы системы.

В архиве с файлами необходимо найти каталог utm-vpn-server или utm-vpn-client в зависимости от роли UserGate.

В каталоге откройте файл, например, utm-vpn-client.log. В соответствии с ошибкой подключения в файле необходимо найти ключи шифрования первой фазы IKE. Чтобы их найти, например, на ОС Windows, можно воспользоваться утилитой findstr. Ключевое слово для фильтрации - WIRESHARK.

image387

Сохраните ключи в отдельный файл. Далее запустите программу Wireshark и в настройках найдите опции протокола ISAKMP. Выберите редактирование IKEv1 Decryption Table и пропишите сохранённые ранее ключи шифрования:

image388

image389

Если ключей много, то можно создать одну запись, далее сохранить настройки, ещё раз вернуться в редактор ключей, посмотреть название файла, в который программа сохраняет ключи (путь к файлу выделен на рисунке), и добавить все ключи в файл.

После добавления ключей откройте файл захвата пакетов, созданный на UserGate, зашифрованная часть трафика будет доступна для изучения.

image390

Отследив конкретные UDP сессии, можно увидеть коды ответа удаленного хоста. Если протокол реализован в соответствии с RFC, то по коду ответа можно яснее понять, в чем именно заключается проблема. Например, из кода ответа 18 (INVALID-ID-INFORMATION), можно сделать вывод, что объявляемые сети с обоих сторон не совпадают.

Если просмотреть предыдущий пакет либо внимательнее сравнить сети, прописанные на UserGate, и сети, прописанные на удаленном хосте, то мы обнаружим их несовпадение.

image391