IPSEC-Tunnel fällt nach Failover HA-aus

IPSEC-Tunnel fällt nach Failover HA-aus

40473
Created On 08/29/22 22:00 PM - Last Modified 03/12/25 03:39 AM


Symptom


Nach dem Failover ist der IPSec-Tunnel heruntergefahren

Environment


  • Firewalls, die im Aktiv/Passiv-Paar HA konfiguriert sind.
  • Unterstützt PAN-OS
  • Hohe Verfügbarkeit
  • DPD Aktiviert

Cause


  • IKE SA's werden nicht synchronisiert, aber IPSec SA's werden nach dem Failover synchronisiert, aber der Remotepeer sendet DPD Pakete mit dem , die IKE SA das neu aktive Mitglied nicht hat, so dass er nicht auf diese DPD Nachrichten antworten kann
  • Das neu aktive Mitglied verliert nach dem Failover die Informationen zum Hauptmodus und muss die Phase 1 erneut neu verhandeln.
  • Der Remote-Peer sendet DPD Pakete, die Palo Alto-Peer IKE SA enthalten, aber das neu aktive Mitglied muss IKE SA die Nachrichten nicht mehr lesen.
  • DPD Verwendet den IKE-Hauptmodus und der Hauptmodus SAwird nicht mit einem anderen Peer synchronisiert
  • Phase 1-SAs werden nicht zwischen den HA Peers synchronisiert, sondern nur Phase 2-SAs. Daher wird erwartet, dass dies DPD nach einem Failover fehlschlägt.

Resolution


Problemumgehung: Konfigurieren Sie die Tunnelüberwachung so, dass sie die Phase 1 neu verhandelt, oder deaktivieren Sie die DPD

Additional Information


IPSEC VPN SA Synchronisation in einem Aktiv/Passiv HA Paarphase
IPSEC VPN IKE 1 ist ausgefallen, aber Tunnel ist aktiv
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlQMCAY&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language