Ipsec-Tunnel zum AWS VPN Gateway tritt während der Phase-1-Aushandlung gelegentlich aus

Ipsec-Tunnel zum AWS VPN Gateway tritt während der Phase-1-Aushandlung gelegentlich aus

28641
Created On 01/14/20 22:36 PM - Last Modified 03/26/21 18:02 PM


Symptom


PA-Der ipsec-Tunnel zum Gateway von vm AWS VPN tritt während der I Phasenaushandlung gelegentlich auf.  Firewall sieht den Datenverkehr im Datenverkehrsprotokoll mit Aktion als Allow,-Aber-Sitzungsende-Grund als ausgealtert an.Die Paketerfassung überprüft keine Antwort des Peers.

Environment


  • Palo Alto Plattform: AWS PA-VM .
  • PAN-OS Version: Alle.
  • Plugin-Version: Alle.

Cause


  • AWS Netzwerksicherheitsgruppe ( NSG ) und Netzwerk werden nicht ACL aktualisiert, um die AWS VPN Gateway-Peers einzubeziehen.Ike-Lebensdauer wird in der Regel auf Palo Alto VM ( ) und , Da beide und als PA-VM Firewall AWS PA-VM AWS Initiatoren konfiguriert sind, können beide Seiten den I Phasen-Rekey initiieren.
  •  AWS VPC outbound NSG und sind standardmäßig ACL "all" zulässig, sodass Neuaushandlung funktioniert, wenn PA-VM der Rekey initiiert wird.
  • Eingehend NSG und standardmäßig alle ACL deny-all.IZeitfürst für Phasenaushandlungen, wenn AWS der Rekey mit der folgenden Meldung in ikemgr initiiert wird.log
 
2019-12-19 14:17:51.103 +0000 [PNTF]: { 7: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=1963a1228518915a 71ac5dc98b71b305 (size=16).
====> Expired SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [PNTF]: { : 58}: ====> IPSEC KEY DELETED <====
====> Deleted SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [INFO]: { 5: 58}: SADB_DELETE proto=0 src=10.217.142.132[4500] dst=x.x.x.x[4500]
ESP spi=0xF9AB7EC5
2019-12-19 14:17:52.685 +0000 [PNTF]: { 3: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=20854a8f0f72a209 6e851aa1d55b0b90 (size=16).
2019-12-19 14:17:53.000 +0000 [PWRN]: { : 58}: phase-2 sa purge mismatch SPI:0x00000000/0x9D26C9A2.
2019-12-19 14:17:53.580 +0000 [PNTF]: { 10: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=3d180a75c320a0f1 1d6609f7f0f3b470 (size=16).
2019-12-19 14:17:55.004 +0000 [PNTF]: { 5: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=45a99b70d7e5e1c1 8bc1358fdf591ddd (size=16).
2019-12-19 14:17:55.214 +0000 [INFO]: { 18: 42}: IPsec-SA request for 34.247.103.214 queued since no 
phase1 found

 

Resolution


  1. Überprüfte die Sicherheitsregeln, die auf die NIC AWS
  2. AWS Konsole > VPC > Sicherheitsgruppen.Überprüfen Sie eingehende Regeln und ausgehende Regeln.Stellen Sie sicher, dass IPSec-Tunnel-Peer-IPs aufgeführt sind.
  3. AWS Konsole > VPC > Sicherheits- > Netzwerk-ACLs.Überprüfen von eingehenden Regeln, ausgehenden Regeln, Subnetzzuordnung
  4. Fügen Sie die Peer-IPs sowohl in ausgehenden als auch in eingehenden Regeln und nach dem Ausstellen des Befehls "test vpn" von PA-VM CLI hinzu.
 
> test vpn ike-sa 
Start time: Dec.04 00:03:37
Initiate 1 IKE SA.
> test vpn ipsec-sa 
Start time: Dec.04 00:03:41
Initiate 1 IPSec SA.

Der Tunnel sollte in beiden Phasen im Web UI entstehen.
 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PODqCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language