IPSec IKE Phase-1-Verhandlungen ist als Initiator, Hauptmodus Fehler. Negotiation Timeout

IPSec IKE Phase-1-Verhandlungen ist als Initiator, Hauptmodus Fehler. Negotiation Timeout

234342
Created On 09/25/18 17:36 PM - Last Modified 06/02/23 09:08 AM


Resolution


Problem

Die Phase-1-Verhandlung zwischen IPSec Peer und PAN wird als "LAND Angriff" identifiziert. Den folgenden Fehler Eintrag im ikemgr. log erhalten:

IKE-Aushandlung Phase-1 ist als Initiator, Haupt-Modus fehlgeschlagen. Failed SA: 216.204.241.93[500]-216.203.80.108[500] message-Id: 0x43D098BB. Aufgrund einer Zeitüberschreitung in Verhandlung.

 

Details

Wenn die Proxy-IDs auf Missverhältnis überprüft wurden, versuchen Sie Folgendes:

  1. Konfigurieren Sie eine Filter Quelle Peer WAN IP zu Ziel Palo Alto Networks WAN IP
    > Debug dataplane Paket-Diag Set Filter Match Source x. x. x. x Destination y. y . y. y

  2. Schalten Sie den Filter ein.
    > Debug-dataplane-Paket-Diag- Set-Filter auf

  3. Initiieren Sie einen Ping im umgekehrten Pfad. Auf einer entfernten Maschine hinter dem VPN-Peer, Ping über den VPN-Tunnel zu einem Host hinter der PAN-Firewall.
    Von einem Host im entfernten Peer-Netzwerk versuchen Sie, einen Host im lokalen Netzwerk hinter der Pan-Firewall (w. w. w. w) c:\ > Ping w. w. w zu Ping.


    Dies sollte dazu führen, dass der Tunnel angelegt wird, und eine neue Phase1 IPSec-Verhandlung einleiten.

  4. Führen Sie den folgenden Befehl ein paar Mal:
    > Counter Global Filter Delta ja Packet-Filter ja

 

Suchen Sie nach Tropfen in der Ausgabe. Zum Beispiel:

Globale Zähler:

Verstrichene Zeit seit der letzten Probenahme: 1,481 Sekunden

Name Wert schwere Kategorie Aspekt Beschreibung

-----------------------------------------------------------------------------------------

Session_allocated 1 0 Info Session Ressource zugeordnet Sessions

Session_freed 1 0 Info Session Ressource Sitzungen befreit

Flow_policy_nat_land 1 0 Tropfen fließen Sitzung Session Setup: source-NAT IP Zuweisung Ergebnis im LAND-Angriff

Nat_dynamic_port_xlat 1 0 Info Nat Ressource die Gesamtzahl der Dynamic_ip_port NAT übersetzen genannt

Nat_dynamic_port_release 1 0 Info Nat Ressource bezeichnet die Gesamtzahl der Dynamic_ip_port NAT Freigabe

-----------------------------------------------------------------------------------------

Gesamt-Zähler angezeigt: 5

-----------------------------------------------------------------------------------------

 

Lösung

In diesem Fallzeigt der globale Zähler "flow_policy_nat_land" einen ' Drop ' an, der auf eine Konfigurations Frage hinweist, die dazu führt, dass der Traffic gelöscht wird, was diesen "Timeout"-Fehler verursacht.


In der Reihenfolge, um den LAND Angriff zu lösen, siehe: falsch konfigurierte Quelle NAT und Land Angriffe

 

Besitzer: Vvasilasco
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGbCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language