IP SEC VPN abandonne assez fréquemment entre pairs IPSec de Palo Alto
19572
Created On 05/20/22 13:29 PM - Last Modified 06/08/23 07:32 AM
Symptom
Lors de l’utilisation d’IPSec IKEv2 entre deux pare-feu Palo Alto, le tunnel peut être arrêté si DPD les conditions suivantes sont remplies:
- Le premier homologue utilise statique avec contrôle d’activité et Traversal est activé
- Le second homologue utilise IP dynamique IP (tel que ADSL) avec contrôle d’activité et NAT-NAT-Traversal est activé. De plus, le deuxième homologue fonctionne en mode passif.
La séquence des événements provoquant la descente du tunnel est la suivante:
- Le pair initie (peer 1) un contrôle de vivacité lorsqu’il y a perte de poche
- Même si la connexion est rétablie après la première demande de contrôle d’activité, l’homologue 1 continue toujours la vérification de l’activité jusqu’à ce que le tunnel tombe en panne.
- Lorsque l’homologue 1 marque le tunnel comme étant arrêté en raison de , l’homologue 2 déclenche la vérification de DPDl’activité.
- Cette situation provoque la descente du tunnel pendant environ 7-8 minutes, en raison des intervalles de temps d’attente DPD .
Environment
Tous hardware et VM plates-formes
Cause
Lors IKE de l’envoi d’un paquet, il le met en cache dans une fonction de retransmission. S’il n’y a pas de réponse, la fonction de retransmission enverra à nouveau le paquet mis en cache jusqu’à 10 fois. Cela fonctionne généralement bien, sauf s’il existe un NAT périphérique entre le et le FW périphérique homologue. Comme vous le savez, NAT fonctionne en mappant un port à une destination IP. Mais si le mappage change au cours d’une retransmission, la fonction de retransmission n’est pas au courant de ce changement et continuera à utiliser l’ancien port /IP mappage dans le cache, ce qui provoque le NAT problème.
Resolution
Afin de surmonter la situation, le contrôle de l’activité doit être désactivé sur l’un des pairs (de préférence pair avec dynamique IP).