Erreur de IPSec : Négociation IKE Phase 1 est impossible en tant qu’initiateur, Mode principal. En raison du délai d’attente de négociation

Demande client

La négociation de la phase 1 entre IPSec Peer et Pan est identifiée comme «attaque terrestre». Réception de l'Entrée d'erreur suivante dans le ikemgr. log:

La négociation IKE phase 1 n’arrive pas en tant qu’initiateur, mode principal. SA failed : 216.204.241.93[500]-216.203.80.108[500] message id : 0x43D098BB. En raison du délai d’attente de négociation.

Détails

Si les ID de proxy ont été vérifiés pour une incompatibilité, essayez ce qui suit:

1. Configurer une source de filtrage homologue WAN IP vers destination Palo Alto Networks WAN IP
   > Debug dataplane Packet-diag Set filtre match source x. x. x. x destination y . y. y. y
   
   
2. Allumez le filtre.
   > Debug dataplane paquet-diag Set Filter on
   
   
3. Lancez un ping dans le chemin inverse. Sur une machine distante derrière l'homologue VPN, ping à travers le tunnel VPN à un hôte derrière le pare-feu Pan. À
   partir d'un hôte sur le réseau distant Peer essayer de ping d'un hôte sur le réseau local derrière le pare-feu Pan (w. w. w. w) c:\ > ping w. w. w. w
   
   
   cela devrait provoquer la création du tunnel et amorcer une nouvelle négociation IPSec phase1.
   
   
4. Exécutez la commande suivante une couple de fois:
   > Show compteur global Filter Delta Oui paquet-filtre oui
   

Recherchez les gouttes dans la sortie. Par exemple :

Compteurs globaux :

Temps écoulé depuis le dernier prélèvement : 1,481 secondes

nom valeur taux gravité catégorie aspect description

-----------------------------------------------------------------------------------------

session_allocated 1 0 info session ressource Sessions affectée

ressource de session_freed 1 0 info session Sessions libéré

installation de la flow_policy_nat_land 1 goutte 0 flux session Session : source résultat attribution IP NAT en attaque terrestre

ressource de nat info 0 nat_dynamic_port_xlat 1 le nombre total de dynamic_ip_port NAT traduire appelé

ressource de nat_dynamic_port_release 1 0 info nat le nombre total de libération NAT dynamic_ip_port appelé

-----------------------------------------------------------------------------------------

Total des compteurs illustrés : 5

-----------------------------------------------------------------------------------------

Résolution

Dans ce cas, lecompteur global'flow_policy_nat_land'affiche un'drop', indiquant un problème de configuration entraînant la chute du trafic, provoquant cette erreur "timeout".

Pour résoudre l'attaque terrestre, voir: NAT source mal configurée et attaques terrestres

propriétaire : vvasilasco