Error al configurar Palo Alto Networks Firewall VPN con IDS de recursos más largos de AWS-sintaxis no válida
Error al configurar Palo Alto Networks Firewall VPN con IDS de recursos más largos de AWS-sintaxis no válida
0
Created On 09/25/18 20:36 PM - Last Modified 07/19/22 23:07 PM
Symptom
Síntomas de
Al configurar una VPN IPsec entre una pasarela privada virtual AWS y un dispositivo de redes palo alto, es posible que se obtenga un error. Si utiliza los ID de recursos de formato más largo generados por AWS para Palo Alto Networks como proveedor, puede que se ejecuten errores al editar la configuración de red y VPN.
Esto normalmente es causado por entrar en el portal de AWS, y luego ir a "VPC > VPN conexiones" y, a continuación, seleccione "Descargar configuración".
Si la puerta de enlace VPN utiliza los ID de recursos de formato más largo, entonces pan-os no aceptará algunas de las líneas de configuración generadas.
Se notificará un error similar al siguiente.
admin @ PA-VM # Edit Network IKE Crypto-perfiles IKE-Crypto-perfiles IKE-Crypto-VPN-0901877fe35f95b23-0 IKE-Crypto-VPN-0901877fe35f95b23-0 debe ser menor o igual a 31 caracteres
sintaxis no válida.
Diagnóstico
La razón de la sintaxis no válida es porque actualmente en PAN-OS el campo Nombre de perfiles de red acepta un máximo de 31 caracteres. y el campo Nombre del perfil de Crypto de IKE de la configuración generada contiene 34 caracteres después de usar los ID de instancia más larga. (por ejemplo IKE-Crypto-VPN-0901877fe35f95b23-0).
Para resolver esto es necesario modificar manualmente el archivo de configuración generado antes de copiar/pegar la configuración en un firewall PAN-OS. Debe reemplazar toda la instancia del nombre de Perfil de la criptografía IKE como el siguiente ejemplo: valor actual: IKE-Crypto-VPN-0901877fe35f95b23-0 nuevo valor: VPN-0901877Fe35f95b23-0
al quitar el (IKE-Crypto-) delnombre se Haga que el número total de caracteres sea igual a 23. Y será aceptado por PAN-OS.
A partir del 15-Jun-2018, AWS ha actualizado el generador de configuración VPN para pan-os para acortar el valor de IKE-Crypto-perfilespara crear automáticamente un nombre único más corto del formato: VPN-0901877fe35f95b23 -0