état du surveiller VPN site à site est « en marche » sur le pare-feu actif et « en arrêt » sur le pare-feu passif
3386
Created On 04/06/22 02:55 AM - Last Modified 01/03/25 14:07 PM
Symptom
- état du surveiller VPN site à site est « en marche » sur le pare-feu actif, mais affiche « en panne » sur le pare-feu passif.
- Par exemple, dans cette sortie, nous pouvons voir que l'ID du tunnel 7 et 8 est « en panne » sur le pare-feu passif
- Sortie du flux VPN sur le pare-feu actif :
> show vpn flow
total tunnels configured: 8
filter - type IPSec, state any
total IPSec tunnel configured: 8
total IPSec tunnel shown: 8
id name state monitor local-ip peer-ip tunnel-i/f
-- ---- ----- ------- -------- ------- ----------
1 VPN-FWSING01 active up 10.16.192.126 10.18.199.14 tunnel.1
2 VPN-FWSING02 active up 10.16.192.126 10.18.199.22 tunnel.2
5 VPN-FWCEFI active up 10.16.192.110 10.50.182.206 tunnel.3
4 VPN-FWGERL active up 10.16.192.110 10.24.133.4 tunnel.4
6 VPN-FWBORD active up 10.16.192.110 10.24.136.4 tunnel.5
7 VPN-FWBAST active up 10.16.192.110 10.24.16.4 tunnel.6
8 VPN-FWAJAC active up 10.16.192.110 10.24.2.4 tunnel.7
9 VPN-FWPLCF init down 10.16.192.110 10.50.198.204 tunnel.8
- Sortie du flux VPN sur le pare-feu passif :
> show vpn flow
total tunnels configured: 8
filter - type IPSec, state any
total IPSec tunnel configured: 8
total IPSec tunnel shown: 8
id name state monitor local-ip peer-ip tunnel-i/f
-- ---- ----- ------- -------- ------- ----------
1 VPN-FWSING01 active up 10.16.192.126 10.18.199.14 tunnel.1
2 VPN-FWSING02 active up 10.16.192.126 10.18.199.22 tunnel.2
5 VPN-FWCEFI active up 10.16.192.110 10.50.182.206 tunnel.3
4 VPN-FWGERL active up 10.16.192.110 10.24.133.4 tunnel.4
6 VPN-FWBORD active up 10.16.192.110 10.24.136.4 tunnel.5
7 VPN-FWBAST active down 10.16.192.110 10.24.16.4 tunnel.6
8 VPN-FWAJAC active down 10.16.192.110 10.24.2.4 tunnel.7
9 VPN-FWPLCF init down 10.16.192.110 10.50.198.204 tunnel.8
Environment
- Pare-feu Palo Alto
- Système d'exploitation PAN pris en charge
- VPN IPSEC
Cause
- Le surveiller du tunnel VPN ne s'est pas actualiser sur le pare-feu passif et est resté bloqué avec le dernier état « en panne ».
- L'incompatibilité SPI est illustrée ci-dessous entre le pare-feu actif et passif.
- état IPSec SA sur le pare-feu actif :
>show vpn ipsec-sa GwID/client IP TnID Peer-Address Tunnel(Gateway) Algorithm SPI(in) SPI(out) life(Sec/KB) remain-time(Sec) -------------- ---- ------------ --------------- --------- ------- -------- ------------ ---------------- 1 1 10.18.199.14 VPN-FWSING01(FWSING01) ESP/A256/SHA256 D956EA0F F954FBDB 3600/Unlimited 3454 2 2 10.18.199.22 VPN-FWSING02(FWSING02) ESP/A256/SHA256 E75AB051 C75863BB 3600/Unlimited 3429 4 4 10.24.133.4 VPN-FWGERL(FWGERL00A11401-FWGERL0A0E0701) ESP/A256/SHA256 A4289A3C 9C4D6B34 3600/Unlimited 3513 3 5 10.50.182.206 VPN-FWCEFI(FWCEFI00AP3201-FWCEFI00AP1001) ESP/A256/SHA256 EDFA3DB9 ACB90772 3600/Unlimited 3006 5 6 10.24.136.4 VPN-FWBORD(FWBORD0A1S6101-FWBORD0A1S0401) ESP/A256/SHA256 A98B6650 EE1CCC94 3600/Unlimited 3470 6 7 10.24.16.4 VPN-FWBAST(FWBAST00A01601-FWBAST0A1S2601) ESP/A256/SHA256 A9FA47D6 ECC0306F 3600/Unlimited 3171 7 8 10.24.2.4 VPN-FWAJAC(FWAJAC0A1S1201-FWAJAC0A1S1101) ESP/A256/SHA256 96BDC835 DB437AAC 3600/Unlimited 1044
- état IPSec SA sur le pare-feu passif :
>show vpn ipsec-sa
GwID/client IP TnID Peer-Address Tunnel(Gateway) Algorithm SPI(in) SPI(out) life(Sec/KB) remain-time(Sec)
-------------- ---- ------------ --------------- --------- ------- -------- ------------ ----------------
1 1 10.18.199.14 VPN-FWSING01(FWSING01) ESP/A256/SHA256 D956EA0F F954FBDB 3600/Unlimited 2185
2 2 10.18.199.22 VPN-FWSING02(FWSING02) ESP/A256/SHA256 E75AB051 C75863BB 3600/Unlimited 2160
4 4 10.24.133.4 VPN-FWGERL(FWGERL00A11401-FWGERL0A0E0701) ESP/A256/SHA256 A4289A3C 9C4D6B34 3600/Unlimited 2244
3 5 10.50.182.206 VPN-FWCEFI(FWCEFI00AP3201-FWCEFI00AP1001) ESP/A256/SHA256 EDFA3DB9 ACB90772 3600/Unlimited 1737
5 6 10.24.136.4 VPN-FWBORD(FWBORD0A1S6101-FWBORD0A1S0401) ESP/A256/SHA256 A98B6650 EE1CCC94 3600/Unlimited 2201
6 7 10.24.16.4 VPN-FWBAST(FWBAST00A01601-FWBAST0A1S2601) ESP/A256/SHA256 A9FA47D6 ECC0306F 3600/Unlimited 1902
7 8 10.24.2.4 VPN-FWAJAC(FWAJAC0A1S1201-FWAJAC0A1S1101) ESP/A256/SHA256 EADEC3AA 89679FFD 3600/Unlimited 2815
Resolution
- synchroniser manuellement l’ état de la session d’exécution entre les pare-feu à l’aide de la commande CLI suivante sur le pare-feu actif.
- > requête de synchronisation haute disponibilité avec runtime-stat distant
- état du surveiller VPN sera synchroniser et il sera « actif » sur le pare-feu secondaire.
> show vpn flow
total tunnels configured: 8
filter - type IPSec, state any
total IPSec tunnel configured: 8
total IPSec tunnel shown: 8
id name state monitor local-ip peer-ip tunnel-i/f
-- ---- ----- ------- -------- ------- ----------
1 VPN-FWSING01 active up 10.16.192.126 10.18.199.14 tunnel.1
2 VPN-FWSING02 active up 10.16.192.126 10.18.199.22 tunnel.2
5 VPN-FWCEFI active up 10.16.192.110 10.50.182.206 tunnel.3
4 VPN-FWGERL active up 10.16.192.110 10.24.133.4 tunnel.4
6 VPN-FWBORD active up 10.16.192.110 10.24.136.4 tunnel.5
7 VPN-FWBAST active up 10.16.192.110 10.24.16.4 tunnel.6
8 VPN-FWAJAC active up 10.16.192.110 10.24.2.4 tunnel.7
9 VPN-FWPLCF init down 10.16.192.110 10.50.198.204 tunnel.8