IPSec tunnel est en place, mais le paquet se fait tomber avec le mauvais SPI augmentation du compteur

IPSec tunnel est en place, mais le paquet se fait tomber avec le mauvais SPI augmentation du compteur

169902
Created On 09/25/18 19:10 PM - Last Modified 06/06/23 20:04 PM


Symptom


  • Vpn
  • Ipsec
  • Phase 1 et phase 2 sont en place pour le tunnel IPSec, mais les paquets sont déposés quelque part.

Environment


 
  • Sur la sortie du compteur global, l’une des entrées suivantes s’incrémente en même temps :
flow_tunnel_decap_err
 
flow_tunnel_ipsec_wrong_spi
 
flow_tunnel_natt_nomatch

 
  • À partir de l’homologue, le trafic sortant fonctionne normalement.

Cause


Détails
  • Dans L'en-tête ESP, le champ Sequence est utilisé pour protéger la communication d'une attaque de relecture.
  • Si un paquet arrive au pare-feu et que la différence entre le numéro de séquence et les paquets précédents est supérieure à la taille de la fenêtre de relecture, elle sera considérée comme une attaque et supprimée par le pare-feu.
  • Cela peut se produire lorsque la connexion n'est pas stable ou que le paquet n'arrive pas dans l'ordre.
     
  • Les sorties CLI suivantes montrent un exemple des compteurs globaux avec ce problème:
> afficher le flux de catégorie de tunnel d’aspect de perte de gravité globale du filtre de compteur
flow_tunnel_encap_err 38 0 tunnel de flux de goutte Paquet abandonné : erreur d’encapsulation du tunnel
flow_tunnel_decap_err 705072 2 tunnel de flux de goutte Paquet abandonné : erreur de décapsulation du tunnel
flow_tunnel_encap_nested 38 0 tunnel de goutte Paquet abandonné : décapsulation du tunnel imbriqué
flow_tunnel_ipsec_wrong_spi 705074 2 tunnel de flux de goutte Paquet abandonné : IPsec SA pour spi dans le paquet introuvable
 
> afficher le flux de catégorie de tunnel d’aspect de perte de gravité globale du filtre de compteur
flow_tunnel_natt_nomatch 11 0 Tunnel de flux de goutte Paquet abandonné : paquet NATT IPSec sans correspondance SPI de session

 

Resolution


  1. Accédez à l'onglet Général des tunnels IP >> IPSec et désactivez la « protection contre la relecture » pour résoudre le problème.
 
  1. Cliquez sur 'Afficher les options avancées' si cette option n'est pas affichée.

Une fois la « protection de relecture » désactivée, le pare-feu autorise ces paquets même si leur différence de numéro de séquence est supérieure à la taille de la fenêtre de relecture.



 

 

Additional Information


Prudence:
La désactivation de la « protection contre la relecture » peut rendre le réseau vulnérable aux attaques par relecture.
Cela doit être utilisé avec prudence et appliqué uniquement si aucune autre solution n’est possible.



REMARQUE:Après avoir désactivé la protection contre la relecture, si les compteurs globaux indiquent toujours le flow_tunnel_decap_err, nous devrons déchiffrer les paquets IKE et ESP pour un dépannage ultérieur. Veuillez consulter le lien de l’article suivant pour plus d’informations: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClinCAC
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClUyCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language