La supervisión del túnel VPN para entre los firewalls de las redes de Palo Alto y Cisco ASA no está funcionando

• PA-3260
• PAN-OS v.8.1.7
• Cisco ASA
• Monitoreo de túneles
• Múltiples ADR de proxy

Hay múltiples pares ID proxy-en las redes palo alto firewall que están enlazadas al mismo túnel, pero podríamos habilitar solamente un monitor del túnel porque la configuración sólo permite un destino IP y, por abandono, elige la interfaz del túnel IP como su IP fuente.

En varios ID escenarios proxy-, hay varios SAs de fase 2 creados, que coinciden con cada ID proxy- pares configurados y están enlazados al mismo túnel. Cuando se habilita la supervisión del túnel, las redes de Palo Alto firewall enviarían los mismos paquetes de monitor a través de todos los SAs de fase 2 enlazados a la misma interfaz del túnel.

La ASA aplicación de controles estrictos de ID proxy- y "tráfico interesante." El tráfico interesante se refiere al tráfico que Cisco ASA permitiría a través de su SA .Las direcciones IP del monitor en cualquiera de los extremos deben formar parte del tráfico interesante o de los ID de proxy reales

Para los SAs que no hacen juego este paquete del monitor, el ASA caerá el paquete, y puesto que las redes de Palo Alto firewall no recibieron una respuesta, el sería SA rekeyed.

Los dispositivos palo alto networks sólo pueden obtener los paquetes de monitoreo de la interfaz del IP túnel. Los dispositivos palo alto networks pueden monitorear por túnel, pero no por SA base.

1. En las redes de Palo firewall Alto, construya una nueva interfaz de túnel para cada ID proxy- , así que se crean las SAs explícitas de la fase 2 y sólo uno SA está enlazado a una interfaz de túnel.
2. Asigne a la interfaz del túnel una IP que pertenezca a la misma subred que la subred local mencionada en ese proxy- ID .
3. Elija un no utilizado IP de la subred local y configúrelo como una dirección /32 en la interfaz del IP túnel.
4. Repita para todos los túneles.

NOTE:
El extremo remoto, así como el destino a monitorear, debe ser parte del proxy local del par- ID porque Cisco no ASA responderá a un mensaje proxy de palo alto networks ID y el túnel caerá.

Si el procedimiento anterior no es posible debido a la complejidad o a las ID combinaciones proxy-, después usted no debe habilitar la supervisión del túnel.

• El artículo anterior se basa en el valor predeterminado que si habilitamos la supervisión del túnel para los túneles IPSec con varios PROXY-ID, el firewall enviará los mismos sondeos del monitor de origen/destino a través de cada uno de ellos.

• Puesto PAN-OS que 7.0, hay un CLI comando de configuración solamente para habilitar la supervisión del túnel para el proxy único- ID :

# set network tunnel ipsec <tunnel_name> tunnel-monitor proxy-id <proxy_id> ...