Wifi llamando fallando PA-5200 o PA-7000 serie
18846
Created On 06/25/19 22:36 PM - Last Modified 03/26/21 17:42 PM
Symptom
- Wifi Llamadas fallando
- La captura de paquetes mostrará el paquete entrante ESP caído.
Environment
- PANOS 8.1
- PANOS 9.0
- Dispositivos multi-plano de datos (plataformas de 5000, 5200, serie 7000)
- Configuración inicial
- Llamadas wifi de paso a través de firewall
Cause
La forma en que Palo Alto Networks procesa el tráfico de paso IPSec es completamente diferente en dispositivos de múltiples dataplanes.
- Los números de puerto para la creación de la sesión IPSec se derivan de SPI los valores que los pares IPSec remotos intercambian durante la fase IKE 2 del establecimiento del túnel. Asociamos sesiones basadas en las seis tuplas, origen y IPS destino, puertos de origen y destino, protocolo y zona.
- En el caso del tráfico IPSec de paso, donde las redes palo alto firewall son sólo un dispositivo intermedio entre dos pares IPSec, es prácticamente imposible crear una sesión basada en valores negociados, ya que la SPI fase IKE 2 está encriptada y su contenido no es visible para el firewall . Por lo tanto, la devolución del tráfico nunca coincidirá con la sesión iniciada desde la perspectiva de los usuarios en el equipo que tiene.
- En su versión anterior OS y en el equipo de plano de datos único, esto funcionó de manera diferente. Puesto SPI que los valores no se pueden ver de antemano, para el tráfico de paso IPSec, las redes palo alto crean una sesión mediante el valor genérico firewall 20033 para el puerto de origen y de destino.
- En un dispositivo de múltiples dataplanes, debido a una diferencia arquitectónica, utilizamos una técnica diferente para la creación de sesiones del tráfico de paso IPSec. En estas plataformas, los puertos de sesión se derivan de nuevo en función de SPI los valores (vínculo proporcionado a continuación para este proceso). Puesto SPI que los valores no se conocen de antemano crea la sesión a medida que el tráfico real firewall llega en el archivo ESP firewall . Tener cada flujo (client2server, server2client) de un único túnel IPSec utilizando un valor único SPI implica que crea dos sesiones firewall IPSec independientes para un túnel IPSec, una por cada dirección.
PROCESSING IPSEC PASS-THROUGH TRAFFIC ON THE PALO ALTO NETWORKS FIREWALL
WHAT DO THE PORT NUMBERS IN AN IPSEC-ESP SESSION REPRESENT?
CONFIGURING THE PALO ALTO NETWORKS DEVICE AS AN IPSEC PASSTHROUGH
Resolution
NOTE: Las directivas de seguridad deben configurarse para permitir el tráfico de paso ESP en las direcciones y en las plataformas de PA-7000 PA-5200 serie.
- Configure una seguridad policy basada en puertas de enlace conocidas / por razones de seguridad para que no cualquier tráfico ISP SP ipsec para acceder a su zona WiFi interna
- Incluso una configuración simple en el firewall permitir que las redes de Palo Alto firewall actúen como passthrough vpn para el tráfico entre los pares vpn requiere los puntos finales conocidos para la seguridad.
Additional Information
A continuación se muestran algunos recursos para encontrar las EPDG urls y las direcciones IP. Para obtener más información, el Proveedor de Servicios deberá ser contactado individualmente, ya que no proporciona esta información directamente a Palo Alto.
Las llamadas Wi-Fi en una red corporativa
y las llamadas porAT T Wi-Fi LAN y la VPN configuración
sprint recibirán una llamada directamente en los representantes de soporte técnico, un agente de atención al cliente normalmente no será capaz de ayudarle. Aquí hay un artículo sobre Sprint Community es un buen recurso para ponerse en contacto con ellos, ya que proporcionaron información a un cliente de Palo Alto sobre este caso.