Phase 1 : Diagnostiquer les Problèmes de Connexion Initiale
Vérification de la Connectivité avec le Pair
Avant d'explorer des problèmes plus complexes, assurez-vous de la connectivité de base. Pinguez l'adresse IP du pair depuis l'interface externe du pare-feu Palo Alto. Si les pings sont bloqués, vérifiez les journaux système pour les messages de mode principal/agressif ou DPD.
Configuration de l'Identité IKE
Assurez-vous que l'identité IKE est correctement configurée. Vérifiez également la politique autorisant les applications IKE et IPSec.
Vérification des Propositions
Examinez attentivement les propositions IKE pour éviter tout désaccord. Les journaux système peuvent révéler des incohérences.
Vérification de la Clé Partagée
La clé partagée doit être correcte. Consultez les journaux système pour les éventuels désaccords.
Analyse du Trafic
Effectuez des captures de paquets pour analyser le trafic. Utilisez des filtres pour préciser la portée de la capture.
Activation des Debugs
En cas de besoin, activez les journaux de débogage pour obtenir des informations détaillées.
Phase 2 : Assurer la Négociation des Tunnels
Vérification des Tunnels IPSec
Utilisez les commandes show vpn ipsec-sa
pour confirmer la négociation des tunnels et assurez-vous de l'existence de deux SPI unidirectionnels.
Vérification des Propositions (Encore)
Vérifiez à nouveau les propositions, cette fois pour la Phase 2. Les journaux système peuvent révéler des incohérences.
Vérification du Perfect Forward Secrecy (PFS)
Assurez-vous que le PFS est activé des deux côtés. Consultez les journaux système en cas de désaccord.
Configuration du Proxy-ID
Si le pair est d'un autre fournisseur, configurez les ID nécessaires. Les journaux système signaleront tout désaccord.
Surveillance du Trafic
Utilisez les commandes show vpn flow
pour surveiller le trafic. Des chiffres croissants indiquent un trafic réussi.
Débogage Avancé
En cas de besoin, activez les journaux de débogage pour des informations approfondies.
Conclusion
La résolution des problèmes IPSec VPN sur les pare-feu Palo Alto exige une approche méthodique. En suivant ces étapes, vous pouvez identifier et corriger les problèmes potentiels, assurant ainsi une connectivité sécurisée et stable via votre VPN.