IPSec-Tunnel ist oben, aber Paket wird mit falscher SPI-Zähler-Erhöhung fallen gelassen

IPSec-Tunnel ist oben, aber Paket wird mit falscher SPI-Zähler-Erhöhung fallen gelassen

169892
Created On 09/25/18 19:10 PM - Last Modified 06/06/23 20:04 PM


Symptom


  • Vpn
  • Ipsec
  • Phase 1 und Phase 2 stehen für den IPSec-Tunnel an, aber die Pakete werden irgendwo fallen gelassen.

Environment


 
  • In der Ausgabe des globalen Zählers wird einer der folgenden Einträge gleichzeitig inkrementiert:
flow_tunnel_decap_err
 
flow_tunnel_ipsec_wrong_spi
 
flow_tunnel_natt_nomatch

 
  • Auf der Peerseite funktioniert der ausgehende Datenverkehr normal.

Cause


Details
  • Im ESP-Header wird das Sequenz Feld verwendet, um die Kommunikation vor einem Wiederholungs Angriff zu schützen.
  • Wenn ein Paket an der Firewall ankommt und die Differenz der Sequenznummer mit den vorherigen Paketen größer ist als die Größe des Wiederholungs Fensters, dann wird es als Angriff betrachtet und von der Firewall fallen gelassen.
  • Dies kann passieren, wenn die Verbindung nicht stabil ist oder das Paket nicht in Ordnung kommt.
     
  • Die folgenden CLI-Ausgänge zeigen ein Beispiel für die globalen Zähler mit diesem Problem:
> zeigen Sie den globalen Filterschweregrad, den Drop-Aspekt, den Tunnelkategoriefluss des Indikators an
flow_tunnel_encap_err 38 0 Drop-Flow-Tunnel Paket verworfen: Tunnelkapselungsfehler
flow_tunnel_decap_err 705072 2-Drop-Flow-Tunnel Paket verworfen: Tunnel-Entkapselungsfehler
flow_tunnel_encap_nested 38 0 Drop-Flow-Tunnel Verworfenes Paket: Entkapselung des verschachtelten Tunnels
flow_tunnel_ipsec_wrong_spi 705074 2 Drop-Flow-Tunnel Paket verworfen: IPsec-SA für spi im Paket nicht gefunden
 
> zeigen Sie den globalen Filterschweregrad, den Drop-Aspekt, den Tunnelkategoriefluss des Indikators an
flow_tunnel_natt_nomatch 11 0 Drop-Flow-Tunnel Paket verworfen: IPSec-NATT-Paket ohne Sitzungs-SPI-Übereinstimmung

 

Resolution


  1. Gehen Sie zur Registerkarte " Netzwerk- > IPSec-Tunnel" > Registerkarte "Allgemein" und deaktivieren Sie den "Wiedergabeschutz", um das Problem zu beheben.
 
  1. Klicken Sie auf "Erweiterte Optionen anzeigen", wenn diese Option nicht angezeigt wird.

Nachdem der "Wiedergabeschutz" deaktiviert wurde, lässt die Firewall diese Pakete auch dann zu, wenn ihre Sequenznummerndifferenz größer ist als die Größe des Wiedergabefensters.



 

 

Additional Information


Vorsicht:
Das Deaktivieren des "Replay-Schutzes" kann dazu führen, dass das Netzwerk anfällig für Replay-Angriffe wird.
Dies sollte mit Vorsicht verwendet werden und nur angewendet werden, wenn keine andere Lösung möglich ist.


HINWEIS:
Wenn nach dem Deaktivieren des Wiedergabeschutzes die globalen Zähler immer noch die flow_tunnel_decap_err anzeigen, müssen wir die IKE- und ESP-Pakete zur weiteren Fehlerbehebung entschlüsseln. Weitere Informationen finden Sie unter folgendem Artikellink: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUyCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language