Proxy-ID-Begrenzungs Fehler

Proxy-ID-Begrenzungs Fehler

54094
Created On 09/25/18 19:43 PM - Last Modified 06/09/23 08:50 AM


Resolution


Problem

Folgende Fehleranzeige nach Übergabe:
Commit-Fehler: Tunnel Schnittstellen Tunnel. x mehrfach Bindungs Begrenzung (10) erreicht.

 

Ursache

Es gibt eine Grenze für die maximale Anzahl von Proxy-IDs pro Phase 2.

 

Lösung

Um VPNs mit mehr als 10 Proxy-IDs zu implementieren, konfigurieren Sie einen weiteren Tunnel mit der gleichen Phase 1 und der zweiten Phase 2.

oder

SuperNet die Proxy-IDs. Anstatt zum Beispiel 10.1.0.0/16, 10.2.0.0/16 zu verwenden, kann der Bereich auf 10.0.0.0/8 überlagert werden, um mehrere Einträge zu vermeiden.

 

Um das erste VPN zu konfigurieren:

Gehen Sie zu Netzwerk > Schnittstellen. Eine neue Tunnel Schnittstelle erstellen. Folgende Parameter zuweisen:

  • Name Tunnel. 2
  • Virtueller Router Wählen Sie den bestehenden virtuellen Router aus.
  • ZoneWählen Sie die Ebene 3 innere Zone, aus der der Verkehr entstehen wird.

Gehen Sie zum Netzwerk > Netzwerk Profile > IKE Gateways Screen, um das IKE Phase 1 Gateway auf diesem Bildschirm zu konfigurieren. Klicken Sie auf neu und geben Sie:

  • IKE Gateway GW-to-SITEX, oder jeder Name Ihrer Wahl.
  • Lokale IP-Adresse Wählen Sie die Firewall-Schnittstelle am nächsten an der anderen VPA-Endpunkt. Dies ist die "öffentliche" Schnittstelle der Firewall.
  • Peer-IP-Adresse Geben Sie die IP-Adresse der "Public"-Schnittstelle am anderen VPN-Endpunkt ein.
  • Vor-Shared-Taste Geben Sie einen Schlüssel Ihrer Wahl ein, und denken Sie daran, so dass Sie ihn in die VPN-Konfiguration der anderen Firewall eingeben können.

Um die IKE Phase 2 VPN zu konfigurieren, gehen Sie zu Network > IPSec Tunnels. Erstellen Sie ein neues VPN mit folgenden Parametern:

  • Nennen Sie VPN-to-SITEX oder irgendeinen Namen Ihrer Wahl.
  • Tunnel Schnittstelle nach unten zu wählen Tunnel. 2
  • IKE Gateway Pull Down, um das IKE Gateway auszuwählen, das Sie im vorherigen Schritt erstellt haben

Als Nächstes bauen Sie Ihre Proxy-IDs. Denken Sie daran, das Limit ist 10:

 

 

Wenn Sie Ihren zweiten IPSec-Tunnel erstellen, können Sie sich auf das gleiche IKE-Gateway beziehen. Denken Sie daran, eine andere Tunnel Schnittstelle zu verwenden (in diesem Beispiel Tunnel. 3):

 

Sie können die Proxy-IDs nicht aus dem ersten Tunnel duplizieren. Sie müssen mindestens ein Element haben, das anders ist. Sie können verschiedene lokale Proxies in Ihrer Liste von 10 verwenden.

 

Hinweis: von Pan-OS 5,0 wurde die Proxy-ID-Beschränkung auf 250 erhöht, mit Ausnahme der Palo Alto Networks PA-200, die ein Limit von 25 Proxy-IDs hat. Der Durchsatz von Tunneln mit 250 Proxy-IDs ist ähnlich wie bei Tunneln mit nur einem konfigurierten. Jede Proxy-ID zählt zur Platt Form Begrenzung für VPN-Tunnel.

 

Besitzer: dlorenzen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clc9CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language