VPN-Tunnel nach unten zwischen Palo Alto Networks Firewall statische IP-Adresse und Cisco VTI auf dynamische IP-Adresse
53963
Created On 09/25/18 17:39 PM - Last Modified 06/08/23 09:59 AM
Resolution
Symptom
Site-to-Site IPSec VPN wurde zwischen Palo Alto Networks Firewall und ein Cisco-Router konfiguriert. Der VTI VPN Tunnel kommt aber nicht auf.
Ursache
Das Problem möglicherweise aufgrund von IKE Phase1 lokale und Peer-Identifikation Missverhältnis.
Lösung
- PA-Firewall zu konfigurieren (Netzwerk > IKE Gateways > IKE-Gateway konfigurieren), wie im folgenden Beispiel. Stellen Sie sicher, dass die lokale und Peer-Identifikation mit dem Cisco-Router übereinstimmt.
Hinweis: verwenden Sie den aggressiven Exchange-Modus und aktivieren Sie den passiven Modus, wenn das andere Ende eine dynamische IP ist. Wählen Sie eine lokale und peer-Kennung für IKE Phase 1 und vergleichen Sie diese mit der Cisco-Router-Konfiguration. - Mit dem Cisco-Router in VTI Modus, IKE-Gateway zu konfigurieren (siehe Beispiel unten). Stellen Sie wieder sicher, dass die lokale und Peer-Identifikation mit der Palo Alto Networks Firewall übereinstimmt.
Mit dem Cisco-Router im entsprechenden Crypto-Map-Modus konfigurieren Sie IKE Gateway (siehe Beispiel unten).
Besitzer: Jlunario