Для поиска неисправностей инструментами UserGate используйте функцию захвата пакетов на интерфейсе и расширенные логи.
Для создания правила захвата пакетов на интерфейсе перейдите во вкладку Диагностика и мониторинг в раздел Сеть --> Захват пакетов. В качестве фильтра используйте IP-адрес хоста, укажите интерфейс и настроенный фильтр в правиле PCAP.
Запустите запись, нажав Начать запись.
Измените уровень детализации журналов диагностики на Debug во вкладке Настройки в разделе UserGate --> Управление устройством.
Попробуйте установить соединение, включив необходимое правило. Соединение не было установлено:
Отключите правило, измените уровень детализации журналов на Error и остановите захват пакетов. Скачайте файл PCAP и журналы работы системы.
В архиве с файлами необходимо найти каталог utm-vpn-server или utm-vpn-client в зависимости от роли UserGate.
В каталоге откройте файл, например, utm-vpn-client.log. В соответствии с ошибкой подключения в файле необходимо найти ключи шифрования первой фазы IKE. Чтобы их найти, например, на ОС Windows, можно воспользоваться утилитой findstr. Ключевое слово для фильтрации - WIRESHARK.
Сохраните ключи в отдельный файл. Далее запустите программу Wireshark и в настройках найдите опции протокола ISAKMP. Выберите редактирование IKEv1 Decryption Table и пропишите сохранённые ранее ключи шифрования:
Если ключей много, то можно создать одну запись, далее сохранить настройки, ещё раз вернуться в редактор ключей, посмотреть название файла, в который программа сохраняет ключи (путь к файлу выделен на рисунке), и добавить все ключи в файл.
После добавления ключей откройте файл захвата пакетов, созданный на UserGate, зашифрованная часть трафика будет доступна для изучения.
Отследив конкретные UDP сессии, можно увидеть коды ответа удаленного хоста. Если протокол реализован в соответствии с RFC, то по коду ответа можно яснее понять, в чем именно заключается проблема. Например, из кода ответа 18 (INVALID-ID-INFORMATION), можно сделать вывод, что объявляемые сети с обоих сторон не совпадают.
Если просмотреть предыдущий пакет либо внимательнее сравнить сети, прописанные на UserGate, и сети, прописанные на удаленном хосте, то мы обнаружим их несовпадение.
