Demande client
La négociation de la phase 1 entre IPSec Peer et Pan est identifiée comme «attaque terrestre». Réception de l'Entrée d'erreur suivante dans le ikemgr. log:
La négociation IKE phase 1 n’arrive pas en tant qu’initiateur, mode principal. SA failed : 216.204.241.93[500]-216.203.80.108[500] message id : 0x43D098BB. En raison du délai d’attente de négociation.
Détails
Si les ID de proxy ont été vérifiés pour une incompatibilité, essayez ce qui suit:
- Configurer une source de filtrage homologue WAN IP vers destination Palo Alto Networks WAN IP
> Debug dataplane Packet-diag Set filtre match source x. x. x. x destination y . y. y. y
- Allumez le filtre.
> Debug dataplane paquet-diag Set Filter on
- Lancez un ping dans le chemin inverse. Sur une machine distante derrière l'homologue VPN, ping à travers le tunnel VPN à un hôte derrière le pare-feu Pan. À
partir d'un hôte sur le réseau distant Peer essayer de ping d'un hôte sur le réseau local derrière le pare-feu Pan (w. w. w. w) c:\ > ping w. w. w. w
cela devrait provoquer la création du tunnel et amorcer une nouvelle négociation IPSec phase1.
- Exécutez la commande suivante une couple de fois:
> Show compteur global Filter Delta Oui paquet-filtre oui
Recherchez les gouttes dans la sortie. Par exemple :
Compteurs globaux :
Temps écoulé depuis le dernier prélèvement : 1,481 secondes
nom valeur taux gravité catégorie aspect description
-----------------------------------------------------------------------------------------
session_allocated 1 0 info session ressource Sessions affectée
ressource de session_freed 1 0 info session Sessions libéré
installation de la flow_policy_nat_land 1 goutte 0 flux session Session : source résultat attribution IP NAT en attaque terrestre
ressource de nat info 0 nat_dynamic_port_xlat 1 le nombre total de dynamic_ip_port NAT traduire appelé
ressource de nat_dynamic_port_release 1 0 info nat le nombre total de libération NAT dynamic_ip_port appelé
-----------------------------------------------------------------------------------------
Total des compteurs illustrés : 5
-----------------------------------------------------------------------------------------
Résolution
Dans ce cas, lecompteur global'flow_policy_nat_land'affiche un'drop', indiquant un problème de configuration entraînant la chute du trafic, provoquant cette erreur "timeout".
Pour résoudre l'attaque terrestre, voir: NAT source mal configurée et attaques terrestres
propriétaire : vvasilasco