Aleteo de túneles estándar VPN debido a múltiples IKE sesiones.

Aleteo de túneles estándar VPN debido a múltiples IKE sesiones.

3369
Created On 01/31/23 05:12 AM - Last Modified 05/22/25 21:54 PM


Symptom


Los túneles estándar VPN (3rd party VPN) siguen aleteando.

  • Cada vez que ocurre una IKE sesión de reclave, se crea multiple_ike_session evento que hace que las VPN estándar se desvanezcan.
  • Lo siguiente se ve en las alarmas, es decir, el estado extendido muestra "multiple_ike_session" y la razón como "abajo"

Image.png

  • Verá los siguientes registros cuando ejecute los siguientes comandos desde el CLI
debug logs dump tunnelmgr
debug logs dump tunnelmgr | grep "yyyy-mm-dd"
2023-01-27T14:01:54.872 inf tunnelmgr  4430   tunnelmgr             SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
2.156, remote_ip:4.53.41.66, state:down}
2023-01-27T14:02:33.872 inf tunnelmgr  4430   tunnelmgr             SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
2.156, remote_ip:4.53.41.66, state:down}
2023-01-27T14:03:09.872 inf tunnelmgr  4430   tunnelmgr             SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
  • Cuando ejecute los siguientes comandos en CLI, verá "Estado extendido: multiple_ike_session"
dump servicelink summary all
dump interface status <interface>
dump servicelink summary slname=<name of the tunnel>
Ejemplo
FLS-USA90062-01# dump servicelink summary all
-------------- SERVICE LINKS ----------------------------------
Total      : 1
TotalUP    : 1
TotalDown  : 0
---------------------------------------------------------------
SlDev       SlName                              Status ExtState                  ParentDev LocalIP            Peer               Type    IpsecProfile

---------------------------------------------------------------
sl1         FLS_VPN_Tunnel                      up     tunnel_up                eth2      64.129.72.156      4.53.41.66         IPsec   FLS_IPSEC_Profile_USA9
0062


FLS-USA90062-01# dump interface status FLS_VPN_Tunnel
 Interface : FLS_VPN_Tunnel
 Device : sl1
 ID : 1669909635099013945
 State : down
 Last Change : 2023-01-27 15:36:54.887 (13.128s ago)
 Address : 10.255.255.10/30
 Route : 0.0.0.0/0 via 10.255.255.10 metric 0
 Extended State : multiple_ike_session
 Remote IP : 4.53.41.66
 Local IP : 64.129.72.156
 DPDK Controlled : false


FLS-USA90062-01# dump servicelink status slname=FLS_VPN_Tunnel

ServiceLink : sl1
Interface                       : FLS_VPN_Tunnel
Description                     :
ID                              : 1674835650155005745
Type                            : service_link (ipsec)
Admin State                     : up
Alarms                          : enabled
NetworkContextID                :
IpfixCollectorContextID         :
IpfixFilterContextID            :
Scope                           : local
Directed Broadcast              : false
MTU                             : 1400
IP                              : static
  Address                       : 10.255.255.10/30
  Parent Interface              : internet 1
  Parent Device                 : eth2
Peer                            : 4.53.41.66
Service Endpoint                : FLS_FW
IPSec Profile                   : FLS_IPSEC_Profile_USA90062
  Authentication Type           : psk
  Local ID Type                 : local_ip
  Key Exchange                  : ikev2
  IKE Reauth                    : no
  IKE Lifetime                  : 4 hours
  IKE Remote Port               : 500
  IKE DH Group/Encryption/Hash  : ecp256/aes128/sha256
  ESP Lifetime                  : 1 hours
  ESP Encapsulation             : Auto
  ESP DH Group/Encryption/Hash  : ecp256/aes128/sha256
  DPD Enabled                   : yes
  DPD Delay                     : 1
  DPD Timeout                   : 5
Authentication Override
  Authentication Type   : psk
  Local ID Type         : local_ip

Device          : sl1
State           : up
Last Change     : 2023-01-27 17:27:02.967 (83h41m37s ago)
Address         : 10.255.255.10/30
  Route         : 0.0.0.0/0 via 10.255.255.10 metric 0
Extended State : multiple_ike_session
IPSec Algo      : AES_CBC_128_HMAC_SHA2_256_128
Ike Algo        : AES_CBC_128HMAC_SHA2_256_128
Remote IP       : 4.53.41.66
Local IP        : 64.129.72.156
IkeLastRekeyed  : 2023-01-31 04:39:26.589020385 +0000 UTC
IkeNextRekey    : 2023-01-31 08:37:00.589021465 +0000 UTC
IPsecLastRekeyed: 2023-01-31 04:36:07.897312962 +0000 UTC
IPsecNextRekey  : 2023-01-31 05:29:44.897314592 +0000 UTC
DPDK Controlled : false



Peer configured on interface
    Ipv4Addr: 4.53.41.66

---------------------------------------------------------------
                 Liveliness probe status
---------------------------------------------------------------
liveliness probe not present


Environment


Prisma SDWAN / CloudGenix

Cause


Ambos extremos de los túneles estaban en modo activo (el cliente había habilitado el VPN modo activo en su lado del túnel).

Resolution


Al construir un túnel IPSec, necesitamos habilitar el modo pasivo al otro lado del túnel (lado del cliente). El punto final debe ser pasivo/respondedor solamente. Cambie el modo de activo a pasivo en el lado del cliente (es decir, en el proveedor) para que surjan los túneles.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saibCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language