La mitad de Cisco de sitio a sitio VPN no pasa el tráfico
Resolution
Problema:
Se ha configurado una VPN de sitio a sitio con el cortafuegos Paloalto en un lado y un asa Cisco en el otro. La VPN se redujo momentáneamente y desde que regresó en línea, el asa puede acceder a la PA, pero el PA no puede acceder a la asa. ¿Cómo se puede determinar de qué lado está causando el problema?
Resolución:
Cuando un par IPSec recibe un paquete para el que no encuentra un SA, envía un mensaje de error SPI no válido al dispositivo VPN que inició la conexión. En este caso, el dispositivo PA recibió el mensaje SPI no válido, indicando que el dispositivo PA era el iniciador. Los registros del respondedor (el asa) tendrán más detalles. El asa envió el mensaje SPI no válido, por lo que pudo haber recibido datos del dispositivo PA que no coincidían con ninguna SAS que tuviera. Esto podría significar muy bien que el asa tiempo de salida o derribado una SA por alguna razón. En cualquier caso, los logs de asa deben ser analizados para averiguar por qué envió los mensajes SPI no válidos.
Propietario: swhyte