IP SEC VPN fällt ziemlich häufig zwischen Palo Alto IPSec-Peers aus
19566
Created On 05/20/22 13:29 PM - Last Modified 06/08/23 07:32 AM
Symptom
Bei Verwendung von IPSec IKEv2 zwischen zwei Palo Alto-Firewalls kann der Tunnel ausfallen, wenn DPD die folgenden Bedingungen erfüllt sind:
- Der erste Peer verwendet statisch IP mit Verfügbarkeitsprüfung und Traversal ist aktiviert- Der zweite Peer verwendet dynamisch IP (z. BADSL. ) mit Verfügbarkeitsprüfung und NAT-NAT-Traversal ist aktiviert
. Darüber hinaus arbeitet der zweite Peer im passiven Modus.
Die Abfolge der Ereignisse, die zum Ausfall des Tunnels führen, ist wie folgt:
- Der Peer initiiert (Peer 1) die Verfügbarkeitsprüfung, wenn ein Taschenverlust vorliegt
- Selbst wenn die Verbindung nach der ersten Verfügbarkeitsprüfungsanforderung wiederhergestellt ist, setzt der Peer 1 die Verfügbarkeitsprüfung fort, bis der Tunnel ausfällt.
- Wenn Peer 1 den Tunnel aufgrund von DPDals down markiert, löst Peer 2 die Verfügbarkeitsprüfung aus.
- Diese Situation führt dazu, dass der Tunnel aufgrund von DPD Wartezeiten für etwa 7-8 Minuten heruntergefahren wird.
Environment
Alle hardware und VM Plattformen
Cause
Wenn IKE ein Paket gesendet wird, wird das Paket in einer erneuten Übertragungsfunktion zwischengespeichert. Wenn es keine Antwort gibt, sendet die Retransfer-Funktion das zwischengespeicherte Paket bis zu 10 Mal erneut. Dies funktioniert normalerweise gut, es sei denn, es befindet sich ein NAT Gerät zwischen dem und dem FW Peer-Gerät. Wie Sie wissen, funktioniert es, NAT indem ein Port einem Ziel IPzugeordnet wird. Wenn sich das NAT Mapping jedoch während einer erneuten Übertragung ändert, weiß die Retranstrans-Funktion nichts von dieser Änderung und verwendet weiterhin den alten Port /IP Mapping im Cache, was das Problem verursacht.
Resolution
Um die Situation zu überwinden, sollte die Verfügbarkeitsprüfung auf einem der Peers deaktiviert werden (vorzugsweise Peer mit Dynamic IP).