VPN zwischen Netscreen und Palo Alto: Aufgebautes VPN hört auf zu arbeiten: Problem mit Tunnel-Monitoring

Das VPN wird aufgebaut, alles funktioniert, nach einiger Zeit „legt sich das Tunnel-Interface schlafen“, obwohl die SA weiter aktiv ist.

Ab diesem Zeitpunkt bekommt man von der Netscreen keine Daten zur Palo Alto.

Auf der Seite der Netscreen fällt auf, dass sich der Status des Tunnel Interfaces von UP auf DOWN ändert. Nach dem Neustart der Netscreen klappt es … bis es irgendwann wieder aufhört zu arbeiten.

Ashampoo_Snap_2015.01.29_15h14m54s_095_

Die SA wird aber gehalten:

Ashampoo_Snap_2015.01.29_15h16m51s_096_

Empfehlung: Tunnel Monitoring auf der Seite der Netscreen ausschalten, dann klappt es.

Ashampoo_Snap_2015.01.30_11h56m37s_099_

Weitere Kommentare:

richtig ist, dass der VPN Monitoring bei einem nicht-Juniper VPN Gateway zu Problemen führen kann.

Der VPN Monitor setzt auf einen Ping durch den VPN auf die Gegenseiten. Wird dieser Ping nicht beantwortet, dann erkennt der VPN Monitor einen VPN Abbruch und versucht den VPN neu aufzubauen.

Da nicht-Juniper VPN Gateway (z.B. Palo Alto, Check Point, Cisco) diesen Ping durch den VPN allerdings nicht immer erlauben, kann der VPN Monitor seine Arbeit nicht korrekt durchführen und stellt fälschlicherweise einen VPN Abbruch fest.

Daher wird empfohlen den VPN Monitor nur dann zu aktivieren, wenn der VPN zwischen zwei Juniper Geräten aufgebaut wird.

Weitere Artikel:

What is the state of a tunnel Interface when the associated VPN tunnel went down ?

http://kb.juniper.net/InfoCenter/index?page=content&id=KB6221

What does the Ready State tell us in the route table?

http://kb.juniper.net/InfoCenter/index?page=content&id=KB6404


Solution:
This solution describes the state of the tunnel interface when using VPN Monitor with/without Re-key option
Tunnel Interface without VPN Monitor and Rekey Option: Tunnel interface will always be in ready state as there is no mechanism to identify the correct state
Tunnel Interface with only VPN Monitor Turned On: If using NSRP, during initial boot up process, the system will have the tunnel interface in ready state „R“ on the master unit, and inactive on the backup unit.  The Ready state indicates that the Tunnel interface is Ready to pass traffic through, but needs something to trigger the VPN so the SA’s can be up.  Once the SA becomes up, tunnel interface state goes to the Up state.  If a cable is physically pulled out of the interface that the tunnel interface is bound to, the tunnel interface state will change to a Down state.
Tunnel Interface with VPN Monitor and Rekey Option enabled: If re-key option is used along with VPN Monitor, this will keep the SA’s up.  It will not wait for actual traffic to trigger the VPN, and cause the tunnel interface to switch from R to U state.