ipsec トンネルから AWS VPN ゲートウェイへのタイムアウトが、フェーズ 1 ネゴシエーション中に

ipsec トンネルから AWS VPN ゲートウェイへのタイムアウトが、フェーズ 1 ネゴシエーション中に

28591
Created On 01/14/20 22:36 PM - Last Modified 03/26/21 18:02 PM


Symptom


PA-vm の ipsec トンネルから AWS VPN ゲートウェイへの接続は、フェーズ ネゴシエーション中にタイムアウトすることがあります I 。  Firewall トラフィック ログのトラフィックがアクションで許可として表示されますが、セッション終了の理由は期限切れとして認識されます。パケット キャプチャはピアからの応答を確認しません。

Environment


  • パロアルトプラットフォーム: AWS PA-VM .
  • PAN-OS バージョン: すべて。
  • プラグインバージョン:すべて。

Cause


  • AWS ネットワーク セキュリティ グループ ( NSG ) およびネットワーク ACL は、ゲートウェイ ピアを含むように更新されません AWS VPN 。Ike の有効期間は通常、パロアルト VM ( ) PA-VM と 、 Firewall AWS の両方が PA-VM AWS イニシエータとして構成されているため、どちらの側もフェーズ I のキー再設定を開始できます。
  •  AWS VPC アウトバウンド NSG ACL であり、デフォルトではすべて許可されるため、再ネゴシエーションは PA-VM 再キー設定を開始するときに機能します。
  • デフォルト NSG では、受信 ACL は拒否されます。I AWS ikemgr で以下のメッセージを使用して再キー設定を開始すると、フェーズ ネゴシエーションがタイムアウトします.log
 
2019-12-19 14:17:51.103 +0000 [PNTF]: { 7: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=1963a1228518915a 71ac5dc98b71b305 (size=16).
====> Expired SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [PNTF]: { : 58}: ====> IPSEC KEY DELETED <====
====> Deleted SA: 10.217.142.132[4500]-34.247.192.12[4500] SPI:0xF9AB7EC5/0x9D26C9A2 <====
2019-12-19 14:17:52.000 +0000 [INFO]: { 5: 58}: SADB_DELETE proto=0 src=10.217.142.132[4500] dst=x.x.x.x[4500]
ESP spi=0xF9AB7EC5
2019-12-19 14:17:52.685 +0000 [PNTF]: { 3: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=20854a8f0f72a209 6e851aa1d55b0b90 (size=16).
2019-12-19 14:17:53.000 +0000 [PWRN]: { : 58}: phase-2 sa purge mismatch SPI:0x00000000/0x9D26C9A2.
2019-12-19 14:17:53.580 +0000 [PNTF]: { 10: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=3d180a75c320a0f1 1d6609f7f0f3b470 (size=16).
2019-12-19 14:17:55.004 +0000 [PNTF]: { 5: }: notification message 36136:R-U-THERE, doi=1 proto_id=1 
spi=45a99b70d7e5e1c1 8bc1358fdf591ddd (size=16).
2019-12-19 14:17:55.214 +0000 [INFO]: { 18: 42}: IPsec-SA request for 34.247.103.214 queued since no 
phase1 found

 

Resolution


  1. に適用されているセキュリティルールを確認 NIC しました。 AWS
  2. AWS コンソール VPC >>セキュリティグループ受信ルールと送信ルールを確認します。IPsec トンネル ピア IP が表示されていることを確認します。
  3. AWS コンソール VPC >>セキュリティ>ネットワーク ACL を提供します。受信ルール、送信ルール、サブネットの関連付けを確認する
  4. ピア IP を送信規則と受信規則の両方に追加し、 から "test vpn" コマンドを発行した後 PA-VM CLI に追加します。
 
> test vpn ike-sa 
Start time: Dec.04 00:03:37
Initiate 1 IKE SA.
> test vpn ipsec-sa 
Start time: Dec.04 00:03:41
Initiate 1 IPSec SA.

トンネルは Web の両方のフェーズで上がるはずです UI 。
 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PODqCAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language