Tunnelüberwachung VPN für zwischen Palo Alto Networks Firewalls und Cisco ASA funktioniert nicht

• PA-3260
• PAN-OS v.8.1.7
• Cisco ASA
• Tunnel Überwachung
• Mehrere Proxy-IDs

Es gibt mehrere ID Proxy-Paare in den Palo Alto-Netzwerken, die an denselben Tunnel gebunden firewall sind, aber wir konnten nur einen Tunnelmonitor aktivieren, da die Konfiguration nur ein Ziel zulässt IP und standardmäßig die Tunnelschnittstelle als Quelle auswählt. IP IP

In mehreren ID Proxy-Szenarien werden mehrere Phase-2-SAs erstellt, die mit jedem konfigurierten Proxy-Paar übereinstimmen ID und an denselben Tunnel gebunden sind. Wenn die Tunnelüberwachung aktiviert ist, senden die Palo Alto-Netzwerke firewall dieselben Monitorpakete über alle Phase 2-SAs, die an dieselbe Tunnelschnittstelle gebunden sind.

Die ASA erzwingt strenge Kontrollen von Proxy- ID und "interessantem Verkehr". Interessanter Datenverkehr bezieht sich auf Datenverkehr, den der Cisco ASA durch seine erlauben SA würde.Die Monitor-IPs an beiden Enden sollten Teil des interessanten Datenverkehrs oder der tatsächlichen Proxy-IDs sein.

Für die SAs, die nicht mit diesem Monitorpaket übereinstimmen, ASA wird das Paket abgesendet, und da die Palo Alto-Netzwerke firewall keine Antwort erhalten haben, wird die SA erneute Schlüssel.

Palo Alto Networks-Geräte können die Überwachungspakete nur aus der Tunnelschnittstelle IP beziehen. Palo Alto Networks-Geräte können pro Tunnel überwacht werden, jedoch nicht pro SA Basis.

1. Erstellen Sie auf den Palo Alto Networks firewall für jeden Proxy- eine neue Tunnelschnittstelle, so dass ID die expliziten Phase 2-SAs erstellt werden und nur eine SA an eine Tunnelschnittstelle gebunden ist.
2. Weisen Sie die Tunnelschnittstelle zu, die IP zum gleichen Subnetz wie das lokale Subnetz gehört, das in diesem Proxy- erwähnt ID wird.
3. Wählen Sie eine nicht verwendete IP aus dem lokalen Subnetz aus, und konfigurieren Sie sie als /32-Adresse IP auf der Tunnelschnittstelle.
4. Für alle Tunnel WiederHolen.

NOTE:
Das Remote-Ende sowie das zu überwachende Ziel sollten Teil des lokalen Proxys des Peers sein, ID da Cisco nicht auf eine Palo ASA Alto Networks Proxy-Nachricht reagiert ID und der Tunnel abfällt.

Wenn das obige Verfahren aufgrund der Komplexität oder Proxy-Kombinationen nicht möglich ID ist, sollten Sie die Tunnelüberwachung nicht aktivieren.

• Der obige Artikel basiert auf der Standardeinstellung, dass, wenn wir die Tunnelüberwachung für IPSec-Tunnel mit mehreren Proxy-IDs aktivieren, die gleichen firewall Quell-/Zielmonitor-Tests durch jeden von ihnen senden.

• Seit PAN-OS 7.0 gibt CLI es nur einen Konfigurationsbefehl, um die Tunnelüberwachung für einzelne Proxy- ID zu aktivieren:

# set network tunnel ipsec <tunnel_name> tunnel-monitor proxy-id <proxy_id> ...