IPSEC-Le tunnel tombe en panne après HA-le basculement

IPSEC-Le tunnel tombe en panne après HA-le basculement

40479
Created On 08/29/22 22:00 PM - Last Modified 03/12/25 03:39 AM


Symptom


Après le basculement du tunnel IPSec est arrêté

Environment


  • Pare-feu configurés en paire actif/passif HA .
  • Soutenu PAN-OS
  • Haute disponibilité
  • DPD Activé

Cause


  • IKE SAne sont pas synchronisés, mais les IPSec SAsont synchronisés après le basculement, mais l'homologue distant envoie DPD des paquets avec le que le membre nouvellement actif n' IKE SA a pas, il ne peut donc pas répondre à ces DPD messages
  • Le membre nouvellement actif perd les informations du mode principal après le basculement et doit renégocier la phase 1
  • L’homologue distant envoie DPD des paquets contenant un homologue IKE SA Palo Alto, mais le membre nouvellement actif n’a IKE SA plus besoin de lire les messages.
  • DPD Utilise le mode principal IKE et le mode SAprincipal n'est pas synchronisé avec un autre homologue
  • Les SA de phase 1 ne sont pas synchronisées entre les homologues, seules les HA SA de phase 2 sont synchronisées. Par conséquent, il est attendu que échoue DPD après un basculement.

Resolution


Solution : configurez la surveillance du tunnel car elle renégociera la phase 1 ou désactivez le DPD

Additional Information


IPSEC VPN SA Synchronisation dans un actif / passif HA La
IPSEC VPN IKE phase 1 de la paire est en panne mais le tunnel est actif
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlQMCAY&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language