Erreur de limitation de l'ID proxy

Erreur de limitation de l'ID proxy

54092
Created On 09/25/18 19:43 PM - Last Modified 06/09/23 08:50 AM


Resolution


Demande client

L'erreur suivante s'affiche après validation:
Commit erreur: tunnel interface tunnel. x limitation de liaison multiple (10) atteinte.

 

Cause

Il y a une limite au nombre maximal d'Id de proxy par phase 2.

 

Résolution

Pour implémenter des VPN avec plus de 10 ID proxy, configurez un autre tunnel avec la même phase 1 et la deuxième phase 2.

ou

SuperNet les identifiants de proxy. Par exemple, au lieu d'utiliser 10.1.0.0/16, 10.2.0.0/16, la plage peut être supernette à 10.0.0.0/8 pour éviter les entrées multiples.

 

Pour configurer le premier VPN:

Accédez au réseau > Interfaces. Créer une nouvelle interface de tunnel. Assignez les paramètres suivants:

  • Nom tunnel. 2
  • Routeur virtuel sélectionnez le routeur virtuel existant.
  • ZoneSélectionnez la zone interne de la couche 3 à partir de laquelle le trafic sera originaire.

Accédez au réseau > profils réseau > IKE Gateways écran pour configurer la passerelle IKE phase 1 sur cet écran. Cliquez sur nouveau et entrez:

  • IKE Gateway GW-to-siteX, ou tout autre nom de votre choix.
  • Adresse IP locale Sélectionnez l'interface de pare-feu la plus proche de L'autre point de terminaison de l'apv. Il s'agit de l'interface "publique" du pare-feu.
  • Adresse IP de l'homologue Entrez l'adresse IP de l'interface «publique» sur L'autre point de terminaison VPN.
  • Clé pré-partagée Entrez une clé de votre choix, et n'oubliez pas que vous pouvez l'entrer dans la configuration VPN de L'autre pare-feu.

Pour configurer le VPN IKE phase 2, accédez au réseau > IPSec tunnels. Créez un nouveau VPN avec les paramètres suivants:

  • Nom VPN-to-siteX, ou tout autre nom de votre choix.
  • L'interface du tunnel tire vers le bas pour sélectionner tunnel. 2
  • Passerelle IKE tirez vers le bas pour sélectionner la passerelle IKE que vous avez créée à l'étape précédente

Ensuite, construisez vos identifiants de proxy. Rappelez-vous la limite est de 10:

 

 

Lors de la création de votre deuxième tunnel IPSec, vous pouvez faire référence à la même passerelle IKE. N'Oubliez pas d'utiliser une interface tunnel différente (dans cet exemple, tunnel. 3):

 

Vous ne pouvez pas dupliquer les ID proxy du premier tunnel. Ils doivent avoir au moins un élément différent. Vous pouvez utiliser différents proxys locaux dans votre liste de 10.

 

Note: de Pan-OS 5,0, la limitation de l'ID de proxy a été augmentée à 250, sauf sur les réseaux de Palo Alto PA-200, qui a une limite de 25 ID proxy. Le débit sur les tunnels avec des ID proxy 250 configurés est similaire aux tunnels avec un seul configuré. Chaque ID de proxy compte vers la limite de plate-forme pour les tunnels VPN.

 

propriétaire: dlorenzen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clc9CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language