Surveillance des tunnels VPN entre Palo Alto Networks Firewalls et Cisco ne fonctionne ASA pas

• PA-3260
• PAN-OS v.8.1.7
• Cisco ASA
• Surveillance du tunnel
• Identités proxy multiples

Il y a plusieurs paires proxy ID sur les réseaux de Palo Alto qui sont liées au même firewall tunnel, mais nous ne pourrions activer qu’un seul moniteur de tunnel car la configuration ne permet qu’une seule destination et, par IP défaut, choisit l’interface du tunnel IP comme IP source.

Dans plusieurs scénarios ID proxy, plusieurs SA de phase 2 sont créés, qui correspondent à chaque paire proxy ID configurée et sont liées au même tunnel. Lorsque la surveillance des tunnels est activée, les réseaux De Palo Alto firewall enverrait les mêmes paquets de moniteur à travers tous les SA de phase 2 liés à la même interface tunnel.

ASAL’applique des contrôles stricts de proxy- ID et « trafic intéressant. » Trafic intéressant se réfère à la circulation que le Cisco ASA permettrait à travers son SA .Les adresses IPs de moniteur sur les deux extrémités devraient faire partie du trafic intéressant ou des proxy-IDs réels

Pour les AS qui ne correspondent pas à ce paquet de moniteur, le ASA va laisser tomber le paquet, et depuis les réseaux Palo Alto firewall n’a pas reçu de SA réponse, le serait rekeyed.

Palo Alto Networks périphériques ne peuvent s’approvisionner les paquets de surveillance de l’interface tunnel IP . Les appareils Palo Alto Networks peuvent surveiller par tunnel, mais pas par SA base.

1. Sur les réseaux de Palo Alto firewall , construire une nouvelle interface tunnel pour chaque Proxy- , de sorte que la phase explicite ID 2 SAs sont créés et un seul SA est lié à une interface tunnel.
2. Assignez l’interface de tunnel IP un qui appartient au même sous-réseau que le sous-réseau local mentionné dans celui Proxy- ID .
3. Choisissez un IP sous-réseau local inutilisé et configurez-le comme une adresse /32 IP sur l’interface du tunnel.
4. Répétez pour tous les tunnels.

NOTE:
L’extrémité éloignée, ainsi que la destination à surveiller, devraient faire partie de la procuration locale du pair- ID parce que le Cisco ne répondra pas à un Palo Alto Networks ASA Proxy- message et le tunnel va ID tomber.

Si la procédure ci-dessus n’est pas possible en raison de la complexité ou ID proxy-combinaisons, alors vous ne devriez pas activer la surveillance du tunnel.

• L’article ci-dessus est basé sur la valeur par défaut que si nous permettons la surveillance des tunnels IPSec avec plusieurs proxy-IDs, le firewall enverra la même source / destination moniteur sondes à travers chacun d’eux.

• Depuis PAN-OS 7.0, il existe une seule CLI commande de configuration permettant la surveillance des tunnels pour un seul Proxy- ID :

# set network tunnel ipsec <tunnel_name> tunnel-monitor proxy-id <proxy_id> ...