VPN-Tunnel nach unten zwischen Palo Alto Networks Firewall statische IP-Adresse und Cisco VTI auf dynamische IP-Adresse

VPN-Tunnel nach unten zwischen Palo Alto Networks Firewall statische IP-Adresse und Cisco VTI auf dynamische IP-Adresse

53963
Created On 09/25/18 17:39 PM - Last Modified 06/08/23 09:59 AM


Resolution


Symptom

Site-to-Site IPSec VPN wurde zwischen Palo Alto Networks Firewall und ein Cisco-Router konfiguriert. Der VTI VPN Tunnel kommt aber nicht auf.

Ursache

Das Problem möglicherweise aufgrund von IKE Phase1 lokale und Peer-Identifikation Missverhältnis.

Lösung

  1. PA-Firewall zu konfigurieren (Netzwerk > IKE Gateways > IKE-Gateway konfigurieren), wie im folgenden Beispiel. Stellen Sie sicher, dass die lokale und Peer-Identifikation mit dem Cisco-Router übereinstimmt.
    1. PNG
    Hinweis: verwenden Sie den aggressiven Exchange-Modus und aktivieren Sie den passiven Modus, wenn das andere Ende eine dynamische IP ist. Wählen Sie eine lokale und peer-Kennung für IKE Phase 1 und vergleichen Sie diese mit der Cisco-Router-Konfiguration.

  2. Mit dem Cisco-Router in VTI Modus, IKE-Gateway zu konfigurieren (siehe Beispiel unten).  Stellen Sie wieder sicher, dass die lokale und Peer-Identifikation mit der Palo Alto Networks Firewall übereinstimmt.
    9. PNG

    Mit dem Cisco-Router im entsprechenden Crypto-Map-Modus konfigurieren Sie IKE Gateway (siehe Beispiel unten).
    2. PNG

Besitzer: Jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHVCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language