IPSec エラー: IKE Phase-1 Negotiation is Failed as Initiator, Main Mode. Due to Negotiation Timeout

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

IPSec Error: IKE Phase-1 Negotiation is Failed as Initiator, Main Mode. Due to Negotiation Timeout

https://live.paloaltonetworks.com/t5/Configuration-Articles/IPSec-Error-IKE-Phase-1-Negotiation-is-F...

 

問題

PAN ファイアウォールと IPSec 通信ピアのフェーズ 1 ネゴシエーションが "LAND attack" として識別されています。Ikemgr.log には下記のログが残されています:

IKE phase-1 negotiation is failed as initiator, main mode. Failed SA: 216.204.241.93[500]-216.203.80.108[500] message id:0x43D098BB. Due to negotiation timeout.

 

詳細

Proxy ID が一致するのを確認したのち、以下のことを試してください:

  1. 送信元が IPSec 通信ピアの WAN IP、宛先が PAN ファイアウォールの WAN IP のパケットフィルターを作成します。
    > debug dataplane packet-diag set filter match source x.x.x.x destination y.y.y.y

  2. フィルターを有効にします。
    > debug dataplane packet-diag set filter on

  3. 逆経路に ping を開始します。VPN ピア背後にあるリモート マシン上で、PAN ファイアウォール背後にあるホストへ VPN トンネルを越えて ping します。
    以下は、リモート ピア ネットワーク上のマシンが PAN ファイアウォール背後のローカル ネットワーク上のホスト (w.w.w.w) へ ping するところです。
    c:\> ping w.w.w.w

    これによりVPNトンネルが作成され、新しくフェーズ 1 IPSec ネゴシエーションが開始します。

  4. 次のコマンドを何回か実行します:
    > show counter global filter delta yes packet-filter yes

 

出力の中にDropがあるか確認します。例:

Global counters:

Elapsed time since last sampling: 1.481 seconds

name                      value  rate  severity  category  aspect    description

-----------------------------------------------------------------------------------------

session_allocated         1      0     info      session   resource  Sessions allocated

session_freed             1      0     info      session   resource  Sessions freed

flow_policy_nat_land      1      0     drop      flow      session   Session setup: source NAT IP allocation result in LAND attack

nat_dynamic_port_xlat     1      0     info      nat       resource  The total number of dynamic_ip_port NAT translate called

nat_dynamic_port_release  1      0     info      nat       resource  The total number of dynamic_ip_port NAT release called

-----------------------------------------------------------------------------------------

Total counters shown: 5

-----------------------------------------------------------------------------------------

 

この場合、'flow_policy_nat_land' グローバル カウンタがあがっているので、ファイアウォールの設定上の問題でトラフィックがドロップされタイムアウトしているのがわかります。


LAND Attackの解決方法はこのドキュメントを参照してください: Misconfigured Source NAT and LAND attacks

 

著者: vvasilasco