Appel Wifi défaillant PA-5200 ou PA-7000 série
18870
Created On 06/25/19 22:36 PM - Last Modified 03/26/21 17:42 PM
Symptom
- Panne d’appel Wifi
- La capture des paquets affichera les ESP paquets entrants supprimés.
Environment
- PANOS 8.1
- PANOS 9.0
- Appareils multi-dataplane (5000, 5200, 7000 plates-formes de série)
- Configuration initiale
- Appel wifi passant par firewall
Cause
La façon dont Palo Alto Networks traite le trafic de passage IPSec est complètement différente sur les appareils multi-dataplane.
- Les numéros de port pour la création de session IPSec sont dérivés de SPI valeurs que les pairs IPSec distants échangent pendant la phase IKE 2 de l’établissement du tunnel. Nous associons des sessions basées sur les six tuples, source et IPS destination, ports de source et de destination, protocole et zone.
- Dans le cas du trafic IPSec de passage, où les Réseaux Palo Alto firewall n’est qu’un dispositif intermédiaire entre deux pairs IPSec, il est pratiquement impossible de créer une session basée sur des valeurs SPI négociées, puisque IKE la phase 2 est cryptée et que son contenu n’est pas visible firewall par le . Par conséquent, le retour du trafic ne correspondra jamais à la session initiée du point de vue de vos utilisateurs sur l’équipement que vous avez.
- Dans votre version précédente OS et sur l’équipement d’avion de données unique, cela a fonctionné différemment. Comme SPI les valeurs ne peuvent pas être vues à l’avance, pour le trafic de passage IPSec, les réseaux De Palo Alto crée une session en utilisant la valeur générique firewall 20033 pour la source et le port de destination.
- Sur un appareil multi-dataplane, en raison d’une différence architecturale, nous utilisons une technique différente pour la création de session du trafic de passage IPSec. Sur ces plates-formes, les ports de session sont à nouveau dérivés SPI en fonction des valeurs (lien fourni ci-dessous pour ce processus). Puisque les SPI valeurs ne sont pas connues à l’avance crée session que le trafic réel arrive sur le firewall ESP firewall . Avoir chaque flux (client2server, server2client) d’un tunnel IPSec unique utilisant une valeur unique implique que crée deux SPI firewall session IPSec indépendantes pour un tunnel IPSec, un par direction.
PROCESSING IPSEC PASS-THROUGH TRAFFIC ON THE PALO ALTO NETWORKS FIREWALL
WHAT DO THE PORT NUMBERS IN AN IPSEC-ESP SESSION REPRESENT?
CONFIGURING THE PALO ALTO NETWORKS DEVICE AS AN IPSEC PASSTHROUGH
Resolution
NOTE: Les stratégies de sécurité doivent être configurées pour permettre le trafic de passage ESP dans les deux sens sur les plateformes et les PA-7000 PA-5200 plates-formes de série.
- Configurez une sécurité policy basée sur les ISP SP passerelles connues pour des raisons de sécurité afin que pas n’importe quel trafic ipsec pour accéder à votre zone WiFi interne
- Même une configuration simple sur le pour firewall permettre aux réseaux Palo Alto d’agir comme firewall passe-temps vpn pour le trafic entre pairs vpn nécessite des points de terminaison connus pour la sécurité.
Additional Information
Quelques ressources pour trouver les EPDG urls et les ADRESSES IP sont ci-dessous. Pour toute autre information, le fournisseur de services devra être contacté individuellement car il ne fournit pas ces informations directement à Palo Alto.
Wi-Fi Faisant appel à un réseau d’entreprise
ATet T wi-fi appel LAN et la VPN configuration
Sprint prendra un appel directement dans les représentants de soutien technique, un agent de service à la clientèle ne sera généralement pas en mesure de vous aider. Voici un article sur Sprint Community est une bonne ressource pour les contacter car ils ont fourni des informations à un client de Palo Alto sur cette affaire.