Дефектовка кпп: Что такое дефектовка КПП и как она проводится

Что такое дефектовка КПП и как она проводится

Дефектовка коробки передач предусматривает полную разборку этого узла и оценку состояния запчастей. В ходе данной процедуры выполняется промывка деталей и внимательный осмотр с целью обнаружения дефектов. Если работа проводится в автосервисе, то все обнаруженные поломки записываются в специальную ведомость. После этого, получив согласие автовладельца, мастера заменяют изношенные комплектующие новыми. 

Когда нужно проводить дефектовку? 

Дефектовку КПП рекомендуется проводить при первых же признаках неисправной работы данного узла. Это может быть: 

• Посторонний звук при переключении передач.
• Потеря плавности хода.
• Пробуксовка.
• Проблемы с включением одной или нескольких скоростей. 

Все это может возникнуть вследствие ряда причин: 

• Разрушение подшипников.
• Износ шестерен.
• Поломка механизма сцепления.
• Неисправность кулисы.
• Смещение главного вала либо шестерни.
• Деформация вилок одной или нескольких передач. 

Важно понимать, что все элементы коробки передач работают в неразрывном тандеме. Когда ломается одна деталь, то вслед за ней выходят из строя и другие. Если своевременно не сделать дефектовку и ремонт, то это может привести к тому, что трансмиссия станет неремонтопригодной и вам придется потратить солидную сумму на покупку нового узла. 

Как выполняется дефектовка? 

Не во всех случаях вышеназванные симптомы свидетельствуют о том, что детали КПП сильно изношены. Понимая это, добросовестный мастер первым делом должен выполнить первичную диагностику. Только в том случае, если результаты тестирования подтверждают наличие проблемы, производится разборка. 

Вот последовательность выполнения работы: 

1. Инструментальная и визуальная диагностика.
2. Демонтаж.
3. Разборка КПП.
4. Промывка и дефектовка.
5. Запись неисправностей в ведомость.
6. Составление сметы.
7. Замена деталей, которые невозможно восстановить.
8. Сборка КПП.
9. Проверка работоспособности на специальном стенде.
10. Установка на автомобиль. 

Сроки выполнения работ зависят от того, в каком состоянии находится трансмиссия. Но, как правило, для восстановления коробки редко уходит более двух дней. 

Стучит или скрежещет КПП? Не включаются передачи? Тогда приезжайте в наш автосервис! Мы выполним дефектовку и ремонт качественно, оперативно и недорого. Записаться на техобслуживание можно по телефону, указанному на сайте. 

Дефектовка механической коробки передач, ее причины и порядок выполнения

Дефектовка коробки передач – что это?

Говоря о дефектовке, мастера автосервиса подразумевают полный осмотр узлов и деталей коробки передач, для чего ее демонтируют с автомобиля и полностью разбирают.

В процессе дефектовки каждая деталь подвергается промывке и тщательному осмотру с выполнением замеров и выявлением дефектов, которые записываются в дефектную ведомость. По результатам мастер совместно с владельцем машины принимает решение о замене изношенных деталей либо, если есть такая возможность, их ремонте.

В каких случаях нужна дефектовка КПП?

Наиболее часто необходимость в дефектовке возникает при появлении признаков поломки либо износа КПП – скрежета при переключении скоростей, воющих звуков во время работы трансмиссии, утраты плавности хода, пробуксовки либо рывков и т.д. Эти и другие признаки появляются, если:

• износился либо деформировался подшипник на главном валу или другом элементе вращения;
• из-за высокой степени износа неправильно сцепляются шестерни передач;
• вышла из строя система сцепления, при движении передачи включаются хаотично;
• сломалась кулиса, и шестерни при переключении передач направляются неправильным образом;
• предельно изношена главная передача – вал или шестерни;
• деформированы либо сломаны вилки некоторых передач, которые из-за этого перестали включаться либо пробуксовывают;
• появилось смещение одного из валов либо шестерен, из-за чего КПП стала работать неадекватно, затруднен выбор передач.

Возникновение любой из вышеперечисленных неисправностей приводит к ускоренному износу других элементов коробки передач, что со временем обязательно приведет к ее полному отказу и необходимости замены всей МКПП. Чем быстрее будет проведена дефектовка и замена неработоспособных деталей, тем дешевле обойдется ремонт.

Как происходит дефектовка на СТО?

Не всегда появление посторонних звуков при работе КПП является признаком неисправности либо сильного износа деталей. Зная это, добросовестный мастер вначале проводит первичное тестирование, в ходе которого принимается решение о необходимости разборки. В целом порядок действий выглядит следующим образом.

1. Тестировочная поездка мастера с целью определения характера неисправности.
2. Визуальный наружный осмотр и испытание работы коробки передач, проводимые при включенном и выключенном двигателе.
3. Принятие решения о необходимости демонтажа и дефектовки, получение согласия владельца авто на их оплату.
4. Демонтаж коробки передач и ее разборка.
5. Промывка и очистка всех деталей, проведение тщательной дефектовки каждой из них с записью обнаруженных дефектов в соответствующей ведомости.
6. Составление сметы ремонта, согласование с владельцем машины.
7. Замена деталей, не подлежащих дальнейшей эксплуатации, сборка коробки, проверка ее работы на специальном стенде.
8. Монтаж КПП на автомашину, проверка работы в совокупности с другими агрегатами.

Полный срок дефектовки, в зависимости от имеющихся проблем и загруженности сотрудников, в сервисе mkpp-remont.ru занимает один-два дня, по истечении которых владелец забирает свой автомобиль в исправном, полностью работоспособном состоянии.

При появлении первых подозрительных стуков, скрежетов или проседаний в МКПП Рено обращаться в наш специализированный сервис. Мы проведем диагностику и устраним все неполадки в вашем автомобиле за короткие сроки по оптимальной цене.

Дефектовка АКПП в присутствии клиента

Дефектовка АКПП в компании «АКПП-03»

В нашем центре дефектовка АКПП проходит максимально открыто. Мы приглашаем всех клиентов присутствовать при этом процессе. Вы можете задавать мастеру любые вопросы, связанные с ремонтом коробки передач.

Дефектовка АКПП – один из этапов ремонта автоматической коробки передач.

При эксплуатации автомобиля на автоматическую коробку передач приходится значительная нагрузка, что может привести к неисправности устройства. Хотя в настоящее время производители автомобилей и устанавливают надежные трансмиссии, что значительно снижает количество поломок АКПП.

Как правило, при правильной эксплуатации и регулярном обслуживании автомобиля, применяемые сегодня автоматические коробки передач могут прекрасно справляться со своими функциями при пробеге ориентировочно до 150 тысяч километров.

Автоматическая коробка передач – сложное устройство. Ремонт АКПП – непростой и трудоемкий процесс, проводить который желательно в надежном автосервисе. Даже один из этапов ремонта – дефектовка АКПП – требует проведения минимальных измерений, специального оборудования для оценки деталей коробки передач и специальных условий во время процесса разборки.

Поэтому обращаться следует к профессионалам, например, в компанию «АКПП03».

Дефектовка автоматической коробки передач

Дефектовка АКПП выполняется после демонтажа, это процесс скрупулезного изучения состояния всех составляющих коробки передач.

Мастер после полной разборки выполняет тщательную промывку деталей и их просушивание. Все детали раскладываются по группам в строгой последовательности.

Затем производится оценка состояния каждой детали: анализ её изношенности, степень повреждения и исследование возможности её дальнейшего использования.

Все эти операции должны проводиться в специальном помещении, подготовленном и чистым, т. к. попадание даже мельчайших посторонних элементов может привести к неисправностям в собранной АКПП.

На основании полученной информации мастер принимает окончательное решение о ремонтопригодности автоматической коробки передач.

Затем составляется ведомость, в которой должны быть указаны общая сумма затрат на ремонт коробки передач и отдельная стоимость запасных частей, необходимых для ремонта трансмиссии.

После согласования стоимости и условий гарантии с заказчиком, проводится ремонт АКПП.

Разборка и сборка механической коробки передач, дефектовка ее деталей

Разборка и сборка механической коробки передач, дефектовка ее деталей

Вам потребуются: ключи «на 10», «на 13», «на 19», «на 24», набор ключей-шестигранников, отвертки с плоским лезвием (две), круглогубцы, съемник стопорных колец, съемник подшипников, молоток, бородок, зубило.

1. Снимите коробку передач с автомобиля (см. Снятие и установка коробки передач). Очистите ее от грязи и вымойте снаружи.

2. Снимите привод спидометра вместе с датчиком скорости автомобиля при его наличии (см. Проверка и замена датчиков системы управления двигателем).

3. Ослабьте затяжку выключателя света заднего хода…

4. …и снимите выключатель.

5. Вывернув болты крепления корпуса механизма переключения передач, снимите механизм…

ПРИМЕЧАНИЕ

Три болта крепления корпуса механизма переключения передач на фото не видны.

6. …и установленную под ним прокладку.

7. Поддев отверткой пружинный фиксатор поводка вилки включения V передачи…

8. …извлеките фиксатор…

9. …и снимите поводок.

10. Снимите рабочий цилиндр привода выключения сцепления в сборе с подшипником выключения сцепления (см. Замена рабочего цилиндра привода выключения сцепления с подшипником выключения) и установленное под цилиндром резиновое уплотнительное кольцо.

11. Снимите переходник гидропривода выключения сцепления (см. Замена трубопровода гидропривода выключения сцепления).

12. Снимите промежуточную трубку гидропривода выключения сцепления (см. Замена трубопровода гидропривода выключения сцепления).

13. Выверните девять болтов крепления задней крышки коробки передач.

14. Поддев отверткой край крышки в районе специально предназначенного для этого прилива, отделите крышку от прокладки и снимите крышку.

15. Снимите прокладку крышки.

ПРИМЕЧАНИЕ

Прокладку задней крышки коробки передач при каждой разборке соединения заменяйте новой, так как бывшая в употреблении обжатая прокладка при повторной сборке может не обеспечить герметичности уплотнения.

16. Снимите стопорное кольцо синхронизатора V передачи.

17. Выверните два болта крепления кронштейна вилки включения V передачи…

18. …и снимите кронштейн в сборе с вилкой.

19. Снимите с вилки сухари.

ПРИМЕЧАНИЕ

Изношенные сухари при сборке замените новыми.

20. Установите универсальный съемник на муфту синхронизатора V передачи…

21. …и спрессуйте с вала муфту в сборе со ступицей.

22. Снимите блокирующее кольцо синхронизатора…

23. …ведомую шестерню V передачи…

24. …и игольчатый подшипник.

25. Снимите стопорное кольцо ведущей шестерни V передачи.

26. Установите универсальный съемник на ведущую шестерню V передачи…

27. …и спрессуйте шестерню с вала.

28. Снимите с вторичного вала запорное кольцо…

29. …и извлеките два упорных полукольца.

30. Выверните пять болтов крепления промежуточного картера к картеру коробки передач…

31. …отделите промежуточный картер от картера коробки ударами молотка через деревянную проставку, опертую о специальный прилив картера…

32. …и снимите промежуточный картер вместе с валами.

33. Снимите прокладку картера, отделив ее острым ножом.

ПРИМЕЧАНИЕ

Прокладку промежуточного картера при каждой разборке соединения заменяйте новой, так как бывшая в употреблении обжатая прокладка при повторной сборке может не обеспечить герметичности уплотнения.

34. Выверните десять болтов крепления нижней крышки коробки передач и снимите крышку вместе с прокладкой.

35. Отделите прокладку от крышки.

ПРИМЕЧАНИЕ

Прокладку нижней крышки коробки передач при каждой разборке соединения заменяйте новой, так как бывшая в употребления обжатая прокладка при повторной сборке может не обеспечить герметичности уплотнения.

36. Пометьте положение регулировочной гайки подшипников дифференциала относительно картера коробки передач.

37. Выверните болт фиксатора регулировочной гайки…

38. …снимите фиксатор…

39. …строньте с места регулировочную гайку монтажной лопаткой, как показано на фото…

40. …и, подсчитав число оборотов, выверните гайку.

41. Снимите с гайки уплотнительное кольцо.

ПРИМЕЧАНИЕ

Сильно обжатое, затвердевшее или надорванное кольцо замените.

42. Выпрессуйте из гайки сальник полуоси.

43. При необходимости замены подшипников дифференциала переверните регулировочную гайку, подложите пару деревянных брусков и выпрессуйте из гайки наружное кольцо подшипника дифференциала.

44. Выверните пять болтов крепления крышки правого подшипника дифференциала…

45. …снимите крышку и уплотнительное кольцо с нее, выпрессуйте из крышки сальник и при необходимости наружное кольцо подшипника так же, как выпрессовывали их из регулировочной гайки.

46. Извлеките дифференциал в сборе из картера коробки передач.

47. Извлеките из картера магнит…

48. …и очистите его от продуктов износа.

49. Снимите с оси промежуточной шестерни заднего хода дистанционную шайбу.

ПРИМЕЧАНИЕ

Дистанционная шайба промежуточной шестерни заднего хода при разъединении картера коробки передач и промежуточного картера может остаться в картере коробки передач. Извлеките ее оттуда.

50. Выверните два болта крепления кронштейна собачки…

51. …установите штоки вилок последовательно в положение II, V и III передач и снимите кронштейн в сборе с собачкой.

52. Молотком через зубило с притупленным жалом выбейте пробки фиксаторов штоков вилок переключения передач…

53. …и извлеките фиксаторы.

54. Выверните два винта крепления фиксирующего штифта…

55. …снимите кронштейн…

56. …и извлеките штифт из кронштейна.

57. Оперев свободный конец штока на деревянный брусок, выбейте бородком штифт крепления вилки включения промежуточной шестерни заднего хода…

58. …и снимите шток и вилку.

59. Из отверстий промежуточного картера извлеките штифт блокировки одновременного включения двух передач.

60. Выбейте штифт крепления вилки переключения III и IV передач…

61. …извлеките шток и снимите вилку.

ПРИМЕЧАНИЕ

Муфты включения передач при снятии вилки должны находиться в нейтральном положении.

62. Приподнимите поводок вилки включения V передачи и снимите вилку включения III и IV передач.

63. Извлеките из картера шток и снимите поводок вилки включения V передачи.

64. Съемником для внутренних стопорных колец (работающим на сжатие) сожмите пружинное стопорное кольцо подшипника вторичного вала…

65. …и зафиксируйте его в таком положении.

66. Выбейте штифт крепления вилки переключения I и II передач…

67. …извлеките шток и снимите вилку.

68. Cъемником для наружных стопорных колец (работающим на разжатие) разожмите стопорное кольцо подшипника первичного вала…

69. …и снимите первичный и вторичный валы, извлекая их хвостовики из промежуточного картера.

70. Снимите промежуточную шестерню заднего хода.

71. Съемником извлеките из проточки промежуточного картера стопорное кольцо подшипника первичного вала.

72. Перед осмотром и дефектовкой тщательно промойте и просушите детали коробки передач.

73. Осмотрите картер коробки передач, промежуточный картер и заднюю крышку. На них не должно быть сколов. На привалочных поверхностях не должно быть забоин, рисок, вмятин и т.п. Небольшие повреждения удалите мелкозернистой наждачной бумагой. При сильных повреждениях замените дефектные детали.

74. Проверьте посадочные места под подшипники. На этих поверхностях не должно быть следов износа или повреждения. Если есть повреждения, замените картеры.

75. Проверьте состояние штоков включения передач. Если штоки погнуты или на них появились задиры, заусенцы или выработки лунок под фиксаторы, замените штоки.

76. Проверьте состояние вилок переключения передач. Если они погнуты либо изношены лапки, замените эти детали.

77. При обнаружении в процессе эксплуатации утечки масла через сальники и при износе их рабочих кромок сальники необходимо заменить.

78. Проверьте состояние подшипников. При обнаружении раковин на беговых дорожках и телах качения, следов вдавливания тел качения на беговых дорожках или в случае повреждения сепараторов подшипники необходимо заменить.

79. Замените прокладки промежуточного картера, задней крышки коробки передач и механизма переключения передач.

80. Очистите магнит от частиц износа деталей. Если на магните появились трещины или ослаблены его магнитные свойства, замените магнит.

Соберите коробку передач в последовательности, обратной разборке, с учетом следующего.

1. Перед сборкой обильно смажьте все трущиеся детали трансмиссионным маслом.

2. Собирайте все резьбовые соединения с применением анаэробного фиксатора резьбы.

3. Перед установкой вторичного вала в промежуточный картер сожмите круглогубцами стопорное кольцо и зафиксируйте проволокой в сжатом состоянии. Снимите проволоку после установки вала в картер, убедившись, что кольцо вошло в проточки картера без перекосов.

4. При установке дифференциала, если не меняли его подшипники, регулировочную гайку его подшипников заверните на то же число оборотов, что и при отворачивании, до совмещения нанесенных при разборке меток.

5. Если меняли подшипники дифференциала, после его установки отрегулируйте предварительный натяг подшипников по значению момента сопротивления проворачиванию подшипников, заворачивая или отворачивая регулировочную гайку. Для новых подшипников момент сопротивления должен составлять 2 Н·м (0,2 кгс·м) при вращении ведомой шестерни главной передачи со скоростью 1 об/с. Если подшипники не меняли, то момент сопротивления должен быть 1 Н·м (0,1 кгс·м).

6. Перед установкой нижней крышки коробки передач смажьте ее прокладку консистентной смазкой.

Чери Элара А21 ремонт КПП, дефектовка коробки передач. Плохо переключаются передачи

Одной из основных составляющих трансмиссии большинства автомобилей является коробка переключения передач (КПП).

Это узел, позволяющий расширять возможности силового агрегата авто, изменять направление движения, а также разъединять, в том числе и на длительное время, двигатель и всю систему трансмиссии.

В современных автомобилях применяются различные типы КПП, в том числе и автоматические.

Большой семейный автомобиль китайских производителей Chery Elara, выпускающийся под кодовым названием А21, оснащается двигателями объёмом 1,5;1,6;1,8 и 2,0 литра.

В качестве трансмиссии в них используются четырёхскоростные автоматические коробки переключения передач и пятиступенчатые механические.

Механическая коробка переключения передач (МКПП) представляет собой корпус, именуемый картером, в котором собраны вращающиеся шестерни и целые блоки шестерен, валы, подшипники и редуктор планетарный.

Все они выполняют одну и ту же задачу – передачу крутящего момента силового агрегата машины к его ведущим колёсам.

При этом, не просто передачу, а изменение скорости вращения колёс по команде водителя при неизменном количестве оборотов коленчатого вала двигателя. 

От сюда и важность этого узла.

В связи с постоянным вращением во время движения авто, а также пребыванию в зацеплении с другими, зубья шестерен КПП часто выкрашиваются, стираются или просто вылетают.

Кроме того, получают повреждения подшипники и другие детали узла.

Всё это в конечном результате приводит к затруднению включения той или иной передачи и к другим неисправностям.

Проводим самостоятельно разборку и дефектовку деталей КПП автомобиля Chery Elara A21

В настоящей статье речь пойдёт о том, как самостоятельно разобрать и провести дефектовку МКПП на Чери Элара.

• В коробке переключения передач нашего автомобиля стали плохо переключаться передачи.
• При этом машина стала ехать с натягом.
• Когда сняли этот узел с авто, то оказалось, что в картере его недостаточное количество масла.
• Мало того, в оставшемся масле найдено большое количество металлической крошки.
• Также мы сразу определили, что сальники приводов изношены уже до предела.
• И это ещё не всё, потому, что со стороны первичного вала пошёл ручеёк масла и поэтому всё в этом районе и весь колокол были изрядно испачканы именно маслом .

• Это может свидетельствовать о том, что сальник первичного вала также давно требует замены.
• Поэтому нам предстоит разобрать коробку, провести дефектовку всех её частей и устранить появившиеся неисправности.
• Для начала нажимаем отвёрткой на незаметный стопор и снимаем с вала выжимной подшипник.

• Проверив его вращение, а также целостность манжет, приходим к выводу, что сам подшипник требует замены.
• Манжеты пока в нормальном состоянии и менять их нет необходимости.
• Ну и дальше снимаем верхнюю крышку узла, откручивая все болты по её периметру.

• Здесь сразу снимаем синхронизатор с блокующим колесом и проверяем их состояние.

• Главное смотрим на форму его домиков.
• Для того, чтобы заблокировать передачи, снимаем кулису муфты переключения передач.
• Она расположена сбоку на картере КПП, поэтому сначала откручиваем болты на 10 по кругу её корпуса.

• Дальше, здесь же, но сбоку выкручиваем фиксатор задней передачи.

• И после этого, поддев немного монтировкой, срываем кулису со своего посадочного места.

• Вынимаем кулису и здесь же проверяем её состояние, путём внешнего осмотра.

• Состояние её удовлетворительное, поэтому она нам ещё послужит.
• Теперь нам нужно всё-таки заблокировать первичный и вторичный валы, иначе мы не сможем открутить болты их крепления.
• А для этого, через образовавшееся окно, с помощью отвёртки, подвигаем в зацепление шестерни, включая таким образом две передачи.

• Валы после этого, при проверке рукой, не должны свободно проворачиваться, то есть должны быть заблокированы.
• Дальше устанавливаем коробку Чери Элара А21 вертикально. И для дальнейшей работы нам потребуется торцевой ключ 10х12.

• С его помощью нам предстоит открутить две гайки на шестернях.

• После этого нам потребуется выбить стопор.

• Потому, что если этот стопор не выбить, то мы не сможем снять следующую часть коробки и продолжить таким образом её разборку.
• Поэтому берём пробойник и молоток, с помощью которых и выбиваем этот штопор.
• Ну и дальше нам потребуется снять шестерни сверху, сначала одну, а затем вторую.
• Но, если мы начнём это делать, то весь блок шестерни верхней с вилкой может просто рассыпаться.

• А в нём есть и сухарики, и пружинки.
• А чтобы этого не произошло, самым лучшим вариантом будет снятие вилки и шестерни одновременно.
• Для этого двумя отвёртками одновременно поддеваем и шестерню, и вилку вместе.

• Таким способом постепенно снимаем шестерню пятой передачи вместе с вилкой.
• После этого проводим визуальный осмотр снятых деталей.
• В данном случае видим, что форма зубьев, что на шестерне, что на скользящем фланце муфты синхронизатора пятой передачи находятся в нормальном состоянии.

• Сам синхронизатор также ещё можно использовать в дальнейшей эксплуатации.
• Также проверяем саму вилку пятой передачи на наличие люфта.
• Ну и последнее при осмотре видно, что игольчатый подшипник здесь полностью рассыпался.

• Но, мы продолжаем разборку коробки переключения передач.
• Следующим нашим шагом будет выкручивание шести болтов со шляпками под звёздочку, удерживающих стопорную пластину и последующее её снятие.

• После этого снимаем стопорные кольца на валах, с таким расчётом, чтобы подшипники остались на этих же валах.

• Установка стопорных колец и различных фиксаторов является обычной практикой при сборке КПП, поскольку она состоит с множества деталей, которые в процессе работы узла всегда вращаются с огромной скоростью.
• Мало того, выдерживают часто довольно большие нагрузки.
• Поэтому, чтобы данный узел не рассыпался во время эксплуатации, а выпавшие детали не заклинили полностью его работу, многие из них фиксируются кольцами или различного рода фиксаторами.
• В полной мере это касается и коробки передач Чери Элара А21.
• Для дальнейшей разборки нам потребуется выкрутить три болта крепления корпуса стопоров валов вилок.

• Он располагается сбоку картера коробки.
• При этом все эти болты имеют разную длину, самый длинный из которых, как правило, фиксирует вал задней передачи.

• А с противоположной стороны, также сбоку на картере, необходимо выкрутить болт крепления вала паразитной шестерни задней передачи.

• Основной особенностью разборки любой коробки переключения передач является необходимость запоминать в процессе разборки, где и как была установлена та или иная деталь.
• Можно для начала записывать или зарисовывать. Всё это необходимо для того, чтобы потом правильно сложить весь этот узел.
• Поскольку одна неправильно установленная деталь может свести на смарку всю работу и потребуется снова разбирать всю коробку.
• После этого выкручиваем все болты по кругу, чтобы можно было потом расколоть картер коробки пополам.

• Проверяем теперь, чтобы нам ничего не мешало разъединять на две части картер и по имеющимся специальным приливам молотком подбиваем одну часть его вверх.

• Также можно помогать себе и монтировками поддевать.

• После того, как удалось сорвать верхнюю часть картера с направляющих, аккуратно, расшатывая со стороны в сторону, снимаем верхнюю часть картера коробки.

• Подшипники на валах при этом должны уйти вниз и на валах так и остаться.
• Сняв верхнюю часть корпуса картера, тут же его осматриваем.

• Мусор в ней есть, конечно, но не так много.
• Подшипник главной передачи ещё в нормальном состоянии, ну а сальники приводов, конечно, все будут меняться.
• Дальше берём щипцы и вынимаем магнит, установленный в нижней части коробки Чери Элара А21.
• При этом, хорошо видно, что весь магнит облеплен металлической стружкой.

• Проверяем вращение подшипников на валах, которые создают приличный шум при этом.

• Это может значить только то, что их необходимо заменить.
• Итак, первым вынимаем вал с паразитной шестерни или заднего хода и снимаем его вместе с шестерней.

• Также проверяем положение шестерни на этом валу на предмет выявления люфта. А также смотрим на состояние зубьев шестерни.
• Так, как снять полностью весь блок нам не удаётся, поэтому откручиваем механизм задней передачи.

• Снимаем его и проводим проверку.
• Работает этот механизм нормально и сухарики его также ещё в нормальном состоянии.
• Дальше вынимаем вторичный вал с его шестернями и вилкой.

• Сразу проверяем наличие люфта на вилке вала.

• Ну и наконец снимаем первичный вал с шестернями и вилкой.

• Также проверяем вилку на наличие люфта и следов износа или выработок.
• После этого проверяем непосредственно первичный вал. Передний подшипник первичного вала находится в хорошем состоянии.

• Чего никак нельзя сказать о заднем подшипнике. Его придётся заменить.
• Дальше проводим осмотр шестерен вала, его синхронизаторы.

• И те, и другие здесь нормальные, претензий к зубьям шестерен и к домикам никаких нет.
• Ни сколов, ни трещин, а тем более выработок на них не обнаружено.
• Дальше осматриваем таким же образом и вторичный вал. Как уже говорилось, верхний подшипник нужно менять здесь.
• Но, при внимательном осмотре оказалось, что и нижний нужно менять.

• Синхронизаторы срабатывают плохо, поэтому нужно вскрывать вторичный вал, разбирать, и проверять в чём там причина. 
• В частности, это касается первой и второй передачи.
• После этого достаём планетарный редуктор.

• А под ним находим и ролики подшипников и иглы подшипника пятой передачи.

• В сателлитах также оказался приличный люфт.

• А на вид они все выглядят целыми.
• Но, самое интересное мы обнаружили дальше. Редуктор в корпусе колокола срезал имеющуюся грань.
• В результате в одном месте на изгибе образовалась трещина.

• Её хорошо видно с другой стороны в колоколе.

• Вполне понятно, что через эту трещину и выгнало в результате всё масло из коробки.
• А срезала грань корпуса шпонка, установленная в оси сателлитов дифференциала или редуктора.

• Кусок этой шпонки срезало, после чего она просто выпала вниз установочной шахты редуктора.

• Этот фрагмент в процессе вращения и срезал грань корпуса картера коробки.
• Однако, теперь возникает вполне логичный вопрос, почему же эта шпонка оказалась срезанной.
• Для начала попытались выбить ось сателлитов, но нам это сразу не удалось.
• В результате когда всё же удалось выбить эту ось, то стало понятным, что весь дифференциал или редуктор придётся менять.
• Дело в том, что вместо круглого отверстия под ось сателлитов, в корпусе редуктора образовался эллипс.

• То есть, ось сателлитов выбила отверстие, которое превратилось из круглого в овальное.
• Вот это и стало причиной того, что рассыпались подшипники. А отсюда и начались проблемы с переключением передач.
• Поэтому нужно теперь думать, каким образом выйти из создавшегося положения.
• А наш рассказ о самостоятельной разборке и дефектовке коробки переключения передач Чери Элара А21 на этом окончен.

ВАЗ 2110 дефектовка кпп — фото, описание на VAZ-2110.

net

Бортжурнал Лада 2110 ушла в авторай.

Комплектующие для тюнинга КПП.

Бортжурнал Лада 2110 ушла в авторай.

Разборка коробки передач ВАЗ 2110.

Первичный вал 2110, состояние плохое изношены зубья на малой шестерне.

Электрооборудование ВАЗ 2110 (Лада).

Lada 2110 ушла в авторай.

Дефектовка КПП ВАЗ 2110 часть 1 или 1я и 2я передача.

КПП ВАЗ 2108 Шестерня 2-й передачи в сборе.

Разборка коробки передач ВАЗ 2110.

Logbook Lada 2110 ушла в авторай.

0119300020517000017 Ремонт автомобиля

Размещение завершено

Участники и результаты

Требования к участникам

1. Единые требования к участникам (в соответствии с частью 1 Статьи 31 Федерального закона № 44-ФЗ)

2. Требования к участникам закупок в соответствии с частью 1. 1 статьи 31 Федерального закона № 44-ФЗ

Электронный аукцион признан несостоявшимся:

По результатам рассмотрения вторых частей заявок принято решение о несоответствии требованиям, установленным документацией об электронном аукционе, всех вторых частей заявок на участие в нем или о соответствии указанным требованиям только одной второй части заявки на участие в нем (ч.13 ст.69 44-ФЗ)

Участник	Цена,  ₽	Первые части заявок	Вторые части заявок
░░░ ░░░░░░░░░░░░░░░	░░ ░░░░░░ 	░░░░░ 	░░░░░
№ ░░░░░	—	░░░░░ 	░░░░░

Руководство по устранению неполадок

Checkpoint VPN: команды для отладки брандмауэра

В этом примере туннель между GWA (шлюз A) и GWB (шлюз B) не работает. Оба шлюза могут управляться одним и тем же сервером управления или разными. Оба могут быть межсетевыми экранами Check Point или один может быть другого бренда.

Поскольку хотя бы один шлюз должен быть шлюзом Check Point, которым мы управляем, в этом примере это GWA. GWB может быть еще одним из наших шлюзов или внешним.

Монитор SmartView

Давайте посмотрим, что это говорит о туннеле. (Для просмотра туннелей VPN в SmartView Monitor требуется лицензия на мониторинг, установленная на сервере управления и активированная на самом шлюзе).

Откройте SmartView Monitor и перейдите в «Туннели на шлюзе»:

Сначала выберите GWA в списке и проверьте, является ли рассматриваемый туннель UP, DOWN или Up — Init. Up — Init означает, что он пытается установить туннель, и, вероятно, будет означать, что через несколько секунд туннель перейдет в состояние DOWN или UP.
Теперь снова перейдите в «Туннели на шлюзе» и выберите GWB (если оба шлюза управляются одним и тем же сервером управления).

Узнайте, как indeni обеспечивает упреждающее обслуживание межсетевых экранов Check Point

Одна проблема, которую мы могли здесь увидеть, это, например, то, что туннель ВЕРХНЕН с точки зрения GWA, но ВНИЗ с точки зрения GWB. Если в сообществе VPN активирован «Постоянный туннель» (оба шлюза должны быть Check Point), они будут обмениваться тестовыми пакетами туннеля UDP (имя: tunnel_test, UDP / 18234).Если GWA не получает эти пакеты, он будет думать, что туннель не работает.

Однако мы могли бы оказаться в ситуации, когда пакеты от GWA к GWB прибывают, но не в обратном направлении (GWB к GWA). Затем мы увидим, что туннель выглядит вверх с одной стороны, но не с другой. Причина в том, что пакеты теряются при передаче, возможно, из-за защиты от DDoS-атак, маршрутизации в Интернете или других проблем.

Если у нас есть туннель от нашего шлюза Check Point (GWA) к шлюзу без контрольной точки (GWB), мы не можем использовать постоянные туннели. Это означает, что туннель будет отключен и не появится в этом списке, пока по нему не будет отправлен трафик.

Итак, почему он не работает, может быть так просто, если в туннель не был отправлен трафик. Другая проблема может возникнуть, если GWB не является шлюзом Check Point, но постоянный туннель все равно активирован. Затем туннель будет отображаться как неработающий с точки зрения GWA, поскольку предполагается, что GWB отправит пакеты тестирования туннеля.

SmartLog / SmartViewTracker

Сортировка трафика с использованием GWA в качестве источника и GWB в качестве пункта назначения.Затем проверьте и наоборот: GWA в качестве пункта назначения и GWB в качестве источника.

Здесь мы могли видеть, например, неверен ли PSK (предварительный общий ключ) или теряются ли пакеты IKE. Если PSK неверен, убедитесь, что обе стороны имеют один и тот же PSK, и помните, что он не может быть длиннее 64 символов (больше, и он будет обрезан до 64 символов, см. Sk66660 на портале поддержки Check Point.

Если туннель внезапно разорвался, проверьте падение с момента, когда туннель перестал работать.Могут возникнуть ситуации, когда журнал сброса не отображается повторно. Наиболее частая вещь, которую вы здесь можете увидеть, — это не очень понятная ошибка «Пакет отброшен из-за отсутствия действующей SA — дополнительную информацию см. В решении sk19423 в базе данных SecureKnowledge». Это означает, что два шлюза не достигли соглашения. Это связано с тем, что предложения для шлюзов различаются. Предложение содержит, например, подсети в домене шифрования.

Самая распространенная проблема в Check Point связана с чем-то, что называется суперсетью.Чтобы понять, почему Check Point это делает, нам нужно понять, как работает VPN-туннель. В туннеле VPN будет установлена ​​одна фаза 1, а затем одна фаза 2 для каждой пары подсетей. Если у вас есть две / 24 подсети на каждой стороне туннеля, которым необходимо общаться друг с другом, это 4x Phase2. Check Point создаст как можно меньше подсетей и, следовательно, по возможности создаст одну подсеть / 23 вместо 2x / 24. Если на другой стороне туннеля настроено 2x / 24, а в Check Point есть один / 23 в предложении, туннель завершится ошибкой.Проверить предложения в Tracker или SmartLog непросто, поэтому для этого нам нужно отладить VPN-туннель и проверить файл отладки с помощью IKEView (см. Следующий раздел ниже).

Если вы получаете сообщение об ошибке «недействительный сертификат», значит, порт 18264 между шлюзом и сервером управления закрыт. Этот порт используется GWA для проверки сертификата GWB в случае, если оба управляются одним и тем же сервером управления. Тогда они не используют PSK.

IKEView

Если мы не можем установить причину сбоя туннеля с помощью описанных выше методов, нам необходимо улучшить отладку.Вы можете обратиться к: sk63560 на портале поддержки Check Point. Ниже приводится краткое изложение.

На активном шлюзе запустите:

 # vpn debug trunc 

Теперь файл отладки будет создан по адресу: $ FWDIR / log / ike.elg и $ FWDIR / log / ike. elg.0

Выполните некоторые сбросы в туннеле, чтобы получить данные в этом или туннеле, который не работает, попробуйте снова установить туннель, отправив данные в туннель, затем загрузите файл ike.elg на свой рабочий стол и откройте его с помощью IKEView (доступно на сайте поддержки Check Point).Если у вас нет лицензии на мониторинг для SmartView Monitor, вы можете использовать команду CLI:

 # впн ту 

для сброса туннелей на GWA. Выберите вариант (7) Удалить все IPsec + IKE SA для данного однорангового узла (GW) и введите IP-адрес GWB. В этой программе вы увидите, какие данные пересылаются между шлюзами, какие предложения и т. Д., Чтобы увидеть, есть ли что-то не совпадающее. Он сортируется по IP-адресу удаленного шлюза, и вы можете следить как за тем, какое предложение GWA отправляет GWB, так и за тем, что GWB отправляет GWA.Завершите отладку с помощью:

 # отладка vpn выключена # отладка vpn IKEoff 

При желании удалите $ FWDIR / log / ike. elg *, чтобы в следующий раз при устранении неполадок в нем не осталось старых вещей.

zdebug

Еще один инструмент, который мы можем использовать, — это zdebug. Это инструмент для проверки отброшенных пакетов и причин.
Вам интересно, почему это называется zdebug? Судя по всему, имя человека, написавшего эту программу, начиналось с Z.

.

Бывают случаи, когда у нас могут быть падения, которые не регистрируются в обычном журнале, или причина не указана там должным образом.Тогда вам пригодится zdebug. Заходим в GWA и запускаем (в экспертном режиме):

 # fw ctl zdebug drop | grep IP_OF_GWB 

Это покажет, есть ли у нас отброшенные пакеты IKE и т. Д. Пример вывода:

; [cpu_5]; [fw4_0]; fw_log_drop_ex: Packet proto = 17 УДАЛЕНО: 500 -> УДАЛЕНО: 500 сброшено с помощью fwpslglue_chain Причина: Удаление PSL: ASPII_MT; ; [cpu_5]; [fw4_0]; fw_log_drop_ex: Packet proto = 17 УДАЛЕНО: 500 -> УДАЛЕНО: 500 сброшено с помощью fwpslglue_chain Причина: Удаление PSL: ASPII_MT; ; [cpu_5]; [fw4_0]; fw_log_drop_ex: Packet proto = 17 УДАЛЕНО: 500 -> УДАЛЕНО: 500 сброшено с помощью fwpslglue_chain Причина: Удаление PSL: ASPII_MT; 

Затем вы можете найти в центре пользователей Check Point часть «fwpslglue_chain Reason: PSL Drop: ASPII_MT», и в этом примере вы найдете проблему sk
, которая объясняет проблему и решение для этого конкретного примера.

Если ничего не работает

Если ничего не может быть решено указанными выше методами и если время критично, можно принять некоторые экстренные меры:

• Отказ от кластера (если это кластер)
• Политика принудительной отправки
• Удалите сообщество и создайте его заново
• Убедитесь, что вы используете IKE v1 в сообществе

Джонатан Бровалл Нордстрем (Johnathan Browall Nordström) — руководитель группы по сети и безопасности в Betsson Group. Он работает с межсетевыми экранами Check Point более четырех лет.Если вы тоже хотите внести свой вклад, нажмите здесь.

QRadar: Обзор устранения неполадок CheckPoint

Решение проблемы

Обзор
Использование двоичного файла LEAPIPE2SYSLOG для устранения неполадок
Устранение неполадок — SIC pull
Устранение неполадок LEA Service
Какие порты необходимо открыть для использования OPSEC / LEA?
Устранение проблем конфигурации

Обзор

Протокол OPSEC / LEA выполняет двоичный файл, называемый leapipe2syslog, который был создан с помощью CheckPoint SDK, для получения событий межсетевого экрана из CheckPoint. По умолчанию он использует TCP-соединение с портом 18184. Полученные события загружаются в двоичный файл, а затем отправляются обратно через UDP на порт 18184, чтобы любой DSM, прослушивающий этот порт, анализировал события и пересылал их по конвейеру.

Использование двоичного файла LEAPIPE2SYSLOG для устранения неполадок

После настройки источника журнала создается файл конфигурации для передачи в двоичный файл leapipe2syslog . Протокол обычно использует этот двоичный файл в качестве демона (фоновой службы) для приема и формирования событий, но его можно запустить на переднем плане, чтобы получить представление о любых возможных проблемах с подключением.

Бинарный файл находится в « / opt / qradar / bin / leapipe2syslog », а сгенерированный файл конфигурации должен находиться в « / store / tmp » и иметь вид « leapipe_config _ ####. Conf . «.
Чтобы увидеть, как ваша конфигурация выполняется в двоичном файле, используйте следующую команду:

/ opt / qradar / bin / leapipe2syslog -vV -s /store/tmp/leapipe_config_<####>. conf

Где <####> — это число, добавленное в конец имени файла.команда -vV обеспечивает подробный вывод в окно терминала.
Чтобы отправить вывод в текстовый файл для отправки, хранения или поиска, используйте следующую версию команды:

/ opt / qradar / bin / leapipe2syslog -vV -s /store/tmp/leapipe_config_<####>.conf > .txt

Проверка этого файла позволяет пользователю видеть выходные данные отладки двоичного файла leapipe. Большую часть полезной информации об отладке соединения можно найти после строки «Вызов opsec_Mainloop».

Ошибка SIC (это проблемы с сертификатами / CN / DN) или COMM FAILURE / COMM IS DEAD для проблем с каналом связи может быть замечена здесь, указывая на то, что были предоставлены неправильные параметры конфигурации.

ПРИМЕР ОШИБОК ВЫВОДА (из двоичного вывода):
A) Доверие не было инициализировано или установлено ранее. Это необходимо сбросить в SmartConsole:

Ошибки вывода образца

[6585 151541840] @ VM199-22. q1labs.lab [5 октября 10:25:33] call_handlers_list: преобразование не выполнено, установите cn = cp_mgmt, O = Контрольная точка1..example3 в качестве исходного имени

[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] PM_session_init: данный сеанс O (CN = vm19922_app, O = CheckPoint1..example3; cn = cp_mgmt, O = CheckPoint1..example3; 18184; lea).
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] PM_policy_query: сеанс ввода O (CN = vm19922_app, O = CheckPoint1..example3; cn = cp_mgmt, O = CheckPoint1..example3; 18184; ле).
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] PM_policy_query: правило найдено (ME; cn = cp_mgmt, O = CheckPoint1..example3; 18184; lea; sslca (1/1)).
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] PM_policy_query: успешно завершено. 1-й метод = sslca
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] filter_method_array: метод аутентификации sslca не инициализирован, удалите его из результата запроса.
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] PM_policy_choose: успешно завершено. выберите: ОТКАЗАТЬ.
[6585 151541840] @ VM199-22.q1labs.lab [5 октября, 10:25:33] policy_choose: выбрать не удалось.
[6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] sic_client_negotiate_auth_method: сбой при выборе политики.
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] fwasync_do_mux_in: 13: обработчик вернулся с ошибкой
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25: 33] sic_client_end_handler: для conn id = 13
-> [6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] opsec_auth_client_connected: сбой подключения (119)
-> [6585 151541840] @ VM199-22.q1labs.lab [5 окт., 10:25:33] opsec_auth_client_connected: Ошибка SIC для lea: клиенту не удалось выбрать метод аутентификации для службы lea
-> [6585 151541840] @ VM199-22.q1labs.lab [5 окт. : 25: 33] opsec_auth_client_connected: conn = (nil) opaque = 0x90a7e80 err = 0 comm = 0x90a8990
-> [6585 151541840] @ VM199-22. q1labs.lab [5 октября 10: 25:33] comm не удалось подключиться 0x90a8990
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] OPSEC_SET_ERRNO: err = 8 Связь не подключена / невозможно подключиться (pre = 0)
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] COM 0x90a8990 получил сигнал 131075
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] уничтожение связи 0x90a8990
[6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25: 33] Уничтожение comm 0x90a8990 с 2 активными сеансами
-> [6585 151541840] @ VM199-22.q1labs.lab [5 октября 10:25:33] Уничтожение сеанса (90ab3c8) id 3 (ent = 90a5690) Причина = SIC_FAILURE

B) Неправильный АТРИБУТ SIC в QRadar (установите только cp вместо cp_mgmt):
Сервер отвечает правильным именем правила, которое не соответствует нашей конфигурации, поэтому процесс завершается ошибкой.

Пример SIC ATTRIBUTE

[13875 150833232] @ VM199-22. q1labs.lab [5 октября 10:51:23] set_keep_alive (comm 0x
88): первая настройка времени: сеанс: 3, интервал: 5000

[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_conn_params: ->
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_connbuf_realloc: перераспределение 0 от 0 до 1028
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_conn_get: получить максимальный размер буфера (4194304).
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_connbuf_realloc: перераспределение 0 с 0 на 1028
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51: 23] sic_client_set_version: 13: версия протокола 5

00

[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] cpsicdemux_check_mode: server_mode = 1 | required_mode = 1
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] fwasync_conn_get: получить максимальный размер буфера (4194304).
[13875 150833232] @ VM199-22. q1labs.lab [5 октября 10:51:23] fwasync_conn_get: получить максимальный размер буфера (4194304).
-> [13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] sic_client_handler: сервер отправил клиенту неправильное sic-имя cn = cp_mgmt , o = CheckPoint1..example3
-> [ 13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] sic_client_handler: Попытка установить соединение с sic-именем « CN = cp , O = CheckPoint1..example3″ ,
, но коллега говорит его настоящее имя — «cn = cp_mgmt, o = CheckPoint1..example3 «.
[13875 150833232] @ VM199-22.q1labs.lab [5 октября, 10:51:23] fwasync_do_mux_in: 13: обработчик вернулся с ошибкой
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] sic_client_end_handler: для conn id = 13
-> [13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] opsec_auth_client_connected: сбой подключения (111)
-> [ 13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] opsec_auth_client_connected: Ошибка SIC для lea: Одноранговый узел отправил неправильный DN: cn = cp_mgmt, o = CheckPoint1. .example3
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] opsec_auth_client_connected: conn = (nil) opaque = 0x
d8 err = 0 comm = 0x
88
[13875 150833232] @ VM199-22. q1labs.lab [5 октября 10:51:23] Comm не удалось подключиться 0x
88
-> [13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] OPSEC_SET_ERRNO: err = 8 Comm is not подключено / Невозможно подключиться (pre = 0)
[13875 150833232] @ VM199-22.q1labs.lab [5 октября 10:51:23] COM 0x
88 получил сигнал 131075
[13875 150833232] @ VM199-22.q1labs.lab [5 окт. 10:51:23] уничтожение comm 0x
88
[13875 150833232] @ VM199-22.q1labs.lab [5 окт 10:51:23] Уничтожение comm 0x
88 с 2 активными сессиями
[13875 150833232] @ VM199-22.q1labs.lab [5 окт., 10:51:23] Удаление сеанса (
b8), идентификатор 3 (ent = 900aa80), причина = SIC_FAILURE
[13875 150833232] @ VM199-22.q1labs.lab [5 окт., 10:51 : 23] SESSION ID: 3 отправляет DG_TYPE = 3

C) ПЛОХОЕ ИМЯ ПРИЛОЖЕНИЯ (установлено vm1992_app вместо vm19922_app):
Сервер пытается найти метод аутентификации для неправильно названного приложения. Когда это происходит, CheckPoint не инициализируется и завершается ошибкой.

Пример неверного имени приложения

[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] call_handlers_list: преобразование не выполнено, установите CN = cp_mgmt, O = CheckPoint1..example3 как sic имя

[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] PM_session_init: данный сеанс O (CN = vm1992_app, O = CheckPoint1..example3; CN = cp_mgmt, O = CheckPoint1. .example3; 18184; lea).
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] PM_policy_query: сеанс ввода O (CN = vm1992_app, O = CheckPoint1..example3; CN = cp_mgmt, O = CheckPoint1..example3; 18184; lea).
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] PM_policy_query: правило найдено (ME; CN = cp_mgmt, O = CheckPoint1..example3; 18184; lea; sslca (1/1) ).
[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] PM_policy_query: успешно завершено. 1-й метод = sslca
-> [20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] filter_method_array: метод аутентификации sslca не инициализирован, удалите его из результата запроса.
-> [20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] PM_policy_choose: успешно завершено. выберите: ОТКАЗАТЬ.
-> [20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] policy_choose: выбрать не удалось.
[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] sic_client_negotiate_auth_method: сбой при выборе политики.
[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] fwasync_do_mux_in: 13: обработчик вернулся с ошибкой
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] sic_client_end_handler: для conn id = 13
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] opsec_auth_client_connected: сбой подключения (119)
— > [20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] opsec_auth_client_connected: ошибка SIC для lea: клиенту не удалось выбрать метод аутентификации для службы lea
[20565 166664272] @ VM199-22 . q1labs.lab [5 окт. 10:54:23] opsec_auth_client_connected: conn = (nil) opaque = 0x9f230e0 err = 0 comm = 0x9f25a30
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] Comm не удалось подключиться 0x9f25a30
[20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] OPSEC_SET_ERRNO: err = 8 Связь не подключена / не работает для подключения (pre = 0)
[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] COM 0x9f25a30 получил сигнал 131075
[20565 166664272] @ VM199-22.q1labs.lab [5 октября 10:54:23] уничтожение comm 0x9f25a30
[20565 166664272] @ VM199-22.q1labs.lab [5 окт 10:54:23] Уничтожение comm 0x9f25a30 с 2 активными сессиями
-> [20565 166664272] @ VM199-22.q1labs.lab [5 окт. 10:54:23] Уничтожение сеанса (9f28508) id 3 (ent = 9f22ef0) cause = SIC_FAILURE

Если ваш источник журналов CheckPoint работает, он останется активным и продолжит распечатывать журналы. Если ваш источник журнала CheckPoint не работает, он закроется, и журналы остановятся. Для отображения сбоев связи и выхода из журнала может потребоваться минута.

Устранение неполадок — SIC pull

Если вы не можете получить сертификат, вот наиболее частые причины:

1. Неверный одноразовый пароль для получения сертификата.
2. Политика не установлена. Если это так, вам нужно будет сбросить объект и из Smart Dashboard перейдите в Политика, Установить. Также опубликуйте изменения и установите их в базу данных, чтобы убедиться, что все обновлено.
3. Порт 18210 и 18184 не открыт. Вы можете проверить, открыты ли эти порты, с помощью сеанса tcpdump. Например, в командной строке введите команду
   tcpdump -nnAs0 -i eth0 порт 18210 и порт 18184 .

Если они не открыты, см. Раздел «Мои записи SIC кажутся правильными, но я получаю ОТКАЗ при использовании аутентификации sslca» для настройки правил брандмауэра.

Примеры успешного и неудачного извлечения сертификата.

Успешное извлечение сертификата из /var/log/qradar.

log

root @ example tmp # cat opsec_cert_192.0.2.X.log

Полное имя объекта:
CN =, O = (as определено в конфигурации источника журнала)
Сертификат успешно создан и записан в "/opt/qradar/conf/opsec_cert_192.0.2.X.p12".

Неудачное получение сертификата из / var / log / qradar.log

Неудачное получение сертификата (из qradar.log):

24 сентября 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ ИНФОРМАЦИЯ] [НЕ: 0000006000] [192.0.2.X / - -] [- / - -] Следующее сообщение подавляется 1 раз за 300000 миллисекундSep 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ОШИБКА] [НЕ: 0070003100] [192.0.2.X / - -] [- / - -] Не удалось получить сертификат для сервера LEA 192.0.2.X.Sep 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ИНФОРМАЦИЯ] [НЕ: 0000006000] [192. 0.2.X / - -] [- / - -] Следующее сообщение подавляется 1 раз за 300000 миллисекунд 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ ИНФОРМАЦИЯ] [НЕ: 0000006000] [192.0.2.X / - -] [- / - -] Следующее сообщение подавляется 1 раз за 300000 миллисекундSep 24 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ОШИБКА] [НЕ: 0000003000] [192.0.2.X / - -] [- / - -] Ошибка Opsec. rc = -1 err = -93 Указанный объект не существует в Cer
tificate Authority
24 сентября 10:59:41 192.0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA .LEAProvider: [INFO] [NOT: 0000006000] [192.0.2.X / - -] [- / - -] Следующее сообщение подавлено 1 раз за 300000 миллисекунд
24 сентября 10:59:41 192.0.2.X [ecs ] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAProvider: [ERROR] [NOT: 0070003100] [192.0.2.X / - -] [- / - -] Не удалось получить сертификат для LEA сервер 192.0.2.X.
24 сентября 10:59:41 192. 0.2.X [ecs] [Thread-150979] com.q1labs.semsources.sources.LEA.LEAS Источник: [ОШИБКА] [НЕ: 0070003100] [192.0.2.X / - - ] [- / - -] Похоже, возникла проблема конфигурации с подключением к провайдеру «LEA Provider 192.0.2.X ».

Поиск и устранение неисправностей Служба LEA

Работает ли служба LEA?
Команда: ps -ef | grep -i lea
[root @ example tmp] # ps -ef | grep lea
root 5472 15114 0 14:20 pts / 2 00:00:00 grep lea
root 11442 1 0 Sep23 tty1 00:00:00 / sbin / mingetty --noclear tty1
корень 31840 18763 0 14:19? 00:00:00 / opt / qradar / bin / leapipe2syslog -s / store / tmp / leapipe_config_46350.conf

В файле /var/log/qradar.log вы также можете увидеть, что служба LEA работает:

Служба LEA работает

сен 24 14:19:11 192.0.2.X [ecs] [Тема поставщика протокола OPSEC LEA: поставщик LEA 192.0.2.X] com.q1labs.semsources.sources.LEA.LEASource: [INFO] [NOT: 0000006000] [192.0.2.X / - -] [- / - - ] OPSEC LEA provider 'LEA Provider 192. 0.2.X' config ok; теперь пытаюсь запустить ...
24 сен, 14:19:33 192.0.2.X [ecs] [Тема поставщика протокола OPSEC LEA: поставщик 192 LEA.0.2.X] com.q1labs.semsources.sources.LEA.LEAS Источник: [ИНФОРМАЦИЯ] [НЕ: 0000006000] [192.0.2.X / - -] [- / - -] Поставщик LEA поставщика OPSEC LEA 192.0.2. X ' теперь работает под управлением .

Могу ли я использовать один и тот же сертификат в нескольких конфигурациях контрольных точек?

Вы можете столкнуться с проблемой, когда у вас есть два сервера, с которых вы пытаетесь получить журналы, особенно если они используют один и тот же объект Opsec. Например 10.10.x.1 и 10.10.x.2. Поскольку вы можете получить только один сертификат, вам необходимо сделать следующее:

• Настроить 10.10.x.1 в пользовательском интерфейсе QRadar, чтобы получить одноразовый сертификат из 10.10.x.1 для объекта. В конфигурации объекта вы увидите сообщение «Доверие установлено».
• При настройке 10.10.x.2 в пользовательском интерфейсе не пытайтесь извлечь сертификат, так как это не удастся, так как это только одноразовое извлечение. Вместо этого установите флажок «Указать сертификат» и заполните тот же сертификат, который использовался для 10.10.x.1. Это должно быть /opt/qradar/conf/opsec_cert_10.10.x.1.p12.

Как только мы выяснили, что он использует тот же объект OPSEC, мы указали сертификат для их вторичного сервера на тот же сертификат, что и их первичный сервер, и они запущены и работают.

Какие порты нужно открыть для использования OPSEC / LEA?

Какие порты нужно открыть для использования OPSEC / LEA?
Для вытягивания сертификата необходимо 18210 двунаправленных
Для LEA необходимо 18184 двунаправленных.

Какой тип аутентификации (sslca, sslca_clear или clear) мне следует использовать?
Большинство установок будут использовать sslca. Вы можете попробовать дополнительные типы аутентификации, если они были настроены в контрольной точке, но по умолчанию вы должны использовать sslca.

Чтобы проверить конфигурацию, вы можете:

Устранение проблем конфигурации

Все мои записи SIC кажутся правильными, но я получаю ОТКАЗ, используя аутентификацию sslca.Если вы видите это сообщение PM_policy_choose: завершено успешно. выберите: ОТКАЗАТЬ в выходных данных leapipe_config, этот раздел устранения неполадок может предоставить некоторые решения для решения этой проблемы.
Вернитесь к . Использование двоичного файла LEAPIPE2SYSLOG для устранения неполадок в leapipe_config, если вам требуется дополнительная информация.

Пример отказа в контрольной точке

[13448 -135006528] @ example.q1labs.inc [24 сен, 14:07:46] PM_policy_query: успешно завершено.1-й метод = sslca

[13448 -135006528] @ example.q1labs.inc [24 сен, 14:07:46] filter_method_array: метод аутентификации sslca не инициализирован, удалите его из результата запроса.
[13448 -135006528] @ example.q1labs.inc [24 сен, 14:07:46] PM_policy_choose: успешно завершено. выберите: ОТКАЗАТЬ.
[13448 -135006528] @ example.q1labs.inc [24 сен, 14:07:46] policy_choose: выбрать не удалось.
[13448 -135006528] @ example.q1labs.inc [24 сен 14:07:46] sic_client_negotiate_auth_method: сбой при выборе политики.

Проверьте конфигурацию сертификата

1. Найдите свой сертификат для OPSEC. Он будет выглядеть так: /opt/qradar/conf/trusted_certificates/lea/opsec_cert_.p12
2. Выполните команду:
   keytool -list -keystore .p12 -storetype PKCS12 -v
3. Нажмите введите, так как сертификат не имеет пароля.
4. Результат должен выглядеть примерно так:
   

Пример вывода Keytool

[root @ VM199-22 lea] # keytool -list -keystore opsec_cert_192.0.2.X.p12 -storetype PKCS12 -v

Введите пароль хранилища ключей: <нажмите ENTER - без пароля>

***************** ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ **** *************
* Целостность информации, хранящейся в хранилище ключей *
*, НЕ проверена! Чтобы проверить его целостность, *
* вы должны предоставить пароль srckeystore. *
***************** ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ *****************

Тип хранилища ключей: PKCS12
Поставщик хранилища ключей: IBMJCE

Ваше хранилище ключей содержит 2 записи

Псевдоним: Example_ca
Дата создания: 5 октября 2017 г.
Тип записи: trustCertEntry

Владелец: O = CheckPoint1..example3
Издатель: O = CheckPoint1..example3
Серийный номер: 1
Действителен с: 29.06.17 9:23 до: 24.06.37 9:23
Отпечатки сертификата:
MD5: C8: B3 : 04: 6B: D3: 10: F3: E8: 49: B5: 85: 01: 89: D4: 10: F5
SHA1: 88: 29: 6C: F0: 12: 49: 1F: 2E: F5: 72 : AB: 6A: 16: 83: AB: 2B: EE: 81: FF: 33
SHA256: 89: A4: A7: 77: CB: 3B: 40: E9: 6D: 08: 6A: 95: A4: 1F : ED: D4: B8: DF: 51: 83: 44: 15: EA: 2C: D2: 28: AA: 10: F4: 10: 99: CE
Имя алгоритма подписи: SHA256withRSA
Версия: 3

Расширения:

# 1: ObjectId: 2.5.29.15 Criticality = false
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]

# 2: ObjectId: 2.5.29.19 Criticality = true
BasicConstraints: [
CA: true
PathLen: 2147483647
]

**************************************
********** ********************************
-> Псевдоним: vm19922_app
Дата создания: 5 октября , 2017
Тип записи: trustCertEntry

-> Владелец: CN = vm19922_app, O = CheckPoint1..example3
-> Эмитент: O = CheckPoint1..example3
Серийный номер: 175cb
Действителен с: 17.10.17 10:33 до: 04.10.22 10:33
Отпечатки сертификатов:
MD5: 22: 26: 40: 61: D2: A8: 37: 14: FE: 03: 1D: 59: 87: 8F: 91: FE
SHA1: 9A: 8D: 26: 78: 53: 2B: DC: FB: C2: 22: C9: 49: 46: 20: B1: 4A: 89: A9: A2: D7
SHA256: A6: 1D: B7: DB: 2C: 08: 97: AF: 1C: 0D: 89: 38: 14: 10: B4: 6F: B2: DA: BB: 3A: 70: 85: 02: 40: 9B: 41: AE: C4: AC: 74: AA: 33
Имя алгоритма подписи: SHA256withRSA
Версия: 3

Расширения:

# 1: ObjectId: 2.5.29.31 Критичность = false
CRLDistributionPoints [
1 Точки распространения CRL:

Точка распространения: [
Имя точки распространения: [URIName:, http: // CheckPoint1: 18264 / ICA_CRL0.crl CN = ICA_CRL0, O = CheckPoint1 .. example3]
Флаги причины: null
Эмитент: null
]
]

# 2: ObjectId: 2.5.29.15 Criticality = false
KeyUsage [
DigitalSignature
Key_Encipherment
]

# 3: ObjectId: 2.5.29.19 Criticality = false
BasicConstraints: [
CA: false
PathLen: undefined
]

Основные строки, которые мы проверяем:

• Псевдоним: vm19922_app
• Владелец: CN = vm19922_app, O = CheckPoint1..example3
• Издатель: O = CheckPoint1..example3

Этот сертификат подходит для конфигурации OPSEC / LEA источника журналов с использованием:

• Атрибут SIC объекта приложения OPSEC (имя SIC): CN = vm19922_app, O = CheckPoint1. .example3
• Атрибут SIC источника журнала (имя SIC объекта): CN = cp_mgmt, O = CheckPoint1..example3

Здесь можно с уверенностью проверить OPSEC_SIC_NAME, но CN для OPSEC_ENTITY_SIC_NAME все еще необходимо проверить, но он обычно cp_mgmt.
Используя эти сведения, убедитесь, что ваша конфигурация источника журналов имеет правильное значение « O = » в полях SIC Attribute и SIC Entity.

Конфигурация межсетевого экрана

Во-вторых, настройка правила межсетевого экрана через SmartConsole является рекомендуемым первым шагом для R80 / R80.10 или любого другого сервера управления CheckPoint с включенной SmartConsole.

1. Войдите в Smart Console
2. Щелкните "Политики безопасности" слева.
3. Создайте правило брандмауэра:
   Источник: <Ваш сервер контрольной точки>
Место назначения: Любые службы и приложения
:
https: 443
ssh_version_2 : 22
FW1_lea: 18184
FW1_ica_pull: 18210
Инструменты FW1_ica_mgmt: 18265
FW1_ica_services: 18264
icap: 1344
Установить на: Цели политики
Действие: принять
   
4. политики, установить любые изменения, опубликовать любые изменения.
5. Попытка еще раз подключиться к серверу из QRadar.

Внесение исправлений с помощью интерфейса командной строки

Наконец, если метод Smart Console не устраняет проблему, мы можем попытаться сделать это через интерфейс командной строки.

В некоторых случаях, даже если в файле fwopsec.conf нет другого конкретного auth_type , вам все равно может потребоваться вручную добавить sslca как auth_type в файл fwopsec.conf из-за настроек в других местах .

1. Используя сеанс SSH, подключитесь к серверу управления Checkpoint и перейдите в экспертный режим.
2. Измените каталог на $ FWDIR \ conf с помощью команды:
   cd $ FWDIR \ conf
3. Найдите файл fwopsec.conf.
4. Добавьте следующие строки в конец файла:

• lea_server auth_type sslca
• lea_server auth_port 18184

Перезапустите службу контрольной точки с помощью команды cpstop / cpstart, чтобы изменения вступили в силу.

Пример файла fwopsec.conf

-Типичный файл fwopsec выглядит так:

[Expert @ checkpointr75_mgmt] # cat fwopsec.conf
#
# (c) Copyright 1993-2011 Check Point Software Technologies Ltd.
# All права защищены.
#
# Это конфиденциальная информация Check Point Software Technologies
# Ltd., которая предоставляется только в информационных целях и для использования
# исключительно в сочетании с авторизованным использованием Check Point Software
# Technologies Ltd.продукты. Просмотр и использование этой информации
# регулируется, насколько это возможно, положениями и условиями лицензионного соглашения
#, которое разрешает использование соответствующего продукта.
#
# По умолчанию в этом файле нет активных записей.
# Начиная с этой версии Check Point, цель этого файла конфигурации OPSEC
#:
# 1) Представить конфигурацию по умолчанию методов безопасности
# и номеров портов серверов OPSEC в Check Point.
# 2) Разрешить администратору изменять эти значения по умолчанию.
# 3) Для настройки нестандартных методов безопасности для клиентских продуктов OPSEC.
#
# Примечание:
# Чтобы изменить метод безопасности для старых серверных продуктов OPSEC, используйте
# SmartDashboard для редактирования метода обратной совместимости серверов UFP / CVP
#.
#
# Формат записи конфигурации:
#
#
# Где:
# - одно из:
# sam_server, lea_server, ela_server, cpmi_server, uaa_server.
# является одним из:
# auth_port: Сервер OPSEC прослушивает защищенные соединения
# на следующем номере порта.
# порт: сервер OPSEC ожидает сброса соединений
# на следующем номере порта.
# - это целочисленный номер порта:
# 0: означает, что этот метод безопасности отключен.
#> 0: указывает номер порта для этого метода безопасности.
#
# Возможно, что конкретный сервер OPSEC будет прослушивать как
# безопасные, так и чистые соединения (на двух разных портах!).
# Метод безопасности «clear» можно использовать только для соединений с продуктами
# OPSEC с использованием OPSEC SDK версии 4.1.2 и ниже.
#
# Чтобы изменить настройку записи по умолчанию:
# a. Удалите знак комментария (#) в начале строки.
# б. Измените номер порта.
#
# Настройки по умолчанию для шлюза безопасности / управления:
# infoview_360000094_1.7z
# sam_server auth_port 18183
# sam_server port 0
#
# lea_server auth_port 18184
# lea_server port 0
# 900_13 # ela_server
# ela_server auth_port 1818 порт 0
#
# cpmi_server auth_port 18190
#
# uaa_server auth_port 19191
# uaa_server порт 0
#

Результаты: Теперь ваш источник журнала CheckPoint настроен.

Если у вас по-прежнему возникают проблемы с настройкой источника журналов CheckPoint, обратитесь за помощью в службу поддержки IBM.

Где можно найти дополнительную информацию?

---

[{"Продукт": {"код": "SSBQAC", "ярлык": "IBM Security QRadar SIEM"}, "Бизнес-подразделение": {"код": "BU059", "ярлык": "Программное обеспечение IBM w \ / o TPS "}," Компонент ":" Интеграция - третья сторона "," Платформа ": [{" код ":" PF016 "," метка ":" Linux "}]," Версия ":" 7.3.1; 7.3; 7.2.8 "," Редакция ":" "," Сфера деятельности ": {" code ":" LOB24 "," label ":" Программное обеспечение безопасности "}}]

Часто задаваемые вопросы (Устранение неполадок межсетевого экрана) (Check Point)

Следующие часто задаваемые вопросы, на которые ответили авторы этого раздела, предназначены как для измерения вашего понимания концепций, представленных в этом разделе, так и для того, чтобы помочь вам в реализации этих концепций в реальной жизни.

Q: Как я могу убедиться, что мой NAT работает правильно?

A: Вы можете начать с просмотра SmartView Tracker. Вы можете выбрать предопределенный запрос FireWall-1 или, если вы находитесь в представлении «Все записи», вам нужно будет включить поля NAT в запросе. Выберите Просмотр | Свойства запроса. Затем вы можете выбрать номер правила NAT, номер дополнительного правила NAT, XlateSrc и XlateDst. Затем вы можете сравнить источник / XlateSrc, а затем пункт назначения / XlateDst, чтобы определить, правильно ли работает NAT.

Если это не дает вам того, что вы ищете, или если журналы в SmartView Tracker не соответствуют вашим ожиданиям, вы можете запустить команду fw monitor на брандмауэре, чтобы проверить, как работает NAT. Если вы пытаетесь выполнить статический NAT с IP_A на IP_B, вы можете настроить такой фильтр, чтобы увидеть, происходит ли преобразование в источнике:

Если при этом создается слишком много данных, и вы хотите выполнить дальнейшую фильтрацию на основе номера порта, попробуйте следующее:

Первые четыре записи здесь показывают пакет на пути от клиента к серверу, а первые три точки проверки (i, I и o) показывают, что исходный IP-адрес остается прежним.Затем в четвертой записи, когда пакет покидает межсетевой экран, адрес источника преобразуется в 172.16.1.3. Вы можете заметить, что порт источника также транслируется, именно так FireWall-1 выполняет скрытый NAT.

В последних четырех записях вы видите пакет возврата от сервера к клиенту. Первая проверка возвращаемого пакета предназначена для преобразованного адреса 172.16.1.3 (обратите внимание на тот же порт источника). Затем пакет преобразуется обратно в исходный IP-адрес и порт источника для оставшейся части процесса проверки.

Q: Какой инструмент подходит для просмотра того, какое правило передает какие соединения: fw monitor, SMARTView Monitor или SMARTView Tracker?

A: SmartView Tracker - единственный инструмент, который покажет вам номер правила, связанный с записью журнала.

Q: Как мне использовать инструменты, описанные в этом разделе, для устранения проблемы, при которой я не получаю входящую электронную почту?

A: Первое, что нужно проверить, если кто-то звонит с проблемой входящей электронной почты, - это SmartView Tracker.Если используется сервер безопасности, вы можете увидеть важную информацию в поле «Информация», например, антивирусный сканер может не отвечать или почтовый сервер (последний MTA) может не принимать электронную почту. Если вы не можете определить проблему только по журналам, попробуйте выполнить ping, traceroute, а затем выполнить telnet на адрес их внешнего почтового сервера через порт 25 и попытаться доставить почтовое сообщение вручную. Вы также можете сделать то же самое из межсетевой экран на адрес внутреннего почтового сервера. Если вы не знаете внешний адрес их почтового сервера, но знаете их доменное имя, используйте nslookup -q = mx domain.com, чтобы найти запись об их почтовом обменнике. Запись MX с наименьшим приоритетом будет предпринята первой. Если решение по-прежнему не удается найти, убедитесь, что NAT определен правильно и что на брандмауэре нет проблем с системными ресурсами, препятствующими обработке входящей почты. Проверьте файлы журналов и запустите fw monitor и / или tcpdump, чтобы узнать, есть ли вирус / червь, вызывающий проблемы, или определить, как далеко уходит почта, прежде чем она будет остановлена. На этом этапе было бы неплохо получить cpinfo, а затем, в крайнем случае, попробовать cpstop / cpstart и / или перезагрузить брандмауэр, чтобы попытаться снова начать работу.

Q: Какие команды SMTP используются для доставки почтового сообщения вручную?

A: Вот пример подключения к почтовому серверу. Команды, используемые для отправки сообщения вручную, выделены жирным шрифтом:

Q: Как я могу проверить соединение с веб-сервером с помощью telnet?

A: Большинство веб-серверов будут прослушивать соединения через порт 80, однако есть некоторые исключения. Если вы знаете, что это стандартное HTTP-соединение с портом 80, просто запустите telnet www.cisco.com 80, например, и если вы хотите убедиться, что у вас установлено соединение, введите GET / и нажмите Enter один или два раза. Вы должны увидеть прокрутку HTML-кода по экрану, после чего ваше соединение будет закрыто.

Q: Я пытаюсь настроить синхронизацию на паре Nokia, но в разделе ClusterXL в окне состояния SmartView появляется сообщение «Проблема!». Как я могу это решить?

A: Вот некоторые вещи, которые вы должны проверить:

■ Запустите cpconfig на каждом модуле и убедитесь, что синхронизация включена; если это не так, включите его и перезагрузитесь.

■ Запустить вкладку fw - соединения - на обоих хостах одновременно. Если синхронизация работает, вы должны увидеть очень похожее число (под #VALS) в пределах примерно 200 подключений.

■ Убедитесь, что брандмауэры используют NTP для синхронизации своего времени. Чем ближе они к одному и тому же времени, тем лучше будет работать синхронизация состояний; рекомендуется, чтобы они находились не более чем в нескольких секундах друг от друга.

■ Убедитесь, что объект кластера определен правильно:

1.Убедитесь, что у вас выбран правильный режим доступности (высокая доступность или распределение нагрузки).

2. Убедитесь, что у вас включена синхронизация и определена безопасная сеть.

■ Запустите команду fw ctl pstat и просмотрите информацию о синхронизации, отображаемую в модулях.

■ Запустите tcpdump на интерфейсе синхронизации , чтобы проверить, работает ли синхронизация и отправляются и принимаются ли пакеты.

Если синхронизация работает правильно, вы должны увидеть вывод, аналогичный приведенному ниже, при мониторинге интерфейса синхронизации через tcpdump.Обратите внимание, что второй столбец в выходных данных содержит пакеты ввода и вывода, что указывает на то, что на этом интерфейсе есть как входящий, так и исходящий трафик синхронизации.

Q: Как с помощью команды fw tab узнать, сколько хостов подсчитал мой брандмауэр?

A: Используйте команду fw tab —t host_table -s. Вывод будет выглядеть примерно так, как показано ниже. Число под #VALS - это текущее количество подсчитанных хостов.

: Глава 11.Site-to-Site VPN :: Check Point FireWall :: Сеть :: eTutorials.org

Ниже приводится список типичных проблем и решений, связанных с установкой VPN. Обратите внимание, что любые сообщения об ошибках, которые вы видите в SmartView Tracker / Log Viewer, задокументированы в руководствах Check Point. Ниже приведены некоторые из наиболее распространенных ошибок.

11.13 Общие рекомендации по поиску и устранению неполадок VPN

Убедитесь, что между двумя конечными точками разрешены соответствующие виды трафика.Если на пути есть какие-либо фильтрующие маршрутизаторы, убедитесь, что они разрешают следующие протоколы:

Кроме того, вы должны убедиться, что NAT не выполняется ни на одном из пакетов.

Иногда вам может потребоваться установить явные правила в брандмауэре, разрешающие этот трафик. В большинстве случаев в этом нет необходимости. Правила показаны на рисунке 11.25.

Рисунок 11.25. Правила, разрешающие IKE и ESP для брандмауэра

Вы также можете использовать анализатор пакетов (например,g., tcpdump, snoop, fw monitor), чтобы убедиться, что пакеты достигают шлюза. Если пакеты не достигают шлюза, FireWall-1 не может их зашифровать или расшифровать.

11.14 Нет ответа от однорангового узла

Сообщение об ошибке «Нет ответа от однорангового узла» обычно указывает на одну из следующих проблем.

• Неверные домены шифрования. Домен шифрования для брандмауэра A должен содержать все хосты за брандмауэром A и любые переведенные IP-адреса (включая скрытые).Брандмауэр должен быть включен, если он используется в качестве скрытого адреса. То же самое верно и для брандмауэра B - его домен шифрования должен содержать все хосты за брандмауэром B, любые переведенные IP-адреса и сам брандмауэр B, если он используется в качестве скрытого адреса.

• На удаленном конце в настоящее время нет правила для расшифровки пакета.

• Удаленный межсетевой экран не настроен с шифрованием.

• Что-то блокирует обмен данными между конечными точками VPN.Убедитесь, что удаленный брандмауэр правильно принимает IP-пакеты с помощью анализатора пакетов. Ищите пакеты IP-протокола 50 или UDP-порта 500.

11.15 AddNegotiation: попытаться обработать слишком много переговоров

Согласование ключей происходит, когда сначала устанавливается соединение от одного хоста к другому. Если вы видите это сообщение «AddNegotiation», это означает, что FireWall-1 одновременно обрабатывает более 200 согласований ключей. Соединения, с которыми связано это сообщение в журнале, завершатся ошибкой.В NG FP3 вы можете настроить брандмауэр для поддержки большего количества согласований IKE, отредактировав объект шлюза и перейдя к кадру оптимизации емкости. Установите здесь максимальное количество одновременных подключений IKE.

11.16 Отладка проблем взаимодействия с IKE

У всех свое толкование того, как следовать стандартам. В результате, когда сторонние продукты взаимодействуют друг с другом, связь не всегда работает. Один из способов отладки - включить отладку IKE.

В FireWall-1 4.1 необходимо было остановить и перезапустить FireWall-1, чтобы включить отладку. В NG вы можете включить это в модуле межсетевого экрана с помощью простой команды: vpn debug ikeon. Вы также можете отключить его с помощью vpn debug ikeoff. Когда вы включаете отладку, создается $ FWDIR / log / ike.elg. Этот файл содержит результаты всех происходящих согласований IKE. Этот файл немного сложно читать сам по себе. К счастью, в Check Point есть инструмент под названием IKEView, который позволяет просматривать этот файл в более удобочитаемой форме.К сожалению, это доступно только сертифицированным сервисным партнерам Check Point.

Большинство проблем взаимодействия сводятся к одному из следующих факторов.

• Произошло несоответствие параметров, то есть один параметр IKE настроен по-разному на одном конце VPN.

• Несоответствие топологии или домена шифрования.

11.17 Известные проблемы взаимодействия

В следующих подразделах подробно описаны некоторые известные проблемы совместимости с исправлениями, где это необходимо.

FireWall-1 NG FP2 / FP3 и Cisco PIX

В NG FP2 и FP3 вы можете столкнуться с проблемой при попытке установить VPN с брандмауэром Cisco PIX. Check Point выпустила исправление для решения этой проблемы. Для NG FP3 запросите исправление SHF_FW1_FP3_0006 у Check Point или у поставщика услуг поддержки. Для NG FP2 запросите SHF_FW1_FP2_0248.

Nokia Криптокластер

В NG FP3 и ранее существует несколько проблем совместимости с линейкой продуктов Nokia Crypto Cluster (CC), которые могут проявиться и в других ситуациях.В некоторых случаях вам потребуется предпринять следующие шаги.

• Отключить обработку фиксации ISAKMP в CC.

• Включите отложенное удаление основного режима в CC.

• Убедитесь, что вы не ограничиваете доступ к VPN на основе служб на CC. FireWall-1 не соответствует RFC в том, как он согласовывает IKE SA, потому что он всегда предполагает, что все службы разрешены, тогда как продукты CC согласовывают разрешенные службы как часть SA, точно так же, как должно выполняться состояние RFC.

• Если вы используете версию FireWall-1 до NG FP3 Hotfix-2, определите свой домен шифрования в терминах максимально возможных подсетей, поскольку FireWall-1 имеет тенденцию упрощать домены шифрования до максимально возможных подсети. И это несмотря на наличие опции в objects_5_0.C, которая якобы отключает это (см. FAQ 11.18).

IPSec SA не восстанавливаются должным образом после смены ключа IKE с Cisco и / или Sonicwall

Начальный туннель VPN установлен, и трафик VPN проходит.Последующие смены ключей IPSec работают нормально. Однако, когда один конец - это VPN-1 / FireWall-1, а другой конец - устройство Cisco или Sonicwall, трафик VPN не работает после смены ключа IKE до тех пор, пока не будет выполнено изменение ключа IPSec.

RFC2408 (раздел 5.15), соответствующий RFC для IKE, гласит: «Принимающий объект ДОЛЖЕН очистить свою локальную базу данных SA». Check Point интерпретирует этот раздел как означающий, что после смены ключа IKE следует отправить или подтвердить удаление ISAKMP, чтобы одновременно очистить IPSec SA.Cisco и Sonicwall не использовали этот подход и поддерживают IPSec SA через повторные ключи IKE SA. Это различие в поведении является причиной сбоя трафика VPN.

Чтобы определить, возникает ли это поведение, отобразите номера IPSec SPI до и после операции смены ключа IKE SA на стороннем устройстве. Если SPI одинаковы, устройство сохраняет IPSec SA при смене ключей IKE. Трафик VPN не будет работать до следующей смены ключа IPSec.

11.18 Ошибка шифрования: пакет отброшен из-за отсутствия действующего SA

Вы можете увидеть это сообщение об ошибке, если оба конца VPN не имеют одинакового определения для домена шифрования.Сначала убедитесь, что оба конца VPN определены с одним и тем же доменом шифрования. Если они одинаковы, вы должны создавать объекты точно такого же размера, как и созданные на удаленном конце.

Одно раздражающее поведение FireWall-1 NG демонстрирует то, чего не было в FireWall-1 4.1 и более ранних версиях, - это автоматическое упрощение подсетей в IPSec SA. Например, если ваш домен шифрования содержит явные объекты для 192.168.0.0/24 и 192.168.1.0/24, Check Point попытается согласовать IPSec SA с 192.168.0.0 / 23 вместо создания SA на основе созданных вами сетевых объектов. Чтобы устранить такое поведение, используйте dbedit для внесения следующих изменений в консоль управления (подробности о редактировании объектов_5_0.C см. В FAQ 4.2):

dbedit> изменить свойства firewall_properties
               ike_use_largest_possible_subnets ложь
dbedit> обновить свойства firewall_properties
 

Затем необходимо перезагрузить политику безопасности, чтобы это изменение вступило в силу.

11.19 Traceroute не работает через VPN

Traceroute отправляет пакеты с последовательно увеличивающимся временем жизни (TTL) (см. Главу 1). Каждый переход по пути обычно возвращает сообщение ICMP Time Exceeded, ICMP Destination Unreachable или ICMP Echo Reply.

В IPSec VPN вся связь между сайтами инкапсулируется. Когда FireWall-1 инкапсулирует пакет traceroute, новый пакет наследует значение TTL инкапсулируемого пакета.В результате каждый переход между межсетевыми экранами отправляет пакет ICMP Time Exceeded обратно на межсетевой экран. Эти пакеты игнорируются межсетевым экраном. Пользователи будут видеть эти сообщения в своей трассировке как «время ожидания запроса истекло».

Интересно, что с SecureClient на NG все переходы между межсетевым экраном и клиентом пропускаются, поэтому traceroute работает.

11.20 VPN не работает при передаче больших пакетов

Некоторые приложения устанавливают бит «Не фрагментировать» для определенных пакетов.Когда заголовки IPSec добавляются к уже большому пакету, пакет требует фрагментации для прохождения через межсетевой экран. Когда Check Point создает пакет IPSec, бит «Не фрагментировать» исходного пакета сохраняется. FireWall-1 создает фрагментированный пакет, в котором установлен бит «Не фрагментировать», поэтому он не может быть фрагментирован и, таким образом, сбрасывается на следующем маршрутизаторе.

Вы можете заставить FireWall-1 сбросить бит «Не фрагментировать», изменив свойство ipsec_dont_fragment в objects_5_0.C на ложь. Вы можете сделать это с помощью следующих команд в dbedit на консоли управления (в этом примере брандмауэром является craig):

dbedit> изменить network_objects craig VPN: ipsec_dont_fragment
               ложный
dbedit> обновить network_objects Craig
 

В качестве альтернативы вы можете использовать инструмент GUIdbedit для изменения параметра. В любом случае вам необходимо переустановить политику безопасности, чтобы это изменение вступило в силу.

Устранение неполадок Check Point VPN - примеры IKEView

Недавно я прошел через процесс устранения неполадок Check Point VPN с помощью инструмента IKEVIEW.Чтобы загрузить инструмент ikeview, нажмите здесь или ссылку для загрузки Центра поддержки.

Утилита IKEView - это инструмент Check Point, созданный для помощи в анализе файлов ike.elg (IKEv1) и ikev2.xmll (IKEv2 - поддерживается в R71 и выше). Файлыike.elg и ikev2.xmll полезны для отладки сайта сбои шифрования VPN-подключения к сайту и клиента удаленного доступа Check Point.

Включение режима отладки IKE на шлюзе безопасности приводит к записи подробной информации о трафике шифрования в $ FWDIR / log / ike.elg или файл $ FWDIR / log / ikev2.xmll. Шлюз безопасности не требует перезапуска или перезагрузки после включения режима отладки IKE. Вывод записывается в текстовом формате и может быть прочитан с помощью текстового редактора, но его трудно интерпретировать. Графический интерфейс утилиты IKEView четко обозначает разделы IPSec Phase 1 и Phase 2 на уровне пакетов для IKEv1 и IKEv2

.

Вот несколько шагов:

ШАГ 1

- Очистите все существующие файлы ike.elg, это запустит новый файл ike.elg и переименует старый.

ШАГ 2

- Включить отладку отладки IKE

ШАГ 3

- Очистите существующие туннели между интересующими шлюзами или всеми туннелями, если вам все равно. Если туннелей нет, это приведет к завершению как фазы 1, так и фазы 2. Если туннель существует, тогда
может потребоваться только Фаза 2 в зависимости от сетей, к которым подключаются.

[[адрес электронной почты защищен]: 0] # vpn tunnelutil
выберите вариант 0 (Удалить все IPSec + IKE SA для ВСЕХ узлов и пользователей)
Нажмите Enter

ШАГ 4

- инициировать VPN-соединение

Создайте соединение для запуска VPN-соединения, использующего команды ping, ftp, ssh, http,

ШАГ 5

ШАГ 6

- Получите ike.elg файл

, либо отключите этот файл по ftp, либо отправьте его через SCP

ШАГ 7

- Проанализировать файл ike.elg в IKEView.

Пример 1 : Успешные этапы 1 и 2 с отправкой правильного домена шифрования

Пример 2: Этап 1

Пример 3 : неправильные домены шифрования отправлены из Check Point

Peer отправит обратно сообщение об ошибке, в котором говорится, что INVALID-ID-INFORMATION

Пример 4 : Ошибка на этапе 2 с сообщением об ошибке INVALID-PAYLOAD-TYPE

Другие команды:


fw tab -t vpn_enc_domain_valid -f -u

«Неверный идентификатор» - ошибка фазы II.Во время Фазы II сети обмениваются вместе с параметрами аутентификации Фазы II. Для подтверждения выполните следующую команду при попытке установить туннель:
fw tab -t vpn_enc_domain_valid -f -u

Эта команда может оказаться бесполезной, если у вас много VPN, поскольку она не разделяет домены шифрования. Но в основном это будет список доменов шифрования, которые отправляет Checkpoint. Если, вероятно, будет подсеть большего размера, чем та, которую вы настроили. В этом случае поищите на этих форумах слово «суперсети».Есть несколько способов решить эту проблему.

Артикул:

Устранение неполадок VPN с контрольными точками с помощью IKEVIEW
Включение отладки IKE и VPN

Нравится:

Нравится Загрузка ...

Связанные

Сообщение навигации

Эксперт по поиску и устранению неисправностей Check Point (CCTE) (MTC-CPX-004) ПРЕДСТОЯЩИЙ - M.Tech!

Краткое содержание курса

Сертифицированный эксперт по поиску и устранению неисправностей Check Point (CCTE) предоставляет расширенные навыки поиска и устранения неисправностей для исследования и решения более сложных проблем, которые могут возникнуть при управлении средой безопасности Check Point.

Загрузите брошюру о нашем курсе

График занятий	Язык	Расположение	Статус
26-27 ЯНВ 2022	Английский	Сингапур	В наличии
30-31 МАР 2022	Английский	Сингапур	В наличии
27–28 апреля 2022 г.	Английский	Сингапур	В наличии
29-30 ИЮНЯ 2022	Английский	Сингапур	В наличии

Modern Apps не могут подключиться при использовании VPN-подключения Check Point - Windows Client

• 23.09.2021
• 2 минуты на чтение

Эта страница полезна?

Оцените свой опыт

да Нет

Любой дополнительный отзыв?

Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

В этой статье представлено решение проблемы, при которой современные приложения не могут подключиться к Интернету после подключения к корпоративной сети с помощью программного обеспечения Check Point VPN.

Применимо к: Windows 8
Исходный номер базы знаний: 2855849

Симптомы

Рассмотрим следующий сценарий:

• Вы используете версию VPN для удаленного доступа к конечным точкам Check Point, более раннюю, чем E80.50.
• Вы успешно используете современные приложения Windows 8 (Store Apps) и классические настольные приложения.
• Вы подключаетесь к корпоративной сети, если клиентское программное обеспечение Check Point VPN находится в «режиме концентратора» (то есть весь трафик маршрутизируется через виртуальный сетевой адаптер).
• После подключения индикатор состояния сети показывает, что подключение к Интернету полностью доступно.

В этом сценарии классические приложения могут успешно подключаться к Интернету.Однако современные приложения не могут подключиться. Кроме того, настольная версия Windows Internet Explorer 10 не может подключиться, если включен режим усиленной безопасности.

Причина

Эта проблема возникает из-за того, что установленный брандмауэр не может устанавливать правила, позволяющие современным приложениям обмениваться данными через виртуальную частную сеть.

Разрешение

Чтобы решить эту проблему, установите Check Point VPN E80.50 (ожидается, что он будет доступен осенью 2013 г.) со следующего веб-сайта центра поддержки Check Point:

Клиенты удаленного доступа (VPN)

Временное решение

Важно

Внимательно выполните действия, описанные в этом разделе.При неправильном изменении реестра могут возникнуть серьезные проблемы. Прежде чем изменять его, сделайте резервную копию реестра для восстановления в случае возникновения проблем.

Чтобы обойти эту проблему, запустите следующий сценарий Windows PowerShell, чтобы изменить скрытое свойство для виртуального сетевого интерфейса в реестре:

  foreach ($ subkey in (gci "HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Class \ {4D36E972-E325-11CE-BFC1-08002bE10318} -erroraction silently continue))
{
    если ((get-itemproperty $ subkey.pspath) .ComponentID eq cp_apvna)
    {
        set-itemproperty $ subkey.pspath имя Значение характеристики 0x1
    }
}
  

Продукты сторонних производителей, обсуждаемые в этой статье, производятся компаниями, независимыми от Microsoft. Microsoft не дает никаких явных или подразумеваемых гарантий относительно производительности или надежности этих продуктов.

Корпорация Майкрософт предоставляет контактную информацию сторонних производителей, чтобы помочь вам найти техническую поддержку.