Wifi-Anrufe scheitern auf PA-5200 oder PA-7000 Serie
18868
Created On 06/25/19 22:36 PM - Last Modified 03/26/21 17:42 PM
Symptom
- Wifi-Anrufe scheitern
- Die Paketerfassung zeigt das verworfene eingehende ESP Paket an.
Environment
- PANOS 8.1
- PANOS 9.0
- Multi-Dataplane-Geräte (Plattformen der Serie 5000, 5200, 7000)
- Erstkonfiguration
- Wifi-Anrufe durch firewall
Cause
Die Art und Weise, wie Palo Alto Networks IPSec-Pass-Through-Datenverkehr verarbeitet, unterscheidet sich auf Geräten mit mehreren Datenebenen völlig.
- Die Portnummern für die IPSec-Sitzungserstellung werden von SPI Werten abgeleitet, die entfernte IPSec-Peers während IKE Phase 2 des Tunnelaufbaus austauschen. Wir verknüpfen Sitzungen basierend auf den sechs Tupeln, Quelle und IPS Ziel, Quell- und Zielports, Protokoll und Zone.
- Im Fall von Pass-Through-IPSec-Datenverkehr, bei dem das Palo Alto Networks firewall nur ein Zwischengerät zwischen zwei IPSec-Peers ist, ist es praktisch unmöglich, eine Sitzung basierend auf ausgehandelten Werten zu SPI erstellen, da Phase 2 verschlüsselt ist und IKE ihr Inhalt für die nicht sichtbar firewall ist. Daher wird die Rückgabe des Datenverkehrs niemals mit der Sitzung übereinstimmen, die aus der Perspektive Ihrer Benutzer auf dem Gerät, das Sie haben, initiiert wurde.
- In Ihrer vorherigen OS Version und auf der einzelnen Datenebene funktionierte dies anders. Da SPI Werte nicht im Voraus angezeigt werden können, erstellt das Palo Alto Networks für IPSec-Pass-Through-Datenverkehr eine Sitzung, indem der generische Wert firewall 20033 für den Quell- und den Zielport verwendet wird.
- Auf einem Gerät mit mehreren Datenebenen verwenden wir aufgrund eines architektonischen Unterschieds eine andere Technik für die Sitzungserstellung von IPSec-Pass-Through-Datenverkehr. Auf diesen Plattformen werden Sitzungsports wieder basierend auf Werten abgeleitet SPI (Link unten für diesen Prozess angegeben). Da SPI Werte nicht im Voraus bekannt sind, wird eine Sitzung firewall erstellt, wenn der reale Datenverkehr auf der ESP firewall ankommt. Jeder Flow (client2server, server2client) eines einzelnen IPSec-Tunnels mit einem SPI eindeutigen Wert impliziert, dass firewall zwei unabhängige IPSec-Sitzungen für einen IPSec-Tunnel erstellt werden, einer pro Richtung.
PROCESSING IPSEC PASS-THROUGH TRAFFIC ON THE PALO ALTO NETWORKS FIREWALL
WHAT DO THE PORT NUMBERS IN AN IPSEC-ESP SESSION REPRESENT?
CONFIGURING THE PALO ALTO NETWORKS DEVICE AS AN IPSEC PASSTHROUGH
Resolution
NOTE: Sicherheitsrichtlinien müssen so konfiguriert werden, dass Pass-Through-Datenverkehr in beide Richtungen auf und auf Serienplattformen zugelassen ESP PA-7000 PA-5200 wird.
- Konfigurieren Sie eine policy Sicherheitsbasierte von bekannten ISP / SP Gateways aus Sicherheitsgründen, sodass nicht nur ipsec-Datenverkehr auf Ihre interne WiFi-Zone zugreifen kann
- Selbst eine einfache Konfiguration auf firewall der, damit die Palo Alto-Netzwerke firewall als vpn-Passthrough für den Datenverkehr zwischen vpn-Peers fungieren können, erfordert bekannte Endpunkte für die Sicherheit.
Additional Information
Einige Ressourcen zum Auffinden der EPDG URLs und IPs finden Sie unten. Für weitere Informationen muss der Dienstanbieter individuell kontaktiert werden, da er diese Informationen nicht direkt an Palo Alto übermittelt.
Wi-Fi Calling on a Corporate Network
&AT T Wi-Fi Calling LAN and VPN Configuration
Sprint wird einen Anruf direkt an die Technical Support Reps entgegennehmen, ein Kundendienstmitarbeiter kann Ihnen in der Regel nicht helfen. Hier ist ein Artikel über Sprint Community ist eine gute Ressource, um sie zu kontaktieren, da sie Informationen an einen Palo Alto-Client zu diesem Fall zur Verfügung gestellt haben.