Tunnels standard VPN battant en raison de sessions multiples IKE .

Tunnels standard VPN battant en raison de sessions multiples IKE .

3367
Created On 01/31/23 05:12 AM - Last Modified 05/22/25 21:54 PM


Symptom


Les tunnels standard VPN (3rd party VPN) continuent de battre.

  • Chaque fois qu’une session de IKE reclé se produit, multiple_ike_session événement est créé, ce qui provoque le battement des VPN standard.
  • Ce qui suit est vu dans les alarmes, c’est-à-dire que l’état étendu indique « multiple_ike_session » et la raison comme « en panne »

image.png

  • Vous verrez les journaux suivants lorsque vous exécutez les commandes ci-dessous à partir du CLI
debug logs dump tunnelmgr
debug logs dump tunnelmgr | grep "yyyy-mm-dd"
2023-01-27T14:01:54.872 inf tunnelmgr  4430   tunnelmgr             SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
2.156, remote_ip:4.53.41.66, state:down}
2023-01-27T14:02:33.872 inf tunnelmgr  4430   tunnelmgr             SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
2.156, remote_ip:4.53.41.66, state:down}
2023-01-27T14:03:09.872 inf tunnelmgr  4430   tunnelmgr             SetServiceLinkStatus sl:sl1, state:{extended_state:multiple_ike_session, local_ip:64.129.7
  • Lorsque vous exécutez les commandes suivantes sur CLI, vous verrez « État étendu : multiple_ike_session »
dump servicelink summary all
dump interface status <interface>
dump servicelink summary slname=<name of the tunnel>
Exemple
FLS-USA90062-01# dump servicelink summary all
-------------- SERVICE LINKS ----------------------------------
Total      : 1
TotalUP    : 1
TotalDown  : 0
---------------------------------------------------------------
SlDev       SlName                              Status ExtState                  ParentDev LocalIP            Peer               Type    IpsecProfile

---------------------------------------------------------------
sl1         FLS_VPN_Tunnel                      up     tunnel_up                eth2      64.129.72.156      4.53.41.66         IPsec   FLS_IPSEC_Profile_USA9
0062


FLS-USA90062-01# dump interface status FLS_VPN_Tunnel
 Interface : FLS_VPN_Tunnel
 Device : sl1
 ID : 1669909635099013945
 State : down
 Last Change : 2023-01-27 15:36:54.887 (13.128s ago)
 Address : 10.255.255.10/30
 Route : 0.0.0.0/0 via 10.255.255.10 metric 0
 Extended State : multiple_ike_session
 Remote IP : 4.53.41.66
 Local IP : 64.129.72.156
 DPDK Controlled : false


FLS-USA90062-01# dump servicelink status slname=FLS_VPN_Tunnel

ServiceLink : sl1
Interface                       : FLS_VPN_Tunnel
Description                     :
ID                              : 1674835650155005745
Type                            : service_link (ipsec)
Admin State                     : up
Alarms                          : enabled
NetworkContextID                :
IpfixCollectorContextID         :
IpfixFilterContextID            :
Scope                           : local
Directed Broadcast              : false
MTU                             : 1400
IP                              : static
  Address                       : 10.255.255.10/30
  Parent Interface              : internet 1
  Parent Device                 : eth2
Peer                            : 4.53.41.66
Service Endpoint                : FLS_FW
IPSec Profile                   : FLS_IPSEC_Profile_USA90062
  Authentication Type           : psk
  Local ID Type                 : local_ip
  Key Exchange                  : ikev2
  IKE Reauth                    : no
  IKE Lifetime                  : 4 hours
  IKE Remote Port               : 500
  IKE DH Group/Encryption/Hash  : ecp256/aes128/sha256
  ESP Lifetime                  : 1 hours
  ESP Encapsulation             : Auto
  ESP DH Group/Encryption/Hash  : ecp256/aes128/sha256
  DPD Enabled                   : yes
  DPD Delay                     : 1
  DPD Timeout                   : 5
Authentication Override
  Authentication Type   : psk
  Local ID Type         : local_ip

Device          : sl1
State           : up
Last Change     : 2023-01-27 17:27:02.967 (83h41m37s ago)
Address         : 10.255.255.10/30
  Route         : 0.0.0.0/0 via 10.255.255.10 metric 0
Extended State : multiple_ike_session
IPSec Algo      : AES_CBC_128_HMAC_SHA2_256_128
Ike Algo        : AES_CBC_128HMAC_SHA2_256_128
Remote IP       : 4.53.41.66
Local IP        : 64.129.72.156
IkeLastRekeyed  : 2023-01-31 04:39:26.589020385 +0000 UTC
IkeNextRekey    : 2023-01-31 08:37:00.589021465 +0000 UTC
IPsecLastRekeyed: 2023-01-31 04:36:07.897312962 +0000 UTC
IPsecNextRekey  : 2023-01-31 05:29:44.897314592 +0000 UTC
DPDK Controlled : false



Peer configured on interface
    Ipv4Addr: 4.53.41.66

---------------------------------------------------------------
                 Liveliness probe status
---------------------------------------------------------------
liveliness probe not present


Environment


Prisma SDWAN / CloudGenix

Cause


Les deux extrémités des VPN tunnels étaient en mode actif (le client avait activé le mode actif de son côté du tunnel).

Resolution


Lors de la construction d’un tunnel IPSec, nous devons activer le mode passif de l’autre côté du tunnel (côté client). Le point de terminaison doit être passif/répondeur uniquement. Changez le mode d’actif à passif du côté client (c’est-à-dire du fournisseur) pour que les tunnels apparaissent.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saibCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language