Túnel IPSec está arriba, pero el paquete se cae con el aumento de contador incorrecto SPI

Túnel IPSec está arriba, pero el paquete se cae con el aumento de contador incorrecto SPI

169908
Created On 09/25/18 19:10 PM - Last Modified 06/06/23 20:04 PM


Symptom


  • Vpn
  • Ipsec
  • La fase 1 y la fase 2 están en marcha para el túnel IPSec, pero los paquetes se están soltando en alguna parte.

Environment


 
  • En la salida del contador global, cualquiera de las siguientes entradas se incrementa al mismo tiempo:
flow_tunnel_decap_err
 
flow_tunnel_ipsec_wrong_spi
 
flow_tunnel_natt_nomatch

 
  • Desde el extremo del mismo nivel, el tráfico saliente funciona normalmente.

Cause


Detalles
  • En el encabezado ESP, el campo Sequence se utiliza para proteger la comunicación de un ataque de repetición.
  • Si un paquete llega al cortafuegos y la diferencia del número de secuencia con los paquetes anteriores es mayor que el tamaño de la ventana de repetición, entonces se considerará como un ataque y se dejará caer por el cortafuegos.
  • Esto puede ocurrir cuando la conexión no es estable o el paquete no llega en orden.
     
  • Las siguientes salidas de CLI muestran un ejemplo de los contadores globales con este problema:
> mostrar el flujo de categoría de túnel de aspecto de caída de gravedad del filtro global del contador
flow_tunnel_encap_err 38 0 túnel de flujo de gota Paquete descartado: error de encapsulación del túnel
flow_tunnel_decap_err 705072 2 túnel de flujo de gotas Paquete descartado: error de desencapsulación del túnel
flow_tunnel_encap_nested 38 0 túnel de flujo de gota Paquete descartado: desencapsulación de túnel anidado
flow_tunnel_ipsec_wrong_spi 705074 Túnel de flujo de 2 gotas Paquete descartado: IPsec SA para spi en paquete no encontrado
 
> mostrar el flujo de categoría de túnel de aspecto de caída de gravedad del filtro global del contador
flow_tunnel_natt_nomatch 11 0 túnel de flujo de gota Paquete descartado: paquete IPSec NATT sin coincidencia SPI de sesión

 

Resolution


  1. Vaya a la pestaña Network > IPSec Tunnels > General y desactive 'protección de reproducción' para resolver el problema.
 
  1. Haga clic en 'mostrar opciones avanzadas' si esta opción no se muestra.

Después de desactivar la "protección de reproducción", el firewall permitirá esos paquetes incluso si su diferencia de número de secuencia es mayor que el tamaño de la ventana de reproducción.



 

 

Additional Information


Cautela:
La desactivación de la "protección de reproducción" puede hacer que la red se vuelva vulnerable a los ataques de reproducción.
Esto debe usarse con precaución y aplicarse solo si no es posible otra solución.


NOTA:
Después de deshabilitar la protección de reproducción, si los contadores globales aún indican el flow_tunnel_decap_err, entonces tendremos que descifrar los paquetes IKE y ESP para solucionar más problemas. Consulte el siguiente enlace del artículo para obtener más orientación: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUyCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language