VPN トンネルが「IKEv2 child」で失敗するSAトラフィック セレクターの処理中にネゴシエーションが失敗しました。」 - プロキシーIDはお互いの正確なミラーではありません

VPN トンネルが「IKEv2 child」で失敗するSAトラフィック セレクターの処理中にネゴシエーションが失敗しました。」 - プロキシーIDはお互いの正確なミラーではありません

62058
Created On 08/02/22 22:23 PM - Last Modified 05/09/23 05:55 AM


Symptom


  • VPN トンネルが上がらない、または下った
  • 「」を示すシステムログIKE受信したプロトコル通知メッセージ: 通知タイプ TS_UNACCEPTABLE を受信しました"
  • 「IKEv2子を示すシステムログSAトラフィック セレクターの処理中にネゴシエーションが失敗しました。受信したトラフィック セレクターに一致する IPSec トンネルが見つかりません。」
  • CLI 2 つのピア ファイアウォールでの show コマンド出力は、プロキシがIDエントリは相互の正確なミラーではありません
  • >以下の mp-log ikemgr.log 「許容できない」と表示
  • >以下の mp-log ikemgr.log表示」TS照合結果: TS_l 不一致(!=)、TS_r 不一致(!=)"
  • >以下の mp-log ikemgr.log表示」TS 0: 一致失敗:"
  • このプロキシID問題はパケット キャプチャでは見えないため (pcap を手動で復号化しない限り)、そのまま使用することをお勧めします。CLIコマンド/両側の構成を手動でチェックして、不適切なプロキシを特定して解決するIDエントリ

ウェブUI
案内する通信網> IPSec トンネル>編集IPSec トンネル>プロキシ IDタブ
ミラーリングされていないプロキシの比較IDの向こうVPNWeb のピア UI
上記のプロキシ ID は一致しているため、正しくありません。 プロキシ ID はちょうどミラー互いの (すなわち反対である)、合わない

正しいのプロキシ IDVPNトンネルの例:
VPN Firewall 1: 192.168.10.0/24 > 192.168.20.0/24
VPN Firewall 2: 192.168.20.0/24 > 192.168.10.0/24

正しくないのプロキシ IDVPNトンネルの例:
VPN Firewall 1: 192.168.10.0/24 > 192.168.20.0/24
VPN Firewall 2: 192.168.10.0/24 > 192.168.20.0/24

プロキシとはID、いつ必要ですか?

CLI
両方にVPNピア、次のコマンドを実行します CLI
> show vpn flow tunnel-id 2

tunnel  VPNTunnel10:Send-192-168-10-0-thruTunnel
        id:                     2
        type:                   IPSec
        gateway id:             1
        local ip:               203.0.113.200
        peer ip:                203.0.113.100
        inner interface:        tunnel.10
        outer interface:        ethernet1/1
        proxy-id:
          local ip:             192.168.10.0/24
          remote ip:            192.168.20.0/24
> show vpn tunnel
TnID                Name                         Gateway          Local Proxy IP       Ptl:Port   Remote Proxy IP      Ptl:Port   Proposals
2  VPNTunnel10:Send-192-168-10-0-thruTunnel  IKEGatewayTest1      192.168.10.0/24      0:0        192.168.20.0/24      0:0


システムログ
案内する監視 > システムログ


ワイヤーシャーク
両方でパケット キャプチャを実行するVPNピアに接続し、それらを Wireshark で並べて開きます
プロキシ ID フェーズ 2 の Wireshark の表示
プロキシ ID フェーズ 2 2 の Wireshark の表示
注: これはデフォルトでは Wireshark に表示されません。 両方からダンプレベルのikemgrログが必要ですVPNWireshark でパケットを復号化するためのピア。 これは、手順を使用して行うことができますここ

ikemgr.log
以下のコマンドを実行しますCLI両方のピアで

以下は、プロキシがID構成されているマッチのVPNピアのプロキシIDそれか彼らsend であり、それが正しくないことを意味します。 プロキシを覚えるIDのはずいいえマッチ- 代わりに、それらは正確であるべきですミラーお互いの

>less mp-log ikemgr.log

18:42:40 [INFO]: remote
18:42:40 [INFO]: TS Payload: type=TS_IPV4_ADDR_RANGE proto=0 length=16 start_port=0 end_port=65535
18:42:40 [INFO]: TS Starting Address=192.168.10.0
18:42:40 [INFO]: TS Ending Address=192.168.10.255
18:42:40 [INFO]: TS payload dump:
18:42:40 [INFO]: local
18:42:40 [INFO]: TS Payload: type=TS_IPV4_ADDR_RANGE proto=0 length=16 start_port=0 end_port=65535
18:42:40 [INFO]: TS Starting Address=192.168.20.0
18:42:40 [INFO]: TS Ending Address=192.168.20.255
18:42:40 [INFO]: local
18:42:40 [INFO]: TS Payload: type=TS_IPV4_ADDR_RANGE proto=0 length=16 start_port=0 end_port=65535
18:42:40 [INFO]: TS Starting Address=192.168.20.0
18:42:40 [INFO]: TS Ending Address=192.168.20.255
18:42:40 [INFO]: remote
18:42:40 [INFO]: TS Payload: type=TS_IPV4_ADDR_RANGE proto=0 length=16 start_port=0 end_port=65535
18:42:40 [INFO]: TS Starting Address=192.168.10.0
18:42:40 [INFO]: TS Ending Address=192.168.10.255
18:42:40 [DEBG]: TS matching for configured selector VPNTunnel10:Send-192-168-20-0-thruTunnel 192.168.10.0[0]/24-192.168.
20.0[0]/24 proto 0
18:42:40 [DUMP]: num_ts 1
18:42:40 [DEBG]: .. check local TS (num 1, TS0 is not specific) against selector 0:192.168.10.0[0]/24
18:42:40 [DUMP]: checking TS 0
18:42:40 [DEBG]: {     :    2}: ... TS 0: match fail: 192.168.20.0->192.168.20.255(ts) vs. 192.168.10.0->192.168.10.255(selector)
18:42:40 [DEBG]: ... result: local TS != 192.168.10.0[0]/24
18:42:40 [DUMP]: num_ts 1
18:42:40 [DEBG]: .. check remote TS (num 1, TS0 is not specific) against selector 0:192.168.20.0[0]/24
18:42:40 [DUMP]: checking TS 0
18:42:40 [DEBG]: {     :    2}: ... TS 0: match fail: 192.168.10.0->192.168.10.255(ts) vs. 192.168.20.0->192.168.20.255(selector)
18:42:40 [DEBG]: ... result: remote TS != 192.168.20.0[0]/24
18:42:40 [DEBG]: TS matching result: TS_l mismatch(!=), TS_r mismatch(!=)
18:42:40 [PERR]: ts unacceptable

注: ステートメント != は「等しくない」ことを意味することに注意してください。

Environment


  • PAN-OS
  • パロアルトネットワークスfirewallIPSec で構成されたVPN特にトンネルPolicyベースVPNRouted ベースではなくピアVPNピア (つまり、ACL制御するVPNルートではなくトラフィック)
  • もしあなたのVPNピアはルートベースですVPNプロキシ ID を使用する必要はありません (空白のままにする必要があります)。トンネルを使用してルートを構成するだけです。X代わりにインターフェイス

Cause


この問題は、プロキシがない場合に発生しますIDピアで見つかったエントリfirewallこれはプロキシの正確なミラーですID私たちのエントリーfirewall

ベストプラクティスは、各プロキシを持つことですID私たちのエントリーfirewall対応するプロキシを持っているIDピアのエントリfirewallこれは完全な鏡です(つまり、鏡ACL)

Resolution


  1. 両方を再構成しますVPNピア、すべての個人を確保するプロキシーIDエントリには正確なミラーがありますプロキシーID上のエントリVPNピア (つまり、それらが反対の ACL であることを確認します)

例:
Web で相互に完全にミラーリングされている、優れたベスト プラクティスの有効なプロキシ ID を比較する UI
(上記の例では、2 つの Palo Alto Networks ファイアウォールが次のように使用されました。VPNピア。 もしあなたのVPNピアは別のベンダーですfirewall、同等の/同じを実行しますプロキシーID(通常はトラフィック セレクターまたクリプトACL) の構成変更firewallそれらが非ミラーリングの根本原因である場合)
  1. 実行する専念
  2. 以下のコマンドをそれぞれ数回実行します両方のVPNピアfirewallそれらを新しく開始して形成するための CLI:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlDmCAI&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language