Tunnel VPN vers le bas entre Palo Alto Networks Firewall adresse IP statique et Cisco VTI sur adresse IP dynamique
53975
Created On 09/25/18 17:39 PM - Last Modified 06/08/23 09:59 AM
Resolution
Symptôme
IPSec site à Site VPN a été configuré entre un firewall Palo Alto Networks et un routeur Cisco. Cependant, le tunnel VPN VTI ne vient pas vers le haut.
Cause
Le problème peut être dû à IKE Phase1 locales et par les pairs identification non concordance.
Résolution
- Configurer le pare-feu de la PA (réseau > IKE passerelles > configurer IKE Gateway), comme dans l’exemple ci-dessous. Assurez-vous que la correspondance d'Identification locale et d'homologue avec le routeur Cisco.
Remarque: Utilisez le mode d'Échange agressif et activez le mode passif si L'autre extrémité est une adresse IP dynamique. Choisissez un local et par les pairs d’Identification pour la phase 1 de IKE et cela correspond à la Configuration du routeur Cisco. - Avec le routeur Cisco en mode VTI, configurez IKE Gateway (voir exemple ci-dessous). Encore une fois, assurez-vous que l'Identification locale et homologue match avec le pare-feu de Palo Alto Networks.
Avec le routeur Cisco en mode crypto Map équivalent, configurez la passerelle IKE (voir exemple ci-dessous).
propriétaire : jlunario