IPSec Error: Negociación IKE fase-1 es error como iniciador, modo principal. Debido al tiempo de espera de negociación

Incidencia

La negociación de la fase 1 entre el par IPSec y el PAN se identifica como "ataque terrestre". Recepción de la siguiente entrada de error en ikemgr. log:

Negociación de IKE fase 1 es no como iniciador, de modo principal. No se pudo SA: 216.204.241.93[500]-216.203.80.108[500] mensaje id: 0x43D098BB. Debido al tiempo de espera de la negociación.

Detalles

Si se ha comprobado que los ID de proxy no coinciden, intente lo siguiente:

1. Configurar un filtro fuente IP peer WAN a destino palo alto redes WAN IP
   > depurar paquete de plan de bits-Diag conjunto filtro coincidencia fuente x. x. x. x destino y. y. y. y
   
   
2. Encienda el filtro.
   > paquete de plan de bits de depuración- Diag establecer filtro en
   
   
3. Inicie un ping en la ruta inversa. En una máquina remota detrás del par VPN, ping a través del túnel VPN a un host detrás del cortafuegos pan.
   Desde un host en la red peer remoto intente hacer ping a un host en la red local detrás del cortafuegos de pan (w. w. w. w. w) c:\ > ping w. w. w. w.
   
   
   esto debe hacer que se cree el túnel e iniciar una nueva negociación IPSec Phase1.
   
   
4. Ejecute el siguiente comando un par de veces:
   > Mostrar contador global filtro Delta sí paquete-filtro sí
   

Busque gotas en la salida. Por ejemplo:

Contadores globales:

Tiempo transcurrido desde el último muestreo: 1,481 segundos

nombre valor tasa severidad categoría aspecto Descripción

-----------------------------------------------------------------------------------------

recurso de session_allocated 1 0 info sesión sesiones asignadas

recurso de session_freed 1 0 info sesión sesiones liberado

configuración de sesión de sesión de flujo de flow_policy_nat_land 1 gota 0: resultado de asignación de IP NAT en el ataque de tierra de la fuente

recursos de nat 0 info nat_dynamic_port_xlat 1 traducir el número total de dynamic_ip_port NAT llamado

recursos de nat 0 info nat_dynamic_port_release 1 el número total de lanzamiento NAT dynamic_ip_port llamado

-----------------------------------------------------------------------------------------

Total de contadores muestras: 5

-----------------------------------------------------------------------------------------

Resolución

En este caso, elcontador global ' flow_policy_nat_land ' muestra un ' Drop ', indicando un problema de configuración que provoca que el tráfico se caiga, causando este error de "timeout".

En la orden para resolver el ataque de tierra, vea: fuente mal configurada NAT y ataques de tierra

Propietario: vvasilasco