无线呼叫失败 PA-5200 或 PA-7000 串联

无线呼叫失败 PA-5200 或 PA-7000 串联

18812
Created On 06/25/19 22:36 PM - Last Modified 03/26/21 17:42 PM


Symptom


  • Wifi 呼叫失败
  • 数据包捕获将显示已丢弃的入站 ESP 数据包。

Environment


  • PANOS 8.1
  • PANOS 9.0
  • 多数据平面设备(5000、5200、7000 系列平台)
  • 初始配置
  • 无线呼叫通过 firewall

Cause


Palo Alto 网络处理 IPSec 直通流量的方式在多数据平面设备上完全不同。
  • IPSec 会话创建的端口编号源自 SPI 远程 IPSec 同行在 IKE 隧道建立第 2 阶段交换的值。 我们根据六个图页、来源和目的地、 IPS 来源和目的地端口、协议和区域关联会话。
  • 在通过 IPSec 流量的情况下,Palo Alto 网络 firewall 只是两个 IPSec 对等方之间的中间设备,因此几乎不可能根据协商的值创建会话 SPI ,因为第 IKE 2 阶段是加密的,其内容对 firewall 因此,返回流量永远不会与从用户的角度对您拥有的设备启动的会话匹配。
  • 在以前的 OS 版本和单个数据平面设备上,效果不同。 由于无法 SPI 提前看到值,因此对于 IPSec 直通流量,Palo Alto 网络 firewall 通过在源端端口和目的地端口使用通用值 20033 创建会话。
  • 在多数据平面设备上,由于架构差异,我们使用不同的技术来创建 IPSec 直通流量。 在这些平台上,会话端口再次根据 SPI 值推导(下面为此过程提供的链接)。 由于 SPI 不事先知道值 firewall 创建会话,因为真正的 ESP 流量到达 firewall 。 使用唯一值对单个 IPSec 隧道进行每个流(客户端 2 服务器、服务器 2client) SPI 意味着 firewall 为一个 IPSec 隧道创建两个独立的 IPSec 会话,每个方向一个。


PROCESSING IPSEC PASS-THROUGH TRAFFIC ON THE PALO ALTO NETWORKS FIREWALL

WHAT DO THE PORT NUMBERS IN AN IPSEC-ESP SESSION REPRESENT?

CONFIGURING THE PALO ALTO NETWORKS DEVICE AS AN IPSEC PASSTHROUGH

Resolution


NOTE:必须配置安全策略,以便 ESP 在平台上 PA-7000 和系列平台上双向传递流量 PA-5200 。
  1. policy ISP 出于安全原因,根据已知/ SP 网关配置安全性,以便不只是任何 ipsec 流量来访问您的内部 WiFi 区域
  2. 即使是简单的配置 firewall ,让帕洛阿尔托网络 firewall 作为vpn通过之间的vpn同行之间的流量需要已知的终端的安全。

Additional Information


下面是一些查找 EPDG 网址和IP的资源。 对于任何进一步的信息,服务提供商将需要单独联系,因为他们不直接向帕洛阿尔托提供此信息。

Wi-Fi 呼叫公司网络

AT- T Wi-Fi 呼叫 LAN 和 VPN 配置

Sprint 将直接将呼叫发送到技术支持代表,客户服务代理通常无法帮助您。 这里是 一篇关于Sprint社区的文章是一个很好的资源来联系他们,因为他们提供了有关这种情况下的帕洛阿尔托客户端的信息。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMDtCAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language