有一个帕洛阿尔托firwall(我必须configuration)和一个工业控制器(他们称之为CP),我不能控制。
说帕洛阿尔托有外部IP 1.1.1.1和CP有2.2.2.2。 这些是他们用来相互通信的IP,这些IP可以在连接到PA外部接口的嗅探器上看到。
IPSec隧道build立,如果CP有第二个接口,一切都按预期工作。 但是其中一些CP只有一个接口,只有一个IP,这个IP应该可以通过隧道到达,但事实并非如此。
从PA上Ping 2.2.2.2并观察嗅探器显示为什么:PA发送一个未encryption的ICMP回显请求,该请求未被回答。 当CPpipe理员ping 1.1.1.1时,sniffer显示一个从2.2.2.2到1.1.1.1的ESP数据包,然后PA回答一个未encryption的ICMP回应应答。
我怎样才能让我的PA发送通过隧道的所有stream量,除了IPSecstream量?
我试图通过隧道build立到2.2.2.2的路由 – 当然隧道没有出现,因为没有networking数据包通过未build立的隧道发送。
我试图“解释”PA发送IPSecstream量比其他stream量的另一种方式 – 路由表不允许指定stream量types。
我试图设置一个基于策略的转发,这需要隧道的IP。 隧道只有2个IP; 我试图附加1.1.1.1,PA不喜欢。
我发现了类似的问题,甚至在serverfailt上也是这样,是的,如何通过隧道将一些数据包直接通过互联网和其他数据包路由到同一个地方,但是Linux上是开放的VPN,而不是Palo Alto。
CPpipe理员提到的一些日志输出给了我一个想法,那就是CP使用Strong Swan,而且我已经能够在Linux机器上使用我的PA和Strong Swan复制上述行为。
现在,我可以更快地testing,但是在路由问题上,如何使PA区分encryption和未encryption的数据包仍然不知道。
任何人有更好的想法?
谢谢! TomTomTom
我很遗憾地通知你,你现在可以分享我的挫折感:
PAN不执行IPsec传输模式
为什么? 我没有最微不足道的想法。 它已经超越了信念。 我希望有人纠正我。
gateway charon: 11[IKE] <con3|14> establishing CHILD_SA con3{15} gateway charon: 11[ENC] <con3|14> generating CREATE_CHILD_SA request 205 [ N(USE_TRANSP) N(ESP_TFC_PAD_N) SA No KE TSi TSr ] gateway charon: 11[ENC] <con3|14> parsed CREATE_CHILD_SA response 205 [ N(TS_UNACCEPT) ] gateway charon: 11[IKE] <con3|14> received TS_UNACCEPTABLE notify, no CHILD_SA built 我试图部署的解决scheme,当然是让这些价格过高的废话枯萎。