Problema de configuración custom IPsec / IKE Policy en LocalNetworkGateway - Connection

Question

Hola! Tengo una conexion S2S configurada con un cliente (dispositivo firewall Palo Alto) la cual tiene la siguiente configuración custom de IPsec, la cual funcionba cuando tenía mi servidor en una instancia NO Azure.

En Azure Funciona bien durente 1hs, pero cuando renegocia, se cae la fase 2. Y cuando descargo el "Security Associations" me encuentro que en quick mode (fase 2) no tiene gurdado los datos de "PfsGroupId" y "LifetimeSeconds" que se configuraron.

{
  "IkeSAs": [
    {
      "LocalEndpoint": "xxxxxxxxx",
      "RemoteEndpoint": "yyyyyyyyyy",
      "InitiatorCookie": "xxxxxxxxx",
      "ResponderCookie": "yyyyyyyyyy",
      "LocalUdpEncapsulationPort": 4500,
      "RemoteUdpEncapsulationPort": 4500,
      "Encryption": "AES256",
      "Integrity": "SHA256",
      "DhGroup": "ECP256",
      "LifeTimeSeconds": 28800,
      "IsSaInitiator": true,
      "ElapsedTimeInseconds": 35,
      "QuickModeSAs": [
        {
          "LocalEndpoint": "xxxxxxxxx",
          "RemoteEndpoint": "yyyyyyyyyy",
          "Encryption": "AES256",
          "Integrity": "SHA256",
          **"PfsGroupId": "None",**
          "InboundSPI": "xxxxxxxxx",
          "OutboundSPI": "yyyyyyyyyy",
          "LocalTrafficSelectors": ["xxxxxxxxx"],
          "RemoteTrafficSelectors": ["yyyyyyyyyy"],
          "LifetimeKilobytes": 0,
          **"LifetimeSeconds": 27000,**
          "IsSaInitiator": true,
          "ElapsedTimeInseconds": 35
        }
      ]
    }
  ]
}

Debido a esto debo hacer cada 1hs "Reset" de la conexión. Aclaro que funciona correctamente si la configuro como lo dice el .json. Pero no es lo que quiero y mucho menos lo que el cliente solicita por política de su compañía.

Alguien me puede ayudar a entender que es lo que sucede y mucho más como solucionarlo?

Muchas gracias

Answer 1

¡Hola Maximiliano!

Esperamos que este mensaje te encuentre bien.

Lamentamos sinceramente la demora en abordar tu tema en este foro.  

Parece que el problema está relacionado con la configuración de la fase 2 (Quick Mode) en tu conexión S2S en Azure. Aquí hay algunos puntos a considerar y posibles soluciones:

PfsGroupId: En tu configuración, el valor de "PfsGroupId" está configurado como "None". Esto puede causar problemas durante la renegociación de la fase 2. Intenta configurar un grupo PFS (Perfect Forward Secrecy) compatible, como "PFS2" o "ECP256", según lo que soporte tu dispositivo Palo Alto y las políticas de seguridad del cliente.

LifetimeSeconds: Aunque has configurado "LifetimeSeconds" en 27000 segundos, parece que no se está aplicando correctamente. Asegúrate de que esta configuración sea compatible tanto en Azure como en el dispositivo Palo Alto. Puede ser útil revisar la documentación específica de Azure y Palo Alto para asegurarte de que los valores de tiempo de vida sean compatibles.

Sincronización de Configuraciones: Asegúrate de que las configuraciones en ambos extremos (Azure y Palo Alto) estén completamente sincronizadas. Cualquier discrepancia puede causar fallos en la renegociación.

Logs y Diagnósticos: Revisa los logs y diagnósticos tanto en Azure como en el dispositivo Palo Alto para obtener más detalles sobre por qué falla la fase 2. Esto puede proporcionar pistas adicionales sobre qué configuración específica está causando el problema.

Soporte de Azure: Si el problema persiste, considera contactar al soporte de Azure. Ellos pueden ofrecerte asistencia más detallada y específica para tu configuración. 

Si no recibimos una respuesta tuya en los próximos días, procederemos a cerrar el tema. Sin embargo, queremos asegurarte que siempre estamos disponibles para cualquier asistencia que puedas necesitar.

Agradecemos tu comprensión y estamos aquí para ayudar en lo que sea necesario.

Estaré atento a tu respuesta.,

Jonathan ----------*

Tu opinión es muy importante para nosotros! Si esta respuesta resolvió tu consulta, por favor haz clic en 'SÍ'. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones.