Túnel de la VPN hacia abajo entre Palo Alto Networks Firewall IP Address estático y Cisco VTI en dirección IP dinámica

Túnel de la VPN hacia abajo entre Palo Alto Networks Firewall IP Address estático y Cisco VTI en dirección IP dinámica

53965
Created On 09/25/18 17:39 PM - Last Modified 06/08/23 09:59 AM


Resolution


Síntoma

VPN de sitio a sitio IPSec se ha configurado entre un servidor de seguridad de Palo Alto Networks y un router de Cisco. Sin embargo, el túnel VPN de VTI no sube.

Causa

El problema puede ser debido a IKE Phase1 local y desajuste de identificación entre pares.

Resolución

  1. Configurar el cortafuegos de PA (red > IKE Gateways > configurar IKE Gateway), como en el ejemplo siguiente. Asegúrese de que la identificación local y de pares coincida con el router Cisco.
    1 PNG
    Nota: Utilice el modo de intercambio agresivo y active el modo pasivo si el otro extremo es una IP dinámica. Elija a un local y par de la identificación de la fase 1 de IKE y este partido a la configuración de Router Cisco.

  2. Con el router de Cisco en el modo de VTI, configurar IKE Gateway (ver ejemplo abajo).  De nuevo, asegúrese de que la identificación local y de pares coincida con el cortafuegos de Palo Alto Networks.
    9. PNG

    Con el router Cisco en el modo de mapa criptográfico equivalente, configure la pasarela IKE (vea el ejemplo siguiente).
    2 PNG

Propietario: jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHVCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language