IP SEC VPN está abandonando con bastante frecuencia entre los pares IPSec de Palo Alto
19570
Created On 05/20/22 13:29 PM - Last Modified 06/08/23 07:32 AM
Symptom
Cuando se utiliza IPSec IKEv2 entre dos firewalls de Palo Alto, el túnel puede quedar inactivo debido a DPD si se cumplen las siguientes condiciones:
- El primer par está usando estática IP con comprobación de vida y Traversal está habilitado- El segundo par está usando dinámico IP (como ADSL) con comprobación de vida y NAT-NAT-Traversal está habilitado
. Además, el segundo par funciona en modo pasivo.
La secuencia de eventos que causan la caída del túnel es la siguiente:
- El par inicia la verificación de vida (par 1) cuando hay pérdida de bolsillo
- Incluso la conexión se restaura después de la primera solicitud de verificación de vida, el par 1 continúa la verificación de vida hasta que el túnel se cae.
- Cuando el par 1 marca el túnel como inactivo debido a DPD, el par 2 activa la comprobación de vida.
- Esta situación hace que el túnel baje durante unos 7-8 minutos, debido a los intervalos de tiempo de DPD espera.
Environment
Todos hardware y VM plataformas
Cause
Cuando IKE envía un paquete, almacena en caché el paquete en una función de retransmisión. Si no hay respuesta, la función de retransmisión enviará el paquete almacenado en caché hasta 10 veces. Esto generalmente funciona bien, a menos que haya un NAT dispositivo entre el dispositivo y el FW dispositivo del mismo nivel. Como sabéis, NAT funciona asignando un puerto a un destino IP. Pero si la asignación cambia durante una retransmisión, la función de retransmisión no conoce este cambio y seguirá utilizando el antiguo puerto /IP asignación en la NAT memoria caché, lo que causa el problema.
Resolution
Para superar la situación, la verificación de vida debe estar desactivada en uno de los pares (preferiblemente par con dinámico IP).