IPSec VPN IKE fase 1 está abajo, pero el túnel está activo

IPSec VPN IKE fase 1 está abajo, pero el túnel está activo

147093
Created On 09/26/18 13:51 PM - Last Modified 06/07/23 20:57 PM


Resolution


Incidencia

Dentro del webgui > Network > túneles IPSEC, la luz de estado de Gateway IKE (fase 1) es roja, mientras que la luz del túnel IPSec (fase 2) es verde.   Sin embargo, el tráfico sigue fluyendo correctamente a través del túnel.  Después de algún tiempo, la luz de estado de la puerta de enlace IKE vuelve a verde.  ¿Es esto normal?

2017-11 -06_vpn1. jpgEstado de VPN que muestra la fase 1 hacia abajo (rojo), pero la fase 2 hacia arriba (verde)

 

Resolución

Es un comportamiento normal.


El propósito de la fase 1 (estado de Gateway IKE) es configurar un canal seguro para las asociaciones de seguridad de fase 2 (túnel IPSec) posteriores (SA). Una vez que se han configurado las asociaciones de seguridad de la fase 2, el tráfico viaja en la fase 2 SA. Por lo tanto, es posible que la fase 1 pueda estar abajo, pero el tráfico a través del túnel todavía funciona (porque la fase 2 está para arriba). La luz IKE se pondrá roja cuando la fase 1 se apague. Después de un cierto período, cuando la fase 2 está a punto de expirar, la fase 1 renegociará la clave de encriptación para las posteriores negociaciones de la fase 2. Después de estas negociaciones frescas, la luz IKE se volverá a verde y este proceso continúa.

 

Este comportamiento se puede ver en los registros del sistema:

2017-11 -06_vpn2. jpgRegistros del sistema que muestran la fase 2 y la fase 1 renegociación.

Descripción de los eventos anteriores:

21:44:04: Phase-1 SA tiempo fuera.  En este punto, la luz de estado de la puerta de enlace IKE se volverá roja.  Note que las renegociaciones de la fase 1 no han empezado de inmediato.

21:45:38: en este punto, Phase-2 SA está a punto de expirar.  Por lo tanto, se iniciaron las renegociaciones de Phase-1 SA.  La luz de estado de la pasarela IKE vuelve a verde.

21:45:38: renegociaciones posteriores de la fase 2.

21:45:38: la fase anterior-2 SA caduca y se borra.

 

Ver también

Para más información sobre esta situación, con más fotos y una explicación diferente, por favor vea:

DotW: el estado del túnel de VPN IPSec es rojo

 

Propietario: akhan
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluRCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language