Problem
Die Phase-1-Verhandlung zwischen IPSec Peer und PAN wird als "LAND Angriff" identifiziert. Den folgenden Fehler Eintrag im ikemgr. log erhalten:
IKE-Aushandlung Phase-1 ist als Initiator, Haupt-Modus fehlgeschlagen. Failed SA: 216.204.241.93[500]-216.203.80.108[500] message-Id: 0x43D098BB. Aufgrund einer Zeitüberschreitung in Verhandlung.
Details
Wenn die Proxy-IDs auf Missverhältnis überprüft wurden, versuchen Sie Folgendes:
- Konfigurieren Sie eine Filter Quelle Peer WAN IP zu Ziel Palo Alto Networks WAN IP
> Debug dataplane Paket-Diag Set Filter Match Source x. x. x. x Destination y. y . y. y
- Schalten Sie den Filter ein.
> Debug-dataplane-Paket-Diag- Set-Filter auf
- Initiieren Sie einen Ping im umgekehrten Pfad. Auf einer entfernten Maschine hinter dem VPN-Peer, Ping über den VPN-Tunnel zu einem Host hinter der PAN-Firewall.
Von einem Host im entfernten Peer-Netzwerk versuchen Sie, einen Host im lokalen Netzwerk hinter der Pan-Firewall (w. w. w. w) c:\ > Ping w. w. w zu Ping.
Dies sollte dazu führen, dass der Tunnel angelegt wird, und eine neue Phase1 IPSec-Verhandlung einleiten.
- Führen Sie den folgenden Befehl ein paar Mal:
> Counter Global Filter Delta ja Packet-Filter ja
Suchen Sie nach Tropfen in der Ausgabe. Zum Beispiel:
Globale Zähler:
Verstrichene Zeit seit der letzten Probenahme: 1,481 Sekunden
Name Wert schwere Kategorie Aspekt Beschreibung
-----------------------------------------------------------------------------------------
Session_allocated 1 0 Info Session Ressource zugeordnet Sessions
Session_freed 1 0 Info Session Ressource Sitzungen befreit
Flow_policy_nat_land 1 0 Tropfen fließen Sitzung Session Setup: source-NAT IP Zuweisung Ergebnis im LAND-Angriff
Nat_dynamic_port_xlat 1 0 Info Nat Ressource die Gesamtzahl der Dynamic_ip_port NAT übersetzen genannt
Nat_dynamic_port_release 1 0 Info Nat Ressource bezeichnet die Gesamtzahl der Dynamic_ip_port NAT Freigabe
-----------------------------------------------------------------------------------------
Gesamt-Zähler angezeigt: 5
-----------------------------------------------------------------------------------------
Lösung
In diesem Fallzeigt der globale Zähler "flow_policy_nat_land" einen ' Drop ' an, der auf eine Konfigurations Frage hinweist, die dazu führt, dass der Traffic gelöscht wird, was diesen "Timeout"-Fehler verursacht.
In der Reihenfolge, um den LAND Angriff zu lösen, siehe: falsch konfigurierte Quelle NAT und Land Angriffe
Besitzer: Vvasilasco