Tunnel VPN vers le bas entre Palo Alto Networks Firewall adresse IP statique et Cisco VTI sur adresse IP dynamique

Tunnel VPN vers le bas entre Palo Alto Networks Firewall adresse IP statique et Cisco VTI sur adresse IP dynamique

53975
Created On 09/25/18 17:39 PM - Last Modified 06/08/23 09:59 AM


Resolution


Symptôme

IPSec site à Site VPN a été configuré entre un firewall Palo Alto Networks et un routeur Cisco. Cependant, le tunnel VPN VTI ne vient pas vers le haut.

Cause

Le problème peut être dû à IKE Phase1 locales et par les pairs identification non concordance.

Résolution

  1. Configurer le pare-feu de la PA (réseau > IKE passerelles > configurer IKE Gateway), comme dans l’exemple ci-dessous. Assurez-vous que la correspondance d'Identification locale et d'homologue avec le routeur Cisco.
    1.PNG
    Remarque: Utilisez le mode d'Échange agressif et activez le mode passif si L'autre extrémité est une adresse IP dynamique. Choisissez un local et par les pairs d’Identification pour la phase 1 de IKE et cela correspond à la Configuration du routeur Cisco.

  2. Avec le routeur Cisco en mode VTI, configurez IKE Gateway (voir exemple ci-dessous).  Encore une fois, assurez-vous que l'Identification locale et homologue match avec le pare-feu de Palo Alto Networks.
    9. PNG

    Avec le routeur Cisco en mode crypto Map équivalent, configurez la passerelle IKE (voir exemple ci-dessous).
    2. PNG

propriétaire : jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHVCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language