tunnel ipsec aux temps AWS VPN de passerelle de temps en temps pendant la négociation de phase 1

tunnel ipsec aux temps AWS VPN de passerelle de temps en temps pendant la négociation de phase 1

28659
Created On 01/14/20 22:36 PM - Last Modified 03/26/21 18:02 PM


Symptom


PA-tunnel ipsec vm aux temps de AWS VPN passerelle à l’occasion pendant la négociation de I phase.  Firewall voit le trafic dans le journal de trafic avec l’action comme permettre, mais la raison de fin de session comme vieilli.La capture de paquets ne vérifie aucune réponse du pair.

Environment


  • Palo Alto plate-forme: AWS PA-VM .
  • PAN-OS version: Tous.
  • Plugin version: Tous.

Cause


  • AWS Network Security Group ( NSG ) et Network ne sont pas mis à jour pour inclure les pairs ACL AWS VPN passerelle.Ike durée de vie est généralement configuré la même chose à la fois sur Palo Alto VM ( ) et , Parce que les deux et sont PA-VM Firewall AWS PA-VM AWS configurés comme initiateurs, de chaque côté peut initier la phase I rekey.
  •  AWS VPC à NSG l’étranger ACL et sont autoriser-tous par défaut de sorte que la renégociation fonctionne PA-VM lors de l’initie le rekey.
  • Entrants NSG et ACL sont niés-tous par défaut.Temps I de négociation de phase lorsque lance le AWS rekey avec le message ci-dessous dans ikemgr.log
 
2019-12-19 14:17:51.103 +0000 [PNTF]: { 7: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=1963a1228518915a 71ac5dc98b71b305 (size=16).
====> Expired SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [PNTF]: { : 58}: ====> IPSEC KEY DELETED <====
====> Deleted SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [INFO]: { 5: 58}: SADB_DELETE proto=0 src=10.217.142.132[4500] dst=x.x.x.x[4500]
ESP spi=0xF9AB7EC5
2019-12-19 14:17:52.685 +0000 [PNTF]: { 3: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=20854a8f0f72a209 6e851aa1d55b0b90 (size=16).
2019-12-19 14:17:53.000 +0000 [PWRN]: { : 58}: phase-2 sa purge mismatch SPI:0x00000000/0x9D26C9A2.
2019-12-19 14:17:53.580 +0000 [PNTF]: { 10: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=3d180a75c320a0f1 1d6609f7f0f3b470 (size=16).
2019-12-19 14:17:55.004 +0000 [PNTF]: { 5: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=45a99b70d7e5e1c1 8bc1358fdf591ddd (size=16).
2019-12-19 14:17:55.214 +0000 [INFO]: { 18: 42}: IPsec-SA request for 34.247.103.214 queued since no 
phase1 found

 

Resolution


  1. Vérifié les règles de sécurité appliquées à NIC la AWS
  2. AWS console > VPC > groupes de sécurité.Vérifiez les règles entrantes et les règles sortantes.Assurez-vous que les adresses IPsec tunnel peer IPs sont répertoriées.
  3. AWS console > VPC > Security > Network ACLs.Consultez les règles entrantes, les règles sortantes, l’association Subnet
  4. Ajoutez les adresses IP par les pairs dans les règles sortantes et entrantes, et après avoir émis lacommande « test vpn» à partir PA-VM CLI de .
 
> test vpn ike-sa 
Start time: Dec.04 00:03:37
Initiate 1 IKE SA.
> test vpn ipsec-sa 
Start time: Dec.04 00:03:41
Initiate 1 IPSec SA.

Le tunnel devrait arriver sur les deux phases dans le Web UI .
 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PODqCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language