Website-to-Site IPSec VPN zwischen Palo Alto Networks Firewall und Cisco Router mit VTI nicht vorbei an Traffic
Resolution
Problem
Website-to-Site IPSec VPN wurde zwischen Palo Alto Networks Firewall und Cisco Router mit Virtual Tunnel Interface (VTI) konfiguriert. AllerDings wird der IKE-Phase-2-Verkehr nicht zwischen der Palo Alto Networks Firewall und dem Cisco Router durchlaufen.
Zusammenfassend lässt sich sagen, dass das VPN unten ist:
- Der Interface-Tunnel ist
- IKE Phase 1 up, aber IKE Phase 2 Down
Ursache
Das Problem kann durch ein fehl Spiel der IKE Phase 2 verursacht werden. PFS mismatch.
Lösung
Konfigurieren Sie die Palo Alto Networks Firewall und den Cisco Router, um die gleiche PFS-Konfiguration zu haben.
Auf der Palo Alto Networks Firewall, gehen Sie zu Network > IPSec crypto. Wählen Sie das Krypto-Profil, das für den Tunnel verwendet wird, wie folgt, und stellen Sie sicher, dass die Werte der DH-Gruppe mit denen des
Setzen Sie auf dem Cisco-Router die PFS, um die Einstellungen der Palo Alto Networks Firewall zu erreichen.
Unten ist eine Ausgabe auf Palo Alto Networks Firewall CLI Running Tail folgen ja ikemgr. log. Das erste hervorgehobene Kästchen zeigt die Nachricht für ein PFS-Missverhältnis. Die zweite hervorgehobene Box zeigt die Nachrichten nach der Korrektur des PFS-missspiels.
Auf der Palo Alto Networks Firewall, laufen Sie zeigen VPN Flow Tunnel-ID, <id-number>um zu überprüfen, ob ENCAP und decap-Pakete erhöhen.</id-number>
Geben Sie auf dem Cisco-Router die Show Crypto IPSec SA ein, um zu überprüfen, ob ENCAP und decap pcakets inkrementat sind.
Besitzer: Jlunario