Commit-Ausfall bei der Konfiguration von Tunnel Monitor

Problem

Auf der Palo Alto Networks Firewall gab es Probleme mit der Konfiguration des Tunnel Monitors. Die Firewall wirft einen Commit-Fehler bei der Anwendung der Änderung. Bei der Übergabe der Konfiguration erscheint folgender Fehler:

"IPSec Tunnel" Tunnel-Name "ermöglichte die Tunnelüberwachung bei gleichzeitiger Bindung an die Tunnel Schnittstelle" Tunnel-ID, "die ihr noch keine IP-Adresse zugeordnet hat. Die Konfiguration ist ungültig. "

Ursache

Die Tunnel Schnittstelle benötigt eine IP-Adresse, um die TunnelÜberwachung zu ermöglichen.

Details

Wenn der IPSec-Tunnel so konfiguriert ist, wie das Szenario unten zeigt, beachten Sie, dass die Tunnel Schnittstelle keine IP-Adresse hat, wird Sie einen Fehler geben. Der Tunnel Monitor muss so aktiviert werden, dass der IPSec-Tunnel immer oben bleibt. Es kann auch für redundante VPN-Szenarien verwendet werden.

Der Tunnel Monitor kann von der WebGUI aus konfiguriert werden, zu Netzwerk > IPSEC-Tunneln gehen, auf HinzuFügen klicken und dem VPN einen Namen geben und die erweiterten Optionen auswählen:

Lösung

Der Tunnel Monitor nutzt PING-Pakete, um die VPN-Tunnel Verbindung zu überwachen, die von der Tunnel Schnittstelle IP stammt. So ist es zwingend erforderlich, Tunnel IP bei der Konfiguration von Tunnel Monitor zu konfigurieren.

Gehen Sie zu Network > IPSec Tunnels und wählen Sie Interface > IPv4, klicken Sie auf HinzuFügen und geben Sie IP-Adresse. EINE Dummy-IP-Adresse (die nirgendwo im Netzwerk verwendet wird) kann zur Konfiguration der Tunnel Schnittstelle verwendet werden, wie unten gezeigt:

Siehe auch

Weitere Optionen zur Konfiguration des Tunnel Monitors finden Sie in folgendem Dokument: Auswahl einer IP-Adresse für PBF oder Tunnel Überwachung

Besitzer: Hitesh