túnel ipsec a AWS VPN los tiempos de salida de puerta de enlace ocasionalmente durante la negociación de la fase 1

túnel ipsec a AWS VPN los tiempos de salida de puerta de enlace ocasionalmente durante la negociación de la fase 1

28584
Created On 01/14/20 22:36 PM - Last Modified 03/26/21 18:02 PM


Symptom


PA-el túnel ipsec de vm a AWS VPN los tiempos de puerta de enlace se agota ocasionalmente durante la negociación de I fase.  Firewall ve el tráfico en el registro de tráfico con la acción como permitir pero la razón del final de la sesión como aged-out.La captura de paquetes no verifica ninguna respuesta del par.

Environment


  • Plataforma Palo Alto: AWS PA-VM .
  • PAN-OS versión: Todo.
  • Versión del plugin: Todo.

Cause


  • AWS Network Security Group ( NSG ) y Network no se ACL actualizan para incluir a los pares AWS VPN de puerta de enlace.La duración de Ike se configura normalmente igual en Palo Alto VM ( ) y , Porque ambos y están PA-VM Firewall AWS PA-VM AWS configurados como iniciadores, cualquiera de los lados puede iniciar la I reintroducción de fase.
  •  AWS VPC saliente NSG y ACL se permiten todos de forma predeterminada por lo que la renegociación funciona cuando PA-VM inicia la reintroducción.
  • Entrante NSG y ACL denegar todo de forma predeterminada.Tiempo de salida de la negociación de fase I AWS cuando inicia la reintroducción con el mensaje siguiente en ikemgr.log
 
2019-12-19 14:17:51.103 +0000 [PNTF]: { 7: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=1963a1228518915a 71ac5dc98b71b305 (size=16).
====> Expired SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [PNTF]: { : 58}: ====> IPSEC KEY DELETED <====
====> Deleted SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [INFO]: { 5: 58}: SADB_DELETE proto=0 src=10.217.142.132[4500] dst=x.x.x.x[4500]
ESP spi=0xF9AB7EC5
2019-12-19 14:17:52.685 +0000 [PNTF]: { 3: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=20854a8f0f72a209 6e851aa1d55b0b90 (size=16).
2019-12-19 14:17:53.000 +0000 [PWRN]: { : 58}: phase-2 sa purge mismatch SPI:0x00000000/0x9D26C9A2.
2019-12-19 14:17:53.580 +0000 [PNTF]: { 10: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=3d180a75c320a0f1 1d6609f7f0f3b470 (size=16).
2019-12-19 14:17:55.004 +0000 [PNTF]: { 5: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=45a99b70d7e5e1c1 8bc1358fdf591ddd (size=16).
2019-12-19 14:17:55.214 +0000 [INFO]: { 18: 42}: IPsec-SA request for 34.247.103.214 queued since no 
phase1 found

 

Resolution


  1. Comprobó las reglas de seguridad aplicadas a la NIC AWS
  2. AWS consola > VPC grupos de seguridad >.Marque las reglas entrantes y las reglas de salida.Aseegurese los IP del par del túnel IPsec se enumeran.
  3. AWS consola > VPC > ACL de red de seguridad >.Verificar reglas entrantes, reglas de salida, asociación de subredes
  4. Agregue las IP del par en las reglas salientes y entrantes, y después de emitir el comando"test vpn"de PA-VM CLI .
 
> test vpn ike-sa 
Start time: Dec.04 00:03:37
Initiate 1 IKE SA.
> test vpn ipsec-sa 
Start time: Dec.04 00:03:41
Initiate 1 IPSec SA.

El túnel debe subir en ambas fases en la UI Web.
 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PODqCAO&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language