問題
IPSec ピアと PAN 間のフェーズ1ネゴシエーションが "土地攻撃" として識別されています。Ikemgr で次のエラーエントリを受信しています。
としてイニシエーター、メイン モード IKE フェーズ 1 ネゴシエーションが失敗しました。失敗 SA: 216.204.241.93[500]-216.203.80.108[500] メッセージの id: 0x43D098BB。によるネゴシエーションがタイムアウトしました。
詳細
プロキシ id の不一致がチェックされている場合は、次の手順を試してください。
- フィルタソースを構成するピア wan ip を宛先にするにはパロアルトネットワーク wan ip
> デバッグ dataplane パケット diag セットフィルター一致ソース x. x. x. x 宛先 y. y y
- フィルターの電源を入れます。
> dataplane パケット-diag セットフィルタのデバッグ
- リバースパスで ping を開始します。vpn ピアの背後にあるリモートコンピュータで、vpn トンネルを経由して、パンファイアウォールの背後にあるホストに ping を行います。
リモートピアネットワーク上のホストから、PAN ファイアウォール (w. w. w) の背後にあるローカルネットワーク上のホストに ping を実行しようとする
と、このトンネルが作成され、新しい Phase1 IPSec ネゴシエーションが開始します。
- 次のコマンドを数回実行します。
> カウンタグローバルフィルタデルタを表示はいパケットフィルタはい
出力の滴を探します。例えば:
グローバルのカウンター:
最後のサンプリングからの経過時間: 1.481 秒
名前値率重大度カテゴリの側面の説明
-----------------------------------------------------------------------------------------
session_allocated 1 0 情報セッション リソース割り当てられたセッション
session_freed 1 0 情報セッション リソース解放セッション
flow_policy_nat_land 1 0 ドロップ フロー セッション セッション セットアップ: ソース NAT IP 割り当て結果土地攻撃で
dynamic_ip_port NAT の合計数に変換 nat_dynamic_port_xlat 1 0 情報 nat リソースと呼ばれる
nat_dynamic_port_release 1 0 情報 nat リソース dynamic_ip_port NAT リリース数の合計と呼ばれる
-----------------------------------------------------------------------------------------
示すカウンターを合計: 5
-----------------------------------------------------------------------------------------
解決方法
この場合、'flow_policy_nat_land' グローバルカウンタは ' drop ' を示しており、この「タイムアウト」エラーの原因となって、トラフィックが削除される原因となる構成の問題を示しています。
土地攻撃を解決するためには、参照してください:間違ったソース NAT と土地攻撃
所有者: vvasilasco