パロアルトネットワークス ファイアウォールとCiscoルーターとのVTIを使用したサイト間VPN接続で通信が通らない

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Site-to-Site IPSec VPN Between Palo Alto Networks Firewall and Cisco Router using VTI Not Passing Traffic

https://live.paloaltonetworks.com/t5/Configuration-Articles/Site-to-Site-IPSec-VPN-Between-Palo-Alto...

 

問題

パロアルトネットワークス ファイアウォールとCiscoルーターで仮想トンネル インターフェイス(VTI)を使用してサイト間VPNが設定されているとします。しかしIKEフェーズ2通信がパロアルトネットワークス ファイアウォールと Ciscoルーターで通りません。

まとめると、以下の状況でVPNはダウンしています。

  • トンネル インターフェイスがダウンしている。
  • IKEフェーズ1はアップしているが、IKEフェーズ2がダウンしている。

 

原因

PFSの不一致によりIKEフェーズ2が不一致となり、この問題が発生している可能性があります。

 

解決策

パロアルトネットワークス ファイアウォールとCiscoルーターが同じPFSの設定を持つように設定します。

 

パロアルトネットワークス ファイアウォール上では、[Network] >[IPSec 暗号]に移動します。トンネルに設定している[IPSec暗号プロファイル]を選び、DH グループの値がCiscoルーターと一致するか確認します。

3.jpg

 

Ciscoルーターではパロアルトネットワークス ファイアウォールと一致するようPFSを設定します。

2.jpg

 

以下はパロアルトネットワークス ファイアウォールのCLIで tail follow yes ikemgr.log コマンドを実行したときの出力です。

最初の赤線で囲った部分はPFSの不一致のメッセージとなります。二番目の赤線で囲った部分はPFSの不一致を修正したあとのメッセージとなります。

Screen Shot 2013-02-26 at 5.23.49 PM.png

 

パロアルトネットワークス ファイアウォール上でshow vpn flow tunnel-id <ID番号> を実行すると、暗号化、復号化のパケットのカウントが増えていることを確認できます。

2.jpg

 

Ciscoルーターでは、show crypto ipsec sa と入力すると、暗号化、復号化のパケットが増加していることを確認できます。

1.jpg

 

著者:jlunario